Auditoria em tecnologia da informação

1,213 views
1,124 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,213
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
73
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Auditoria em tecnologia da informação

  1. 1. Auditoria emTecnologia daInformaçãoPor André Campos• Especialista em Segurança da Informação (UNESA)• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)• MCSO – Módulo Security Office• Auditor Líder BS 7799 – Det Norske Veritas• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  2. 2. Auditoria emTecnologia daInformaçãoPor André CamposEste material foi produzido como apoio didático para disciplinas degraduação e pós-graduação relacionadas com segurança da informação.O uso é permitido a todo e qualquer docente ou discente das referidasdisciplinas, ou correlatas, desde que sejam respeitados os direitosautorais, ou seja, que os créditos sejam mantidos.Este material não pode ser vendido. Seu uso é permitido sem qualquercusto.AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  3. 3. Auditoria emTecnologia daInformaçãoPor André CamposCrédito das imagensDiversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com.Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foiaplicada sobre elas.Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – ControlandoRiscos”.Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção delucro.AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  4. 4. Auditoria emTecnologia daInformaçãoPor André CamposBibliografiaSistemas de segurança da informação – Controlando Riscos;Campos, André; Editora Visual Books, 2005.Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,John / Hare, Chris; Editora Auerbach, 2004.AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  5. 5. Conceitos básicos de SI• Ativo de informação• Ameaça• Vulnerabilidade• Incidente• Probabilidade• Impacto• Risco• Incidente5AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  6. 6. Conceitos básicos de SIAtivo de informaçãoA informação é elemento essencial para todos osprocessos de negócio da organização, sendo,portanto, um bem ou ativo de grande valor.DADOS INFORMAÇÃO CONHECIMENTO6AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  7. 7. Conceitos básicos de SIPropriedades de segurança da informaçãoINTEGRIDADEDISPONIBILIDADECONFIDENCIALIDADEA segurança dainformação é garantidapela preservação detrês aspectosessenciais:confidencialidade,integridade, edisponibilidade (CID).7AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  8. 8. Conceitos básicos de SIConfidencialidadeO princípio daconfidencialidade érespeitado quandoapenas as pessoasexplicitamenteautorizadas podem teracesso à informação.8AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  9. 9. Conceitos básicos de SIIntegridadeO princípio daintegridade érespeitado quando ainformação acessadaestá completa, semalterações e, portanto,confiável.9AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  10. 10. Conceitos básicos de SIDisponibilidadeO princípio dadisponibilidade érespeitado quando ainformação estáacessível, por pessoasautorizadas, sempreque necessário.10AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  11. 11. Conceitos básicos de SIVulnerabilidadeSão as fraquezaspresentes nos ativos deinformação, que podemcausar, intencionalmenteou não, a quebra de umou mais dos trêsprincípios de segurançada informação:confidencialidade,integridade, edisponibilidade.11AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  12. 12. Conceitos básicos de SIAmeaçaA ameaça é um agenteexterno ao ativo deinformação, queaproveitando-se dasvulnerabilidades desteativo, poderá quebrar aconfidencialidade,integridade oudisponibilidade dainformação suportada ouutilizada por este ativo.12AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  13. 13. Conceitos básicos de SIProbabilidadeA probabilidade é achance de uma falha desegurança ocorrerlevando-se em conta ograu dasvulnerabilidadespresentes nos ativos quesustentam o negócio e ograu das ameaças quepossam explorar estasvulnerabilidades.13AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  14. 14. Conceitos básicos de SIImpactoO impacto de umincidente são aspotenciaisconseqüências que esteincidente possa causarao negócio daorganização.14AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  15. 15. Conceitos básicos de SIRiscoRISCO=IMPACTO*PROBABILIDADEO risco é a relação entre a probabilidade e oimpacto. É a base para a identificação dospontos que demandam por investimentos emsegurança da informação.15AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  16. 16. Conceitos básicos de SIIncidente de Segurança da Informação16AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposQuando uma ameaçaexplora vulnerabilidadesde um ativo deinformação, violandouma de suascaracterísticas desegurança (CID), temoso incidente desegurança dainformação. Esteincidente tem umachance de acontecer, ese acontecer gera umdeterminado impacto ouprejuízo.Incidente de segurançaNegócio da organizaçãoInformaçãoAtivos de informaçãoVulnerabilidadesAmeaçasConfidencialidadeIntegridadeDisponibilidadeGrauvulnerabilidadeGrau ameaçaPROBABILIDADE IMPACTO
