Controles de Segurança de TI
Thiago Branquinho, CISA, CRISC
Junho de 2011
Controles de TIPage 2
Por que falar sobre segurança?
Controles de TIPage 3
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Ficarmos longe de p...
Controles de TIPage 4
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Temos que fazer iss...
Controles de TIPage 5
Segurança de TI em 2011
Tendências
► Man in the browser (MITB)
► Segurança de arquivos
► Smartphones...
Controles de TIPage 6
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TIPage 7
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TIPage 8
Definições
► Ações
► Proteger ativos
► Informações
► Equipamentos
► Instalações
► Pessoal
► Evitar/r...
Controles de TIPage 10
Ameaças
• Enchentes, tornados,
deslizamentos,
terremotos, tempestades
elétricas
Naturais
• Intencio...
Controles de TIPage 11
Como estas ameaças podem nos impactar?
Impactos
Imagem e
consumidor
• Referência da
Marca
• Reputaç...
Controles de TIPage 12
Casos da Vida Real
Fonte: EXAME.com
Controles de TIPage 13
Casos da Vida Real
► Ford tem projeto (B402) e plano
estratégico divulgados (2005)
► Supostamente g...
Controles de TIPage 14
Riscos
► Dicionários
► Risco: “possibilidade de perda”
► Gerenciamento de Risco: “técnica ou atribu...
Controles de TIPage 15
Riscos
Composição
Vulnerabildade
Ameaça
Impacto
Ativo
explora
causando
Risco
exposição
Probabilidad...
Controles de TIPage 16
Riscos
Aplicação de controles
Vulnerabildade
Ameaça
Impacto
Ativo
Controle
bloqueia
elimina
reduz
Controles de TIPage 17
Riscos
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
Posicionamento
Riscos
Probabi...
Controles de TIPage 18
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TIPage 19
Controles
► As demandas de segurança são
definidas a partir dos:
► Objetivos de negócio
► Riscos
► ...
Controles de TIPage 20
Controles
► Diretivas e objetivos de controle
► Definição de macro processos
► Alinhamento com as d...
Controles de TIPage 21
Aplicação de Controles
► Definições técnicas e operacionais
► Tem como referência:
► Documentos do ...
Controles de TIPage 22
Controles
► A auditoria revisa os controles e
permite a melhoria contínua de
processos, serviços e ...
Controles de TIPage 23
Controles
► A segurança de sistemas e das
informações é obtida com a
implantação de controles, que ...
Controles de TIPage 24
AmbientedeSegurançadeTI
ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
Controles de TIPage 25
Genérico
Controles de TIPage 26
Dados
Controles de TIPage 27
Nuvem
ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
Controles de TIPage 28
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TIPage 29
Auditoria
► Financeiras
► Operacionais
► Integradas
► Administrativas
► Sobre Sistemas da Informaçã...
Controles de TIPage 30
Auditoria
Concluir a auditoria
Alinhar expectativas Estabelecer recomendações
Realizar testes subst...
Controles de TIPage 31
Control Self Assessment
0. Identificar
processos e
objetivos
1. Identificar e
avaliar riscos
2. Ide...
Controles de TIPage 32
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TIPage 33
Discussão
► A segurança é um processo contínuo
► Planejar, Fazer, Verificar, Agir
► Os objetivos do...
Controles de TIPage 34
Discussão
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
Posicionamento
Riscos
Prob...
Obrigado!
Thiago Branquinho, CISA, CRISC
thiago@branq.net
Upcoming SlideShare
Loading in …5
×

Controles de segurança da informação

432 views

Published on

Como estabelecer governança sobre os riscos através da definição de políticas, implantação de controles e auditoria.
Slides apresentados em palestra no Infnet em 2011.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
432
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Controles de segurança da informação

