O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
PETI - Planejamento Estratégico de Tecnologia da Informação
Auditoria e Segurança em TI
1. Auditoria e
Segurança em
Tecnologia da
Informação
Wagner Silva
Gestão de Tecnologia da Informação
2. Segurança da Informação
• A Informação existe em varias formas
• Tem valor e necessita protegida
• Crucial para o funcionamento de uma empresa
• As empresas estão mais vulneráveis às interrupções ou
falhas
• Quanto mais tempo, mais sérias são as consequências
• A Segurança da Informação é um problema
organizacional e não tecnológico
• Integração entre componentes de gestão e tecnologia
• Envolve riscos e custos
4. Segurança da Informação
Principais Aspectos
• Confidencialidade: permissão de acesso apenas para
usuários autorizados
• Integridade: a informação deve estar correta, ser
verdadeira e não estar corrompida
• Disponibilidade: disponível sempre que requisitada
5. Segurança da Informação
Demais aspectos
• Autenticação: garantir a identidade de um usuário
• Não-repúdio: capacidade de provar as ações executadas
• Legalidade: aderente à legislação
• Privacidade: quando necessário, garantir o anonimato
• Auditoria: capacidade de detectar fraudes ou tentativas de
ataque
6. Segurança da Informação
Ativo de Informação
• Um ativo de informação é composto pela informação, o
meio que a suporta, que a mantém e que permite que ela
exista, as pessoas que a manipulam e o ambiente onde ela
está inserida:
• Aspectos Humanos
• Ambiente Físico
• Ambiente Lógico
• Controle de Acesso
8. Fornecimento de TI
corporativa
• 75% do fornecimento de TI corporativa serão feitos por meio de
computação em nuvem até 2016
• Expectativas:
• Redução de custos (68%), maior agilidade (59%) e melhorar os serviços
(55%)
• Principais barreiras:
• Definição de SLAs (68%), conformidade com governança e
regulamentações (63%), gerenciamento de problemas com soberania de
dados (62%) e identificação do parceiro estratégico adequado (62%)
• Aplicações:
• CRM (71%), backup e armazenamento do banco de dados (67%)
• Aplicações financeiras: menos prováveis de passarem por essa transição
• Capacidades:
• Segurança (72%), SLAs (61%) e cargas de trabalho (59%)
Coleman Parkes Reserch, 2013
9. Sistema de Gestão de
Segurança da Informação
• Resultado da aplicação planejada de objetivos, diretrizes,
políticas, procedimentos, modelos e outras medidas
administrativas que, de forma conjunta, definem como
são reduzidos os riscos para a segurança da informação.
• É uma parte do sistema global de gestão, baseado numa
abordagem de risco, que permite definir, implementar,
operacionalizar, monitorar, manter e melhorar a
segurança da Informação.
• Considera, basicamente:
• Os ativos que estão sendo protegidos
• O gerenciamento de riscos
• Os objetivos de controles e controles implementados
10. Política de Segurança da
Informação
• Composta por um conjunto de regras e padrões sobre o que deve
ser feito para assegurar que as informações e serviços importantes
para a empresa recebam a proteção conveniente
• Avaliação de Risco: determina o nível de risco para a empresa
caso uma atividade ou processo específico não sejam controlados
adequadamente
• Política de Segurança: declaração que estabelece uma
hierarquia para os riscos de informação e dentífrica metas de
segurança aventáveis, assim como os mecanismos para atingi-las.
• Plano de recuperação de desastres: inclui estratégias para
restaurar os serviços de computação e comunicação após eles
terem sofrido uma interrupção causada por eventos da natureza
ou por ataques.
• Plano de continuidade dos negócios: concentra-se em como
a empresa pode restaurar suas operações após um desastre.
11. Metodologias e Melhores Práticas
em Segurança da Informação
• COBIT
• ITIL
• NBR ISO/IEC 27000
12. Segurança da Informação
NBR ISO/IEC 27000
• 1995: Publicada a primeira versão da BS 7799-1
• 1998: Publicada a primeira versão da BS 7799-2
• 1999: Publicada a primeira revisão da BS 7799-1
• 2000: Publicada a primeira versão da ISO/IEC 17799
• 2001: Publicada a primeira versão da NBR ISO/IEC
17799
• 2002: Publicada revisão da BS 7799-2
• 2005: Publicada a segunda versão da NBR ISO/IEC
17799
• Publicada a primeira versão da ISO/IEC 27001
• 2006: 2001: Publicada a primeira versão da NBR ISO/
IEC 27001
• 2007: Alteração do nome da NBR 17799 para NBR
27002
13. Segurança da Informação
NBR ISO/IEC 27000
• Série de padrões relacionados a temática de Segurança da
Informação
• Conjunto de normas desenvolvidas, que fornecem uma
estrutura para gerenciamento de segurança da informação
para qualquer organização, pública ou privada, grande ou
pequeno porte.
• Melhores práticas sobre Gestão de Segurança da Informação e
quais os requisitos e metodologias para implementá-la dentro
de uma organização.
• Base de gestão de Segurança da Informação usada pelo COBIT,
ITIL e outras metodologias de Governança e Gestão de TI.
14. Segurança da Informação
NBR ISO/IEC 27000
27001 Vocabulário e definições a serem utilizadas pelas restantes
Normas
27002 Define boas práticas para a gestão da segurança da
Informação
27003 Guia para a implementação de um SGSI
27004 Define métricas e meios de medição para Avaliar a eficácia
de um SGSI
27005 Define linhas de orientação para a gestão do risco da
segurança da Informação
27006 Guia para o processo de acreditação de entidades
certificadoras
15. Segurança da Informação
NBR ISO/IEC 27002
• Política de Segurança da Informação;
• Organizando a Segurança da Informação;
• Gestão de Ativos;
• Segurança em Recursos Humanos;
• Segurança Física e do Ambiente;
• Gestão das Operações e Comunicações;
• Controle de Acesso;
• Aquisição, Desenvolvimento e Manutenção de Sistemas
de Informação;
• Gestão de Incidentes de Segurança da Informação;
• Gestão da Continuidade do Negócio;
• Conformidade.
16.
17. Auditoria em Segurança da
Informação
• Identifica todos os controles que governam sistemas
individuais de informação e avalia sua efetividade
• Compreender por completo as operações, instalações
físicas, telecomunicações, sistemas de controle, objetivos
de segurança de dados, estrutura organizacional, pessoal,
procedimentos manuais e aplicações individuais da
organização
• Lista e classifica todos os pontos fracos do controle e
estima a probabilidade de ocorrerem erros nesses pontos