  17. 17. Como implementar um sistema de segurançaConhecer os conceitossobre segurança dainformação não significanecessariamente sabergarantir esta segurança.Muitos têm experimentadoesta sensação quandoelaboram seus planos desegurança e acabam nãoatingindo os resultadosdesejados.17AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  18. 18. Como implementar um sistema de segurançaUm gerente de segurança dainformação de verdade trabalha comfatos, com resultados de análise eexames da organização em questão.A partir destes resultados eleestabelece um conjunto de açõescoordenadas no sentido de garantir asegurança da informação; umconjunto de ações, um conjunto demecanismos integrados entre si, defato, um sistema de segurança dainformação.18AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  19. 19. Como implementar um sistema de segurançaA implantação de umsistema de segurança dainformação não é umatarefa trivial.O modelo proposto pelaQualidade (família ISO) éo caminho adequadosuperar este desafio.Este modelo é baseadono conceito de melhoriacontínua (PDCA).Planejar(PLAN)Implementar(DO)Monitorar(CHECK)Melhorar(ACT)19AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  20. 20. Como implementar um sistema de segurançaA primeira fase é de planejamento (PLAN). Nesta fase, édefinido o escopo e abrangência esperada para o sistemade segurança da informação, e realizada a análise de risco,e feito o planejamento para o tratamento do risco.D e finiç ã od o e sc o p oA n á lised o risc oPla n e ja m e nto d etra ta m e nto d o risc o20AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  21. 21. Como implementar um sistema de segurançaEscopoORGANIZAÇÃOVendasRecursos HumanosProduçãoTecnologia daInformaçãoEscopo inicial.Escopo ampliado.Escopo final.Nem sempre é fácilimplantar o sistema emtoda a organização. Porisso, definir escopossucessivamentemaiores talvez seja ocaminho para se chegarao objetivo final:segurança dainformação em toda aorganização.21AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  22. 22. Como implementar um sistema de segurançaAnálise de riscoManterserviços deredeFirewallTecnologia dainformaçãoServidor dearquivosServidor decorreioInvasorinternoVariaçãodeenergiaVírusInvasorexternoBloqueioportas TCPNobreakSistemaantivírusControlede acessofísicoMédioAltoMédioDepois do escopo definido, é ahora de pensar que controlesimplementar.Para otimizar esta decisão éimprescindível realizar a análisede risco. Ela apontará para asprioridades dentro do escopo.A análise deve ser feitaconsiderando as seguintesdimensões: processos,tecnológica, ambiental, epessoas.22AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  23. 23. Como implementar um sistema de segurança23AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposAnálise de risco
  24. 24. Como implementar um sistema de segurançaAnálise de riscoOs processos,tecnologias, ambientes epessoas são, de fato,ativos de informação; oucategorizações destesativos.As pessoas ocupam umaposição central entreestas categorias, poissua importância é maiordo que a das outras.24AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  25. 25. Como implementar um sistema de segurançaO que fazer com o risco?Com o risco já identificado, éimportante decidir o que fazercom ele. É possível:• Evitar• Controlar• Transferir• AceitarIsto fica claro na declaraçãode aplicabilidade.25AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  26. 26. Como implementar um sistema de segurançaDeclaração de aplicabilidade26AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  27. 27. Como implementar um sistema de segurançaImplementando o sistemaApós a etapa de planejamento, o próximo passo é executaro planejado. Isto envolve o planejamento da fase deimplementação, a execução e o controle da implementação,e por fim, o encerramento da implementação.Planejar aimplementaçãoImplementarEncerrar aimplementaçãoControlar aimplementação27AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  28. 28. Monitorando o sistema de segurança28AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposMonitorarcontrolesReavaliarsistemaReavaliarriscosRealizarauditoriasRealizarregistrosO monitoramento oucontrole do sistemaimplica em avaliarsistematicamente se oscontroles implementadosestão atendendo asexpectativas originais.Para tanto, os processosao lado precisam serexecutados comregularidade.
