Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

826 views
659 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
826
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
48
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

  1. 1. Memória de Aula 05: Segurança e Auditoria de Sistemas Prof. Paulo Rangel, MSc.
  2. 2. CURSO: CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS DISCIPLINA: 043004 - SEGURANCA E AUDITORIA DE SISTEMAS TUTOR: PROF. PAULO SÉRGIO RANGEL GARCIA, MSc. CONTEUDO: Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança. Prof. Paulo Rangel, MSc.
  3. 3. Introdução  As organizações necessitam implantar um processo de segurança da informação.  Que deve ser considerado como um dos ativos intangíveis de proteção de valor.  Ativos tangíveis são os bens físicos ou bens financeiros  Os ativos intangíveis são aqueles que não podem ser materializados, mas que existem e possuem valor, por exemplo: Marcas, Patentes, Capital Humano, etc.
  4. 4. Introdução  Bens Tangíveis e Intangíveis possuem valor:
  5. 5. Introdução  Intangíveis Por exemplo: Marcas Globais
  6. 6. Introdução  Intangíveis
  7. 7. Introdução  Os bens intangíveis possuem valor:
  8. 8. Introdução  Os ativos intangíveis podem ser divididos em aqueles que geram valor e aqueles que protegem o valor.
  9. 9. Exemplos de ativo intangíveis de proteção de valor:  Gestão de Riscos
  10. 10. Exemplos de ativo intangíveis de proteção de valor:  Governança Corporativa
  11. 11. Exemplos de ativo intangíveis de proteção de valor:  Segurança da Informação
  12. 12. Introdução  Os bens intangíveis possuem valor e devem ser protegidos: Convém que a direção estabeleça uma clara orientação da politica, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. NBR ISO/IEC 27002:2005
  13. 13. Motivação  Legislações:  Setor Financeiro  Normas do Banco Central  Normas da CVM
  14. 14. Motivação  Normas e Acordos Internacionais  Acordos da Basiléia Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
  15. 15. Motivação  Normas e Acordos Internacionais  Lei Sarbanes Oxley (SOX)
  16. 16. Motivação  Normas e Acordos Internacionais  Lei Sarbanes Oxley (SOX)  Segurança e auditoria confiáveis  Afeta empresas Brasileiras Com ADR (American Depositary Receipts) na NYSE
  17. 17. Motivação  Adesão a Normas de Segurança da Informação  Pela conscientização do empresário e atitude madura dos acionistas
  18. 18. Motivação  Por pressão de organizações maiores que por estarem obrigadas a possuírem uma estrutura de segurança da informação também exigem o mesmo das organizações que estão em sua cadeia de valor.
  19. 19. Motivação  Movimentos setoriais  Projeto da ABNT – 78:000.00-19 – Informática em Saúde baseada na NBR ISO/IEC27002
  20. 20. Motivação  Pesquisa realizada pela PWC e CIO Magazine e CSO Magazine em 2010
  21. 21. O que é Politica de Segurança
  22. 22. Politicas de Segurança  As normas que abordam as Segurança, por exemplo a NBR ISO 27002:2005 relacionam um série de requisitos para a elaboração de uma Politica de Segurança;  Não existe a definição de um padrão mínimo;  As empresas que já implantaram as politicas de segurança da informação não consideraram todos os requisitos da norma;  O que cada organização deverá adotar? Qual norma a seguir?
  23. 23. Politicas de Segurança  Processos, estruturas conceituais, normas:  Processo de segurança da informação e gestão de riscos   NBR ISO/IEC 27002:2005 NBR ISO/IEC 27001:2006  Governança Corporativa e Governança de Segurança da Informação  (Control Objectives for Information and related Technology)  (Information Technology Infrastructure Library)
  24. 24. NBR ISO/IEC 27001 É a Norma Internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim mitigar riscos de segurança em seus ativos e adequar as necessidades a área de negócio. Tem um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um SGSI. Irá implementar os controles da ISO 27002. Norma publicada em outubro de 2005, substituindo a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
  25. 25. NBR ISO/IEC 27001 Faz a abordagem da implementação segurança da Informação através de processos que procura enfatizar aos usuários: • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação. • Implementar e operar controles para gerenciamento dos riscos • Monitorar o desempenho e a eficácia da política de segurança da informação. • Promover a melhoria contínua.