  1. 1. Controles de Segurança de TI Thiago Branquinho, CISA, CRISC Junho de 2011
  2. 2. Controles de TIPage 2 Por que falar sobre segurança?
  3. 3. Controles de TIPage 3 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Ficarmos longe de problemas Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Aumento de ameaças e ataques Objetivos
  4. 4. Controles de TIPage 4 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Temos que fazer isso… Mas como fazer bem feito? Ficarmos longe de problemas Fazer melhor o nosso trabalho Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Uso efetivo da tecnologia Atividades coordenadas de gerenciamento de riscos Aumento de ameaças e ataques Políticas de segurança melhoradas Compliance com base no custo/benefício Controles racionalizados e otimizados Proteger melhor os ativos e informações chave Objetivos
  5. 5. Controles de TIPage 5 Segurança de TI em 2011 Tendências ► Man in the browser (MITB) ► Segurança de arquivos ► Smartphones ► Co-evolução de Cloud e hacking ► Atacante interno ► Redes sociais ► Convergência de regulações ► Segurança proativa ► Segurança como parte dos processos de negócio ► Hacktivismo de infraestruturas críticas Demandas ► Endpoint security ► Controle de acesso reforçado ► Proteção contra malware ► Criptografia de mídias ► Conscientização de usuários ► Security at Cloud (IaaS, SaaS and PaaS) ► Proteção de dados em trânsito e em repouso ► Continuidade de negócios (disponibilidade, integridade, recuperação) ► Gestão de contratos ► Segurança de Infraestrutura Crítica ► Segurança de redes de automação ► Prevenção de Stuxnet-like Tendências e demandas
  6. 6. Controles de TIPage 6 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  7. 7. Controles de TIPage 7 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  8. 8. Controles de TIPage 8 Definições ► Ações ► Proteger ativos ► Informações ► Equipamentos ► Instalações ► Pessoal ► Evitar/reduzir perdas de produtividade ► Auxiliar na redução de prejuízos ► Alinhada com o negócio ► Suficiente ► Confortável ► Dentro do melhor custo/benefício Segurança da Informação Confidencialidade Compartilhamento apenas com pessoas autorizadas Disponibilidade Acessibilidade quando necessária, por aqueles que têm direito Integridade Informação autêntica, completa e confiável
  9. 9. Controles de TIPage 10 Ameaças • Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas Naturais • Intencionais (vírus, cavalos de troia, operação inapropriada) • Não intencionais (falta de habilidade do usuário, falhas de configuração) Humanas • Falta de energia, falha no sistema de climatizaçãoAmbientais ► Antigamente... ► Ataques destrutivos: Chernobyl, Sexta- feira 13 e Madonna ► Motivação dos atacantes: demonstrar habilidades ► Hoje... ► Ataques multi-estágio, silenciosos: construção de botnets ► Foco em aplicações e controle remoto ► Motivação dos atacantes: dinheiro ► Principal alvo: usuários 63 % clicam “OK” sem ler a mensagem (IDG Now, 25 de setembro de 2008)
  10. 10. Controles de TIPage 11 Como estas ameaças podem nos impactar? Impactos Imagem e consumidor • Referência da Marca • Reputação • Confiança Financeiros • Queda de ações • Redução de vendas • Pagamentos de multas Produtividade • Navegação improdutiva • SPAM • Sistemas desligados • Muitos chamados de Help desk Conformidade • Falha no atendimento de leis e normas • Quebra de contratos
  11. 11. Controles de TIPage 12 Casos da Vida Real Fonte: EXAME.com
  12. 12. Controles de TIPage 13 Casos da Vida Real ► Ford tem projeto (B402) e plano estratégico divulgados (2005) ► Supostamente gravados em um CD ► Projeto cancelado (R$ 800 mi) ► Vazamento da prova do ENEM (2009) ► Pessoal envolvido com a impressão ► Prejuízo de R$ 40 mi ► Hacker trocou senha e pediu R$ 350 mil (2008) ► Órgão federal ► 24 horas sem operar, 3.000 pessoas sem acesso ► “Mortos-vivos” da previdência (atual) ► Inconsistência na atualização/verificação dos óbitos ► R$ 1,67 bi em fraudes
  13. 13. Controles de TIPage 14 Riscos ► Dicionários ► Risco: “possibilidade de perda” ► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança” ► (ISC)² ► Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades” Conceitos
  14. 14. Controles de TIPage 15 Riscos Composição Vulnerabildade Ameaça Impacto Ativo explora causando Risco exposição Probabilidade Impacto
  15. 15. Controles de TIPage 16 Riscos Aplicação de controles Vulnerabildade Ameaça Impacto Ativo Controle bloqueia elimina reduz