  29. 29. Controles de segurança da informaçãoA implementação de umsistema de segurança dainformação se dá pelainstalação de controlesespecíficos nas maisdiversas áreas daorganização, semprepensando nas dimensõesde processos,tecnologias, ambientes epessoas.29AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  30. 30. Controles de segurança da informação30AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos•Política (PSI)•Estrutura organizacional•Controle de acesso•Pessoas•Segurança física•Segurança lógica•Operação de sistemas•Desenvolvimento desistemas•Continuidade do negócio•Incidentes de segurança•Aspectos legais
  31. 31. Política de segurançada informação31AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  32. 32. Controles de segurança da informaçãoPolíticaDIRETRIZESNORMASPROCEDIMENTOSD1N2 N3N1P4 P5P3P2P1 P6 P7A política desegurança dainformação (PSI)deve estar alinhadacom os objetivos denegócio daorganização.Ela é estruturada emdiretrizes, normas eprocedimentos.32AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  33. 33. Controles de segurança da informaçãoPolítica33AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposEstabelecer ométodo detrabalhoAvaliar asquestões denegócio, legais econtratuaisDefinir contextoestratégicoe de riscoConstruir apolíticaAprovar apolíticaDivulgar apolíticaLegislaçãoRegulamento internoContratosDefinições geraisObjetivos e metasDiretrizesResponsabilidadesDefinições de registro de incidenteFrequência de revisãoCritérios de riscoRisco aceitávelA elaboração e implantaçãode uma política de segurançaé sem si mesmo um projeto aser gerido.Os passos essenciais sãodemonstrados na figura aolado.O governo federal estáobrigado por decreto a possuire respeitar uma política desegurança, conforme Decreto3.505 de 13 de junho de 2000.
  34. 34. Controles de segurança da informação34AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposSersimplesDefinirresponsabilidadesDefinirmetasDefinirpenalidadesSerconsistenteSerobjetivaACESSÍVELCONHECIDAAPROVADADINÂMICAEXEQUÍVELFATORESINTERNOSFATORESEXTERNOSPolíticaA política possuicaracterísticas, oufatores, internos eexternos, queprecisam serrespeitados porocasião de suaelaboração eimplantação.
  35. 35. Estruturaorganizacional35AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  36. 36. Estrutura organizacionalEscritório de segurançaESCRITÓRIO DESEGURANÇA DAINFORMACÃOCOMITÊCOORDENADORSecurity OfficerIMPLEMENTAÇÃOAUDITORIAINTERNADeve haver uma área designadana organização para cuidar dasegurança da informação emtempo integral.O escritório de segurançagerencia o sistema desegurança e faz a interlocuçãoentre o fórum de segurança e ocomitê gestor de segurança.36AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  37. 37. Estrutura organizacionalFórum de segurançaD ir e t o r d e R e c u r s o s H u m a n o sD ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã oD ir e t o r d e V e n d a sD ir e t o r d e P r o d u ç ã oD ir e t o r d e L o g ís t ic aR e p r e s e n t a ç ã o e x e c u t i v aORGANIZAÇÀOF Ó R U M D ES E G U R A N Ç A D AI N F O R M A Ç Ã OO fórum de segurança da informação é quem decide, em última análise,sobre a implantação ou não dos controles de segurança da informação.Este fórum, em geral, é a própria diretoria da organização, ou umacomissão por ela indicada.37AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  38. 38. Estrutura organizacionalComitê gestorO comitê gestor desegurança da informação éuma estrutura matricialformada por representantesdas áreas mais relevantesda organização.Este grupo ajuda a detectarnecessidades e a implantaros controles.A coordenação do grupo,em geral, é do Gerente deSegurança.38AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  39. 39. Classificação dainformação39AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  40. 40. Classificação da informaçãoAs informações possuemvalor e usos diferenciados, eportanto, precisam de grausdiferenciados de proteção.Cada tipo de proteção possuiseu próprio custo, e classificara informação é um esforçopara evitar o desperdício deinvestimento ao se tentarproteger toda a informação.40AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  41. 41. Classificação da informação41AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA informação deve ser classificada em nívelcorporativo, e não por aplicação oudepartamento. Os principais benefícios são:• CID é fortalecido pelos controlesimplementados em toda a organização;• O investimento em proteção é otimizado;• A qualidade das decisões é aumentada, jáque as informações são mais confiáveis;• A organização controla melhor suasinformações e pode fazer uma re-análiseperiódica de seus processos e informações.