  26. 26. NBR ISO/IEC 27001 Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo: http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
  27. 27. NBR ISO/IEC 27001 Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA: Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros. Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles. Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança. Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.
  28. 28. NBR ISO/IEC 27001 Esta norma possui 9 (nove) capitulos, numerados de 0 a 8, além de três anexos informativos.
  29. 29. NBR ISO/IEC 27001
  30. 30. NBR ISO/IEC 27002 NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Também conhecida como uma norma para os códigos de práticas para gestão de segurança da informação. E refere-se a quais requisitos devem ser implementados pela organização, sendo também um guia que orienta a utilização dos controles de segurança.
  31. 31. NBR ISO/IEC 27002
  32. 32. NBR ISO/IEC 27002
  33. 33. NBR ISO/IEC 27002 Mapa Mental da ISO 27002
  34. 34. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua aplicação. Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área. Com a implementação desta Norma, as organizações de saúde e outros depositários de informações médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus pacientes.
  35. 35. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores ou por via postal), e como informação deve ser sempre protegida apropriadamente.
  36. 36. Definição da Politica de Segurança  Visão metódica, criteriosa e técnica em seu desenvolvimento.  Envolve proposta de alterações de configurações de equipamentos, na escolha de tecnologias, na definição de responsabilidades, gerando politicas adequadas ao perfil da organização e aderente aos negócios que ela prática e alinhadas aos anseios dos seus proprietários ou acionistas.
  37. 37. Definição da Politica de Segurança  Aspectos importantes a serem percebidos:  Conceito que as informações são um ativo importante;  Envolvimento da alta direção em relação à Segurança;  Responsabilidade formal dos colaboradores;  Definir padrões para a manutenção da segurança.
  38. 38. Desenvolvimento da Politica  Criada antes de problemas ou após para evitar reincidências;  Previne problemas legais e mostra aderência ao processo de qualidade  O que precisa ser protegido esta além do hardware e software;  Backup, propriedade intelectual e respostas a incidentes devem ser considerados;  Recomenda-se a formação de um comitê multidepartamental;  Catalogar e agrupar as informações por categoria estabelecendo os seus proprietários
  39. 39. Desenvolvimento da Politica  Politicas e normas devem ser:  Simples;  Compreensíveis (escritas de maneira clara e concisa)  Homologadas e assinadas pela alta direção  Estruturadas para permitir a implantação por fases  Alinhadas com as estratégias de negócios da empresa, padrões e procedimentos existentes;  Orientadas aos riscos (contra);  Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)  Protetores dos ativos de informação, priorizando os de maior valor e importância;  Positivas e não apenas concentradas em ações proibitivas ou punitivas.
  40. 40. Etapas para o Desenvolvimento  Pode ser dividida em quatro etapas:  Fase I – Levantamento das Informações  Fase II – Desenvolvimento do Conteúdo da Politica e Normas de Segurança  Fase III –Elaboração dos Procedimentos de Segurança da Informação  Fase IV – Revisão, aprovação e implantação das Politicas, Normas e Procedimentos da Segurança da Informação
  41. 41. Fase I Levantamento das Informações  Padrões , normas e procedimentos de segurança em uso;  Entender necessidades e uso dos recursos da TI nos negócios;  Obtenção de informações sobre ambientes de negócios:  Processos de negócios  Tendências de mercado  Controles e áreas de riscos  Obtenção de informações sobre o ambiente tecnológico:  Workflow entre ambientes  Redes de aplicações  Plataformas computacionais
  42. 42. Fase II Desenvolvimento do conteúdo  Gerenciamento da política de segurança  Definição da SI, objetivos do gerenciamento, Fatores críticos de sucesso, gerenciamento de versão e manutenção da politica, referencia para outras politicas, padrões e procedimentos.  Atribuição de regras e responsabilidades  Comitê de SI, Dono das Informações, Área de SI, Usuários da informação, recursos humanos, auditoria interna  Critérios para a classificação das informações  Introdução, classificando a informação, níveis de classificação, reclassificação, armazenamento e descarte, armazenamento e saídas.
