1 / 72

Auditoria de Segurança da Informação

Auditoria de Segurança da Informação. Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão. Conceitos Básicos. Qual a importância da informação? O uso das informações evoluiu nas organizações?. Conceitos Básicos. Qual a importância da informação?

idola-moses
Télécharger la présentation

Auditoria de Segurança da Informação

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação

  2. Conceitos Básicos • Qual a importância da informação? • O uso das informações evoluiu nas organizações?

  3. Conceitos Básicos • Qual a importância da informação? • Financeira; Estratégica; Operacional, etc... • Antigamente... • Centralizados e não automático; • Depois... • Automatização dos processos;

  4. Conceitos Básicos • Atualmente... • Tecnologia da informação; • Informação de alto nível; • Alta conectividade; • Aplicações conectadas: • B2B; • B2C; • Comércio eletrônico; • ERPs;

  5. Conceitos Básicos • Fundamental para os processos e negócios da empresa; • Clientes, fornecedores, parceiros e governos conectados; • Este cenário traz risco para as empresas. • Quais riscos?

  6. Conceitos Básicos • As empresas têm grande atenção aos seus ativos físicos e financeiros; • E não protegem os ativos de informação; • Ativos da informação: • A própria informação; • Meio de armazenamento; • Todo processo e manipulação;

  7. Conceitos Básicos • Então é preciso criar medida para proteção dos ativos da informação; • Segurança da Informação: • Área responsável pela proteção dos ativo da informação; • Acesso não autorizado; • Alterações indevidas; • Indisponibilidade.

  8. Conceitos Básicos • Três propriedades da segurança da informação: • Confidencialidade; • Integridade; • Disponibilidade;

  9. Conceitos Básicos • Confidencialidade: • Protege o conteúdo; • Apenas lê quem tem direito; • Protege por grau de sigilo;

  10. Conceitos Básicos • Integridade: • Modificação durante o trânsito; • Informação não pode ser alterada; • Informação igual a original; • Apenas quem tem direito pode modificar;

  11. Conceitos Básicos • Disponibilidade: • A informação deve estar disponível; • Quando quem tem direito deseja acessar; • Exceto em situações previstas, como manutenção.

  12. Conceitos Básicos • Gestão Corporativa de Segurança: • Considera o negócio da empresa como um todo; • Incluí mais dois conceitos: • Autenticidade; • Legalidade;

  13. Conceitos Básicos • Autenticidade: • Identificação dos elementos da transação; • Acesso através da identificação; • Comunicação, transações eletrônicas, documentos, etc.

  14. Conceitos Básicos • Legalidade: • Valor legal da informação; • Análise de cláusulas contratuais; • Concordância com a legislação.

  15. Conceitos Básicos – Outros • Autorização; • Auditoria; • Relevância do ativo; • Relevância do Processo; • Criticidade; • Irretratabilidade;

  16. Conceitos Básicos • Autorização: • Concessão de permissão; • Acesso a informações ou aplicações; • Em um processo de troca de informações; • Depende da identificação e autenticação;

  17. Conceitos Básicos • Relevância do Ativo: • Grau de importância de uma informação; • Quando os processos dependem da informação; • Quando a organização depende da informação;

  18. Conceitos Básicos • Relevância do Processo: • Grau de importância do processo; • Objetivos da organização dependem dele; • Sobrevivência da organização depende do processo;

  19. Conceitos Básicos • Criticidade: • Gravidade do impacto no negócio; • Ausência de um ativo da informação; • Perda ou redução de funcionalidade; • Uso indevido ou não autorizado de ativos da informação.

  20. Conceitos Básicos • Irretratabilidade: • Sinônimo de não-repúdio; • Informação possuí a identificação do emissor; • A identificação autentica o autor; • Autor não pode negar a geração da informação.

  21. Ameaças e Ataques • Ameaças: • Agentes ou condições; • Causam incidentes que comprometem as informações; • Exploram vulnerabilidades; • Perda de confidencialidade, integridade e disponibilidade; • Causam impacto nos negócios da organização.