  42. 42. Classificação da informaçãoPara começar, algumas perguntas:Existe um patrocinador para o projetode classificação?O que você está tentando proteger, edo quê?Existe algum requerimento regulatórioa ser considerado? (Decreto 4.554/2003)O negócio entende suaresponsabilidade sobre a informação?Existem recursos disponíveis para oprojeto?42AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  43. 43. Classificação da informaçãoA política de segurança da informaçãodeve contemplar as políticas declassificação. Alguns critérios essenciaisprecisam ser definidos nesta política:• As definições para cada uma dasclassificações;• Os critérios de segurança para cadaclassificação, tanto em termos de dadosquanto em termos de software;• As responsabilidades e obrigações decada grupo de indivíduos responsável pelaimplementação da classificação e por seuuso.43AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  44. 44. Classificação da informaçãoAinda, a política precisa estabelecer asseguintes regras:• A informação é um bem e precisa serprotegido;• Os gerentes são proprietários dainformação;• A área de TI é custodiante dainformação;• Obrigações e responsabilidades para osproprietários da informação;• Propor um conjunto mínimo de controlesque devem ser estabelecidos.44AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  45. 45. Gestão das pessoas45AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  46. 46. Gestão de pessoas46AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposAs pessoas são o elementocentral de um sistema desegurança da informação.Os incidentes de segurança dainformação sempre envolvepessoas, quer no lado dasvulnerabilidades exploradas,quer no lado das ameaças queexploram estasvulnerabilidades.Pessoas são suscetíveis àataques de engenharia social.
  47. 47. Gestão de pessoasA engenharia social é aforma de ataque maiscomum para este tipo deativo.Engenharia social é oprocesso de mudar ocomportamento daspessoas de modo que suasações sejam previsíveis,objetivando obter acesso ainformações e sistemas nãoautorizados.47AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  48. 48. Gestão de pessoasUm ataque de engenhariasocial é realizado em trêsfases:1 – Levantamento deinformações;2 – Seleção do alvo;3 – Execução do ataque.48AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  49. 49. Gestão de pessoasDevem ser criadas políticaspara aplicação antes docontrato de pessoal.• Papéis eresponsabilidades;• Seleção;• Termos e condições decontratação.49AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  50. 50. Gestão de pessoasPolíticas para aplicação durante contrato de pessoal.• Responsabilidades da Direção;• Conscientização e treinamento;• Processo disciplinar.50AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  51. 51. Gestão de pessoasE políticas para aplicação noencerramento do contrato depessoal.• Encerramento deatividades;• Devolução de ativos;• Retirada dos direitos deacesso.51AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  52. 52. Segurança física52AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  53. 53. Segurança física53AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposAs políticas de segurançafísica devem proteger osativos de informação quesustentam os negócios daorganização.Atualmente a informaçãoestá distribuída fisicamenteem equipamentos móveis,tais como laptops, celulares,PDAs, memory keys,estações de trabalho,impressoras, telefones,FAXs, entre outros.
  54. 54. Segurança física54AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA segurança física precisa garantir asegurança da informação para todosestes ativos.Esta segurança deve ser aplicadapara as seguintes categorias deativos:• Sistemas estáticos, que sãoinstalações em estruturas fixadas noespaço;• Sistemas móveis, que são aquelesinstalados em veículos oumecanismos móveis;• Sistemas portáteis, que sãoaqueles que podem ser operadosem qualquer lugar.
  55. 55. Segurança física55AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposDiversas ameaças que podemexplorar vulnerabilidades físicas,tais como:Naturais – Enchentes,tempestades, erupçõesvulcânicas, temperaturasextremas, alta umidade...Sistemas de apoio – Comunicaçãointerrompida, falta de energia,estouro em tubulações...Humanas – Explosões, invasõesfísicas, sabotagens, contaminaçãoquímica...Eventos políticos – Ataqueterrorista, espionagem, greves...