  16. 16. Controles de TIPage 17 Riscos Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  17. 17. Controles de TIPage 18 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  18. 18. Controles de TIPage 19 Controles ► As demandas de segurança são definidas a partir dos: ► Objetivos de negócio ► Riscos ► Compromissos normativos, contratuais e legais Definindo as demandas de segurança Demandas de Segurança Auditoria Implantação Políticas e Gestão
  19. 19. Controles de TIPage 20 Controles ► Diretivas e objetivos de controle ► Definição de macro processos ► Alinhamento com as demandas de segurança com o auxílio de documentos como: ► CobiT ► ISO 27000 ► ISO 20000 (ITIL) ► ISO 15408 (Common Criteria) ► Exemplo de texto: ► “Os sistemas da informação precisam ser mantidos íntegros” Políticas e Gestão Demandas de Segurança Auditoria Implantação Políticas e Gestão
  20. 20. Controles de TIPage 21 Aplicação de Controles ► Definições técnicas e operacionais ► Tem como referência: ► Documentos do NIST ► Guias OWASP, OSA ► Guias de configurações de fabricantes ► Exemplo de texto: ► “Os sistemas da informação precisam utilizar antivírus, configurado da maneira xyz” Implantação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  21. 21. Controles de TIPage 22 Controles ► A auditoria revisa os controles e permite a melhoria contínua de processos, serviços e da segurança ► Referências ► Planos de auditoria do ISACA ► Exemplo de texto: ► “Os sistemas estão mantendo sua integridade?” ► “Vamos analisar os logs e os padrões de configuração do antivírus” Validação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  22. 22. Controles de TIPage 23 Controles ► A segurança de sistemas e das informações é obtida com a implantação de controles, que podem ser distribuídos em três categorias: ► Gerenciais ► Técnicos ► Controles estabelecidos por sistemas ► Operacionais ► Controles realizados por seres humanos ► Natureza dos controles ► Preventivos ► Detectivos ► Corretivos • Gerenciamento de riscos • Governança Gerenciais • Controle de acesso • Proteção de dados • Proteção de comunicações Técnicos • Conscientização • Continuidade • Gestão de configurações e mudanças Operacionais
  23. 23. Controles de TIPage 24 AmbientedeSegurançadeTI ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  24. 24. Controles de TIPage 25 Genérico
  25. 25. Controles de TIPage 26 Dados
  26. 26. Controles de TIPage 27 Nuvem ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  27. 27. Controles de TIPage 28 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  28. 28. Controles de TIPage 29 Auditoria ► Financeiras ► Operacionais ► Integradas ► Administrativas ► Sobre Sistemas da Informação ► Especializadas/ Atestação ► Forenses Preparação do relatório Alinhamento dos resultados Interpretação de resultados Execução Planejamento pré-auditoria Definição do escopo Definição dos objetivos Definição do tema Tipos e etapas
  29. 29. Controles de TIPage 30 Auditoria Concluir a auditoria Alinhar expectativas Estabelecer recomendações Realizar testes substantivos Testes detalhados Orientação para as boas práticas Realizar testes de conformidade Definir controles-chaves Testes de aderência às políticas e procedimentos Entender os controles internos Ambiente Procedimentos Riscos Auto-avaliações Obter informações e planejar Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos Orientação aos riscos
  30. 30. Controles de TIPage 31 Control Self Assessment 0. Identificar processos e objetivos 1. Identificar e avaliar riscos 2. Identificar e avaliar controles 3. Desenvolver questionários 4. Coletar e analisar respostas Panorama e Benefícios 6. Ações 5. Treinamento e conscientização • Detecção antecipada de riscos • Melhoria dos controles internos • Redução de custos em controles • Melhoria da pontuação de auditoria
  31. 31. Controles de TIPage 32 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  32. 32. Controles de TIPage 33 Discussão ► A segurança é um processo contínuo ► Planejar, Fazer, Verificar, Agir ► Os objetivos do negócio e seus riscos devem ser os balizadores para a definição de controles que serão: ► Formalizados em políticas ► Implantados em sistemas e processos ► Verificados pela auditoria
  33. 33. Controles de TIPage 34 Discussão Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  34. 34. Obrigado! Thiago Branquinho, CISA, CRISC thiago@branq.net

×