Embed Size (px)
DESCRIPTION
Perfil da Segurança de Sistemas Ernani Elias de Souza. Relação TI X PIB. Situação das empresas em relação a TI. O uso da TI na publicidade. Comércio Eletrônico. Bilhões $. Source: International Data Corporation. Comércio Eletrônico Varejo - Brasil. Fonte: e-Consulting. - PowerPoint PPT Presentation
Citation preview
Perfil da Segurança de Sistemas
Ernani Elias de Souza
0
200
400
600
800
1000
1200
1998 1999 2000 2001 2002 2003
ConsumerBusiness
Sou
rce:
Int
erna
tion
al D
ata
Cor
pora
tion
Comércio EletrônicoBilhões $
Comércio EletrônicoVarejo - Brasil
Fonte: e-Consulting
Produtos adquiridos pela Internet
AlimentosEletrodoméstic
os
Filmes, música
Livros e CD´s
Vestuário
Software
Jogos
Informática
Eletrônicos
Viagens
Ingresso
Material Escolar
Outros
Valores acumulados: 1999 a setembro de 2008
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Observação: •Este gráfico não inclui os dados referentes a worms.
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Tipos de ataques utilizando a Internet
Vírus
Danos ao Sof ou Hard
Abuso inf. Pessoal
Fraude BancáriaFraude com
cartãoOutros
0
5
10
15
20
25
1
14%
15%
14%
13%
15%
15%
14%
Indústria deTransformação
Construção
Comércio/ Reparaçãode Autos
Hotel/ Alimentação
Transp./ Armaz./Comunicação
Ativ. Imobiliárias,aluguel e serviços
Ativ. Cinema/ Vídeo/Rádio/ TV
Transações eletrônicas por segmento
90,79
87,65
98,01
97,88
97,6Norte
Nordeste
Sudeste
Sul
Centro-Oeste
Porcentagem das empresas que fazem transações eletrônicas
84,35
56,28
43,41
0
10
20
30
40
50
60
70
80
90
1
Pessoas com ashabilidades requeridasno uso de aplicações deTIC em falta
Especialistas em TICcom as habilidadesrequeridas em falta
Altos custos deremuneração paraespecialistas em TIC
TIPO DE DIFICULDADE ENCONTRADA NO RECRUTAMENTO
Fonte: www.cert.br
Incidentes de Segurança - 2005
Incidentes de Segurança - 2006
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
0
20
40
60
80
100
120
Branch Telephone PC Internet
Cost per Transaction
110¢
11¢
35¢
55¢
Sou
rce:
Fra
ns H
esp
AB
N-A
MR
O 1
1/99
Comparativo de Custo por tipo de Transação
Fatores que Afetam o crescimento das transações eletrônicas
Legislação
Tecnologia
Aplicações
Culturais
Confiança
Fontes de Fraude
8
14
18
58
2
0 5 10 15 20 25 30 35 40 45 50 55 60
Porcentagem
Clientes
Fornecedores
Terceiros
Funcionários
Outros
5
62
52
51
41
14
6
0 10 20 30 40 50 60 70
Porcentagem
Globalização
Reestruturação da Empresa
Problemas Econômicos
Falha de Controle
Impunidade
Perda de Valores Morais
Outros
Causas Prováveis das Fraudes
Outras Formas Geradoras de Fraude
17
37
33
30
23
14
10
10
4
2
1
1
0 5 10 15 20 25 30 35 40
Porcentagem
Balanços Falsificados
Direitos Autorais
Espionagem
Cartão de Crédito
Compras Pessoais
Uso de Informação
Propinas
Notas "Frias"
Notas de Despesas
Roubo de ativos
Falsificação Documento
Outros
Formas de Constatação de Fraudes
12
27
29
18
9
2
39
52
1
0 5 10 15 20 25 30 35 40 45 50 55
Porcentagem
Informações Anônimas
Informações de Terceiros
Informações de Funcionários
Investigações Especiais
Coincidência
Auditoria Externa
Auditoria/Revisão Interna
Controles Internos
Outros
74
57
44
40
35
31
27
0 10 20 30 40 50 60 70 80
Porcentagem
Acesso de Visitantes
Backgroundcheck
Verificação Eletrônica Periódica
Construção da Lealdade
Destruição de Documentos
Restrição de Acesso a Locais
Restrição de Acesso Informações
Medidas Preventivas à Fraude
Perfil do Fraudador
19
38
21
22
0 20 40
Até 2 anos
de 2 a 5 anos
de 6 a 10 anos
acima de 10 anos
Por Tempo de Empresa
1
16
26
57
0 20 40 60
Diretoria
Gerência
Chefia
Suporte
Hierarquia na Empresa
1
20
70
9
0 20 40 60 80
< 25
> 26 < 40
> 41 < 55
> 55
Por Idade
11
28
46
15
0 10 20 30 40 50
<R$1.000
>R$1.000 <R$3.000
>R$3.000 <R$6.000
>R$6.000
Por Salário
• Sugestões de Melhores Práticas– 1. A segurança da informação deve ser elaborada de
forma ativa e preventiva, ou seja, o trabalho deve ser feito antecipadamente a uma perda de informação, os profissionais de segurança geralmente CSOs (Chief Security Officers), devem identificar padrões, vulnerabilidades e contramedidas para evitar a fuga e tornar eficaz o processo de gestão.