  56. 56. Segurança físicaA segurançafísica requerque a áreasejaprotegida, euma formasimples deenxergar asegurançafísica édefinindoperímetro desegurança, oucamadas deacesso.Sala dos computadoresservidoresSuporte operacionalAtendimentoao clienteRecepção1 234Porta, eequipamentoparadigitação desenha eleitura deimpressãodigitalPorta, eequipamentoparadigitação desenhaPortaPorta erecepcionista56AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  57. 57. Segurança física57AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposAs seguintes políticas de segurança físicadevem ser consideradas:• Controle de entrada física;• Segurança em escritórios, salas einstalações;• Proteção contra ameaças externas enaturais;• Proteção das áreas críticas;• Acesso de pessoas externas;• Instalação e proteção dos equipamentos;• Equipamentos fora da organização;• Estrutura de rede;• Manutenção dos equipamentos;• Reutilização e alienação de equipamentos;• Remoção de propriedade.
  58. 58. Gestão das operaçõesde TI58AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  59. 59. Gestão das operações de TI59AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposAs operações de TIenvolve o controle sobreo hardware, mídias,gestão de privilégios,rede, segurança Internet,métodos de transmissãode informações, entreoutros.O objetivo é garantir oCID em todas estasoperações.Políticas devem sercriadas para este fim.
  60. 60. Gestão das operações de TIAs responsabilidadesoperacionais devem seratribuídas, eprocedimentos precisamser escritos, aprovados epublicados.60AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  61. 61. Gestão das operações de TIOs serviços operacionaisde tecnologia dainformação prestadospor terceiros precisamser regulados edevidamentegerenciados.61AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  62. 62. Gestão das operações de TIA necessidade desistemas precisa serplanejada de acordo comas necessidadesdemonstradas nosprocessos de negócio.Estes sistemas devempassar por avaliação ehomologação antes daentrada definitiva emoperação.62AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  63. 63. Gestão das operações de TIUma política de cópia desegurança (backup) deveser estabelecida.As operações de backupprecisam sergerenciadas.63AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  64. 64. Gestão das operações de TIA segurança dasoperações em rede é umimportante fator a serconsiderado na políticade segurança dainformação.64AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  65. 65. Gestão das operações de TIUma política paramanuseio de mídiasdeve ser elaborada.Questões tais como ogerenciamento, odescarte, procedimentospara tratamento dainformação, e asegurança para osdocumentos de sistema,são importantes nestapolítica.65AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  66. 66. Gestão das operações de TIA troca de informaçõesdeve ser considerada.Questões importantessão: estabelecerprocedimentos paratroca de informações,mídias em trânsito,mensagens eletrônicas,sistemas de informaçõesdo negócio, entre outros.66AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  67. 67. Gestão das operações de TI67AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposPor fim, é importante consideraro monitoramento de todas asoperações em TI.Para tanto, devem existirregistros de auditoria,monitoramento do uso dossistemas, proteção dasinformações de registro (log),registro de log tanto de operadorquanto de administrador, registroem log das falhas, e mecanismode sincronização dos relógiosdas máquinas.
  68. 68. Controle de acessológico68AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  69. 69. Controle de acesso lógico69AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposÉ preciso elaborar umapolítica de controle deacesso, que apontarápara os requisitos denegócio e para as regrasde controle de acesso.Na idade média já existiao conceito de controle deacesso, quando umasenha ou frase secretaera a chave para entrarem um determinadorecinto.
  70. 70. Controle de acesso lógicoO conceito de controlede acesso baseia-se emdois princípios:1 – Separação deresponsabilidades;2 – Privilégios mínimos.70AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  71. 71. Controle de acesso lógico71AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposO conceito de separaçãode responsabilidadesimplica na separação deum determinado processode modo que cada partepossa ser realizada poruma pessoa diferente.Isto obriga oscolaboradores a interagirpara concluir umdeterminado processo,diminuindo as chances defraudes.
  72. 72. Controle de acesso lógico72AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposO conceito de privilégiomínimo implica na concessãoapenas dos privilégiosmínimos necessários paraque uma pessoa realize suasatividades.Isto evita o conhecimento deoutras possibilidades, queeventualmente poderiam levara incidentes de segurança dainformação. Há um termo eminglês para este conceito:“need-to-know”.