  22. Ameaças e Ataques • Ameaças externas ou internas; • As ameaças sempre existirão; • Independente dos controles de segurança; • As medidas podem eliminar as vulnerabilidades; • E neutralizar as ameaças;

  23. Ameaças e Ataques • Classificação das ameaças: • Intencionais; • Acidentais; • Internas; • Externas;

  24. Ameaças e Ataques • Ameaças exploram vulnerabilidade para realizar ataques. • Ataques: • Tentativa de quebras as propriedades de segurança; • Confidencialidade, integridade e disponibilidade; • Outras propriedades estudadas;

  25. O papel das Ameaças

  26. Definição de Controles • Políticas de Segurança; • Normas ISO; • Tipos de Políticas;

  27. Definições • Conjunto de regras; • Determina como as informações são geridas; • Deve ser ampla e simples; • Revisão contínua; • Apoio da alta administração;

  28. Definições • Define objetivos; • Define responsabilidades; • Define Penalidades;

  29. Definições • BS7799: norma inglesa; • BS7799-1 = ISO 17799: código de boas práticas de segurança; • BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; • ISO 17799 e 27001 foram traduzidos pela ABNT.

  30. Definição • CobiT: modelo de governança de TI; • 30% relacionado com segurança; • ISO 15408 (Common Criteria): • Define e avalia requisitos de segurança em sistemas; • Volume 1: Definições e Metodologia; • Volume 2: Requisitos de Segurança; • Volume 3: Metodologias de Avaliação;

  31. ISO 27001 • Define um “Sistemas de Gestão da Segurança da Informação” • Usa o ciclo PDCA • Planejar (plain); • Fazer ou implementar (do); • Monitorar (check); • Melhorar (act);

  32. ISO 27001

  33. ISO 27001 • Possui 11 seções: • Política de Segurança; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gerenciamento das Operações e Comunicações;

  34. ISO 27001 • Possui 11 seções: • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança; • Gestão de Continuidade do Negócio; • Conformidade;

  35. ISO 27001 • Norma encoraja: • Entendimento de requisitos de segurança; • Necessidade de uma política de segurança; • Implementação de controles; • Gerência de riscos; • Monitoração e revisão do SGSI; • Melhoria contínua;

  36. Políticas Organizacionais • Aplicada a toda a organização; • Define objetivos; • Define responsabilidades; • Define escopo; • Cita leis e regulamentos;

  37. Políticas Organizacionais • Observações: • Não existem modelos prontos de política; • Não existe política certa ou errada; • A política deve ser definida de acordo com cada organização;

  38. Políticas Específicas • Trata que questões detalhas; • De um determinado setor; • Do uso de um determinado serviços; • Ex: e-mail: • Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de e-mail;

  39. Políticas de Sistemas • Definem as configurações dos sistemas; • Ex.: Banco de Dados, Sistemas Operacionais; • De forma que os sistemas estejam de acordo com a política organizacional;

  40. Plano de Contingência • É mais amplo que o plano de recuperação de desastres; • Plano global para manter os ativos em funcionamento; • São procedimentos pré-estabelecidos para o caso de ataques; • Muitas empresas não sobrevivem à perda de seus ativos;

  41. Plano de Contingência • Preservação: tentar evitar a destruição dos ativos; • Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; • São 2 conceitos importantes para a continuidade;

  42. Gestão de Segurança...

  43. Gestão de Segurança...

  44. Conceitos Básicos • Auditoria: • Coleta de evidências; • Busca a identificação de entidades; • Busca a origem, o destino e os meios de tráfego da informação.

  45. Serviços e MecanismosAuditoria • Auditoria engloba análise: • das operações; • dos processos; • dos sistemas; • das responsabilidades; • Objetivo de verificar conformidade com normas, regras, políticas ou padrões;

  46. Serviços e MecanismosAuditoria • Auditoria abrange: • Identificação de Controles; • Aplicação de Procedimentos de Auditoria; • Descoberta de Achados da Auditoria; • Geração de Papéis de Trabalho; • Recomendações de auditoria;

  47. Serviços e MecanismosAuditoria • Identificação de Controles: • Fiscalização sobre atividades de pessoas, órgãos ou produtos; • Três tipos de controles: • Preventivo: prevenir ataques. Ex: Senhas; • Detectivo: detectar ataques. Ex: Relatório de acesso; • Corretivo: reduzir impactos. Ex: Plano de Continuidade;

  48. Serviços e MecanismosAuditoria • Aplicação de Procedimentos: • Geralmente são Checklists; • Averiguação de procedimentos; • Para formação do opinião do auditor;

  49. Serviços e MecanismosAuditoria • Achados da Auditoria: • Fatos observados pelo auditor; • Devem ser relevantes; • Devem ser baseados em evidências;

  50. Serviços e MecanismosAuditoria • Papéis de Trabalho: • Registros que provam os fatos observados pelo auditor; • Documentos, tabelas, listas, etc; • Dão suporte ao relatório de auditoria; • Contêm verificações, testes, etc;

More Related