  43. 43. Fase II Desenvolvimento do conteúdo  Procedimentos de segurança da informação  Classificação e tratamento da informação,  Notificação e Gerenciamento de incidentes de SI,  Processos disciplinar,  Aquisição e uso de software,  Proteção contra software malicioso,  Segurança e tratamento de mídias,  Uso de internet,  Uso de correio eletrônico,  Uso de recursos de TI,  Backup,
  44. 44. Fase II Desenvolvimento do conteúdo  Procedimentos de segurança da informação  Manutenção de testes e equipamentos,  Coleta e registro de falhas,  Gerenciamento e controle de rede,  Monitoração do uso e acesso aos sistemas,  Uso de controles de criptografia e gerenciamento de chaves,  Controle de Mudanças Operacionais,  Inventário dos ativos de informação,  Controle de acesso físico às áreas sensíveis,  Segurança Física e Supervisão de visitantes e prestadores de serviço.
  45. 45. Fase III Elaboração dos Procedimentos  Pesquisa sobre as melhores práticas em SI adotadas no mercado (Benchmarking);  Desenvolvimento de procedimentos e padrões, para discussão com a Alta Administração, de acordo com as melhores práticas de mercado e com as necessidades e metas da organização;  Formalização dos procedimentos para integra-los às políticas corporativas
  46. 46. Fase IV Revisão, Aprovação e Implantação  Revisão e aprovação das políticas, normas e procedimentos de segurança da informação;  Efetiva implantação das políticas, normas e procedimentos de segurança da informação por meio das seguintes alternativas:  Atuação junto á área responsável pela comunicação / mkt (divulgar)  Divulgar as responsabilidades dos usuários e a importância das Politicas  Realização de palestras para os executivos referentes às politicas, normas e procedimentos de segurança
  47. 47. Modelo de Cronograma
  48. 48. Fatores Comuns nas Políticas  Especificação da Politica – Finalidade, o que é esperado, a quem     atinge; Declaração da Alta Administração – Reafirma a toda organização o compromisso da alta direção com o documento e seu cumprimento; Autores / Patrocinadores da Política – Quem desenvolveu e que deverá receber sugestões de melhorias, duvidas, etc.; Referências a outras politicas, normas e procedimentos; Procedimentos para requisição de exceções à Política - Não descrever em que condições, mas apenas o procedimento / formulário de solicitação
  49. 49. Fatores Comuns nas Políticas  Procedimentos para mudanças da política  Quem serão os responsáveis e a metodologia para estabelecer as novas revisões;  Datas de Publicação, validade e revisão;
  50. 50. Pontos Críticos para o sucesso  Formalização dos processos e instruções de trabalho  Utilização de tecnologias capazes de prover segurança  Atribuição formal das responsabilidades e das respectivas penalidades  Classificação das informações  Treinamento e conscientização constantes
  51. 51. Pontos Críticos para o sucesso  Estabelecer na politica um capitulo para destacar os seguintes pontos:  Confidencialidade;  Integridade;  Disponibilidade;  Legalidade;  Auditabilidade;  Não repudio.