  73. 73. Controle de acesso lógico73AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA política de controle de acesso deveabranger pelo menos os seguintestemas:1 – Definição dos requisitos de negóciopara controle de acesso;2 – Gerenciamento dos acessos pelosusuários;3 – Definição das responsabilidadesdos usuários;4 – Controle de acesso à rede;5 – Controle de acesso ao sistemaoperacional;6 – Controle de acesso aos sistemasde informação;7 – Computação móvel e trabalhoremoto.
  74. 74. Desenvolvimento eaquisição de sistemas74AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  75. 75. Aquisição, desenvolvimento e manutenção de sistemas75AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA segurança dos dados einformações em sistemas é umdos mais importantes objetivos deum sistema de segurança dainformação.Os procedimentos dedesenvolvimento destes sistemassão uma questão vital para asegurança, para a manutençãodo CID das informações.A política de desenvolvimento desistemas é o mecanismos paragarantir estes resultados.
  76. 76. Aquisição, desenvolvimento e manutenção de sistemasA aquisição de sistemaspossibilita o surgimento dediversas vulnerabilidades.A utilização de códigos abertosdisponibilizados por comunidadesé um dos perigos muitas vezesignorados.A política de sistemas precisagarantir a diminuição destasvulnerabilidades.76AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  77. 77. Aquisição, desenvolvimento e manutenção de sistemasO desenvolvimento e manutençãode sistemas também contémdiversas vulnerabilidades.Se não houver uma políticaexplicita que oriente estedesenvolvimento,vulnerabilidades poderão serintroduzidas no levantamento derequisitos, na construção doprojeto, e na implantação dosistema.77AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  78. 78. Aquisição, desenvolvimento e manutenção de sistemas78AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA política de sistemas de informaçãodeve se preocupar com os seguintesassuntos:1 - Definição dos requisitos desegurança para sistemas;2 – Processamento correto nasaplicações;3 – Controles criptográficos;4 - Segurança dos arquivos desistema;5 – Segurança nos processos dedesenvolvimento e manutenção;6 – Gestão das vulnerabilidadestécnicas.
  79. 79. Gestão de incidentesde segurança79AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  80. 80. Gestão dos incidentes de segurança da informaçãoApesar de todos oscontrolesimplementados,eventualmente ocorrerãoincidentes de segurançada informação.Estes incidentes podemser uma indicação deque alguns dos controlesnão estão sendoeficazes, e este é umbom motivo parareavaliar os mesmos.80AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  81. 81. Gestão dos incidentes de segurança da informaçãoA política de segurançada informação deve sepreocupar com pelomenos os seguintesassuntos sobre gestãode incidentes:1 – Notificação e registrodos incidentes;2 – Tratamento dosincidentes e melhoriacontínua.81AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  82. 82. Plano de continuidadede negócio82AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  83. 83. Plano de continuidade do negócio (PCN)O plano de continuidade de negócioé de fato uma política para que osnegócios da organização não sejaminterrompidos por incidentes desegurança da informação.Isto significa que esta política devegarantir a existência deprocedimentos de preparação, teste,e manutenção de ações específicaspara proteger os processos críticosdo negócio.Um PCN é constituído de 5 fases.83AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  84. 84. Plano de continuidade do negócio (PCN)1 - Iniciação egestão doprojeto.Nesta fase sãoestabelecidos ogerente e a equipedo projeto, queelaboram o planodeste projeto.84AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  85. 85. Plano de continuidade do negócio (PCN)2 - Análise deimpacto para onegócio.Nesta fase sãoidentificados ostempos críticos dosprocessos essenciaisda organização, edeterminados ostempos máximos detolerância de paradapara estes processos(downtime).85AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  86. 86. Plano de continuidade do negócio (PCN)3 – Estratégias derecuperação.Nesta fase são identificadase selecionadas asalternativas adequadas derecuperação para cada tipode incidente, respeitando ostempos definidos na etapaanterior (análise de impactopara o negócio).86AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  87. 87. Plano de continuidade do negócio (PCN)4 – Elaboração dosplanos.Nesta fase são construídosos documentos, os planosde continuidadepropriamente ditos. Estesdocumentos são resultadosda análise de impacto parao negócio, e estratégias derecuperação.87AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  88. 88. Plano de continuidade do negócio (PCN)5 – Teste, manutenção etreinamento.Nesta fase sãoestabelecidos os processospara teste das estratégiasde recuperação,manutenção do PCN, egarantia de que osenvolvidos estão cientes desuas responsabilidades edevidamente treinados nasestratégias de recuperação.88AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  89. 89. Conformidade com osaspectos legais89AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  90. 90. Conformidade com os aspectos legais90AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposTodo o sistema desegurança da informação,com todos os seuscontroles, deve estar emplena harmonia econformidade com as leisinternacionais, nacionais,estaduais, municipais, ecom as eventuaisregulamentações internasda organização, bem comocom as orientações denormatização eregulamentação domercado.