– 2. O modelo de segurança da informação proposto deve ser alicerçado em medidas ativas. Estas são métodos para reduzir as vulnerabilidades no processo de produção, armazenamento e compartilhamento das informações. Devem ser vistas sob o prisma antecipatório, ou seja, preventivo. É por esta razão que a identificação da intrusão deve ser antes e não depois da perda de informação ou evento.
– 3. Os responsáveis pela proteção das informações e conhecimentos corporativos, CSOs, precisam adotar procedimentos para conduzir uma avaliação periódica sobre segurança, revisar os resultados com sua equipe e comunicar o resultado para a alta gestão;– 4. Os CSOs precisam planejar, patrocinar e incentivar a adoção de boas práticas corporativas para segurança computacional, sendo municiados com indicadores objetivos que permitam avaliar as ameaças e vulnerabilidades;
– 5. As organizações devem conduzir periodicamente uma avaliação de riscos relacionada a informações e conhecimentos corporativos como parte do programa de gerenciamento de riscos empresariais;
– 6. As organizações precisam desenvolver e adotar políticas e procedimentos baseados na análise de riscos para garantir a segurança das informações e conhecimentos corporativos;
– 7. As organizações precisam estabelecer uma estrutura de gerenciamento da segurança empresarial para definir explicitamente o que se espera de cada indivíduo (papéis e responsabilidades);
– 8. As organizações precisam desenvolver um planejamento estratégico e tomar medidas efetivas para prover a segurança adequada para a sua rede de telecomunicações e seus sistemas computacionais por onde trafegam as informações e os conhecimentos corporativos;
– 9. As organizações precisam tratar a segurança empresarial como parte integral da gestão além de ser uma importante área de negócios e não apenas uma área que evita perdas;
– 10. As organizações precisam divulgar as informações sobre segurança empresarial, treinando e educando os empregados;
– 11. As organizações precisam conduzir testes periódicos e avaliar a eficiência das políticas e procedimentos relacionados à segurança das informações e conhecimentos corporativos;
– 12. As organizações precisam definir e pôr em prática um plano para avaliar e mitigar vulnerabilidades ou deficiências que comprometam a segurança empresarial;
– 13. As organizações precisam desenvolver e colocar em prática ações e procedimentos de resposta imediata a incidentes;
– 14. As organizações precisam definir um plano de continuidade de negócios e testar sua funcionalidade, mantendo-o sempre atualizado;
– 15. As organizações precisam adotar frameworks com as melhores práticas relacionadas à segurança da informação, como o COBIT, o ITIL e a ISO 17799, para medir o nível de maturidade dos processos alcançado com relação à segurança da informação.
“O sucesso é feito de 30% de esforço, 30% de talento e 40% de trabalho de aperfeiçoamento (foco)”
“Creio na habilidade de se focar em algo e aí você pode extrair muito mais disso. Foi assim em toda a minha vida. E foi só uma questão de melhorar essa técnica e aprender mais e mais; é algo que não tem fim. Você sempre encontra novas coisas para aprender. É muito interessante. É fascinante!”
Ayrton Senna