  52. 52. Pontos Críticos para o sucesso  Também se recomendar desmembrá-la em 4 grandes aspectos:  Segurança Computacional – Conceitos e técnicas para proteger o ambiente de TI contra incidentes;  Segurança Lógica – Prevenção contra acessos não autorizados;  Segurança Física – Procedimentos e recursos para prevenir acessos a áreas criticas  Continuidade dos negócios – Procedimentos para reduzir a um nível aceitável o risco de interrupção causada por desastres e falhas (ISO 22031)
  53. 53. Características  Para ser efetiva a politica deve:  Ser verdadeira – Exprimir o pensamento da empresa e ser coerente com suas ações;  Ser complementada com a disponibilidade de recursos – Recursos materiais e humanos para sua plena implantação;  Ser válida para todos – Deve ser cumprida por todos, do Presidente ao estagiário;  Ser simples – Fácil leitura e compreensão. Evite termos técnicos;  Comprometimento da Alta Direção – Deve ser assinada pelo mais alto executivo da empresa;
  54. 54. Treinamento, publicação e divulgação  Mudança da cultura através de:  Avisos (comunicação interna, e-mail, intranet) sobre o esclarecimento dos principais pontos relativos as responsabilidades;  Palestras de conscientização / sensibilização;  Elaboração de material promocional (endomarketing)  Treinamento direcionado (Financeiro, Comercial, etc.)  NBR ISO/IEC 27002  “deve-se garantir que os usuários estejam cientes das ameaças e preocupações de segurança da informação e estejam equipados para apoiar a política de segurança da organização durante a execução normal de seu trabalho”
  55. 55. Treinamento, publicação e divulgação  Para a disseminação das políticas, deve-se considerar:  Uso de diferentes tipos de mídias;  Diferenciação dos tipos de treinamento , por exemplo, básico e avançado;  Orientação para os novos funcionários (integração);  Informativos sobre as atuais tendências dos incidentes de segurança  O elemento humano é fundamental. Quem não participa dos programas de treinamentos se torna o elo fraco da corrente!
  56. 56. Treinamento, publicação e divulgação  O Programa de conscientização precisa ser planejado, implantado, mantido/corrigido e periodicamente reavaliado. Deve englobar as seguintes fases:  Identificação do escopo, metas e objetivos;  Identificação dos instrutores;  Identificação do público alvo  Motivação dos funcionários e da Alta Direção;  Administração do programa;  Continuidade do programa;  Avaliação do programa.
  57. 57. Treinamento, publicação e divulgação  Modelo de Matriz de Treinamento
  58. 58. Treinamento, publicação e divulgação  É responsabilidade da Alta Direção assegurar que todos os usuários dos sistemas de informação da organização saibam como proteger os seus ativos (informações, hardware, software, etc.) e estejam de acordo com as Políticas de Segurança desenvolvidas a partir desta proposta de modelo.
  59. 59. Benefícios  Curto prazo:  Formalização e documentação dos procedimentos de SI;  Implementação de novos procedimentos e controles de SI;  Prevenção de acessos não autorizados, danos ou interferências nos negócios, mesmo em casos de falhas ou desastres;  Maior segurança ao processo de negócios.
  60. 60. Benefícios  Médio prazo:  Padronização dos procedimentos de segurança incorporados a rotina da Companhia;  Adaptação segura de novos processos de negócios;  Qualificação e quantificação dos sistemas de respostas a incidentes;  Conformidade com padrões de segurança como a NBR ISO/IEC 27002.
  61. 61. Benefícios  Longo prazo:  Retorno sobre o investimento realizado pela redução dos problemas e incidentes de SI;  Consolidação da imagem corporativa associada à Segurança da Informação
  62. 62. BIBLIOGRAFIA BÁSICA IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas, 1 2008. LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de 2 Janeiro: Ciência Moderna, 2009. 3 MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2010. BIBLIOGRAFIA COMPLEMENTAR CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os 1 riscos. 2ª Edição. Florianópolis: Visual Books, 2007. 2 3 4 5 FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009. FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo: Brasport, 2008. Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet no Brasil. PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa. 1ª. Edição – São Paulo. Brasport, 2006 Prof. Paulo Rangel, MSc.
  63. 63. BIBLIOGRAFIA RECOMENDADA MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator 1 Humano na Segurança da Informação. São Paulo: Pearson Education, 2003. SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro: 2 Editora Campus, 2003. Prof. Paulo Rangel, MSc.
  64. 64. • Dúvidas • As dúvidas devem ser encaminhadas, e serão respondidas pelo Professor, através do MAIL disponível no TutorWeb. Prof. Paulo Rangel, MSc.

×