  91. 91. Conformidade com os aspectos legaisA política de segurançaprecisa garantir que sejaavaliada a legislaçãovigente, que existammecanismos paradeterminar se um crimeenvolvendo sistemas ecomputadores foicometido, e que estesprocedimentos possibilitema preservação e coleta dasevidências incriminatórias.91AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  92. 92. Conformidade com os aspectos legaisOs principais incidentes quepodem ter implicações legais:1 – Viroses e códigosmaliciosos;2 – Erro humano;3 – Ataques terroristas;4 – Acesso não autorizado;5 – Desastres naturais;6 – Mau funcionamento dehardware e software;7 – Serviços indisponíveis.92AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  93. 93. Conformidade com os aspectos legais93AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposMas como os crimes podemenvolver computadores?Crime apoiado porcomputador. Fraudes,pornografia infantil, etc.Crime específico decomputador. DOS, sniffers,roubo de senhas, etc.Crimes em que o computadoré um mero elemento. Lista declientes de traficantes, etc.Vejamos alguns incidentes históricos...
  94. 94. Conformidade com os aspectos legaisEquity Funding. Consideradoo primeiro crime grandeenvolvendo computadores. Aorganização usou seuscomputadores para criarfalsos registros e outrosinstrumentos para aumentar ovalor da organização nomercado.Os auditores, que checavamtodas as evidencias noscomputadores ao invés deavaliar as transações reais,foram enganados por muitotempo.94AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  95. 95. Conformidade com os aspectos legais412 Gang. Em 1982 umgrupo auto-intitulado“412 Gang” ganhou famanacional nos EstadosUnidos quando derrubouo servidor de banco dedados do “MemorialSloan Kettering CancerCenter”, e depois invadiuos computadores de umaorganização militarchamada “Los Alamos”,no Novo México.95AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  96. 96. Conformidade com os aspectos legaisKevin Mitnick. Sem dúvida,trata-se do mais famoso ereconhecido hacker de todosos tempos. Foi o mestre na arteda engenharia social, técnicaque empregou extensivamentepara obter acesso a muitossistemas de computores.Hoje ele presta serviços desegurança da informação, eseu site é owww.kevinmitnick.com.96AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  97. 97. Conformidade com os aspectos legais97AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré CamposA política de segurança devegarantir procedimentos paraidentificação e adequação àlegislação vigente.Isto inclui os direitos depropriedade intelectual, aproteção aos registrosorganizacionais, a proteção dedados e privacidade deinformações pessoais, aprevenção de mau uso dosrecursos de processamento dainformação, e a regulamentaçãodos controles de criptografia.
  98. 98. Conformidade com os aspectos legaisConformidade entre aspolíticas de segurançada informação etambém aconformidade técnica.Isto significa quedevem serconsideradas aspolíticas e normas desegurança, e aavaliação técnicadestas normas.98AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  99. 99. Conformidade com os aspectos legaisE finalmente asquestões referentes àauditoria.A política deve garantirque existam controlesde auditoria, eproteção àsferramentas deauditoria, o quegarantirá aconfiabilidade destasferramentas.99AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos
  100. 100. Auditoria emTecnologia daInformaçãoPor André Campos• Especialista em Segurança da Informação (UNESA)• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)• MCSO – Módulo Security Office• Auditor Líder BS 7799 – Det Norske Veritas• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.AUDITORIA EMTECNOLOGIA DAINFORMAÇÃOProfessorAndré Campos

×