Segurança e Auditoria de Sistemas

matheusbandini@gmail.
com
SEGURANA E AUDITORIA DE SISTEMAS
Sumrio
Segurana da informao:
Conceitos e princpios de segurana da informao; Segurana e o ciclo de vida da informao; Classificao e controle dos ativos de informao; Aspectos humanos da segurana da informao; Segurana de ambientes fsico e lgico; Controle de acesso; Organizao de segurana; Segurana em governana de TI.
2
Sumrio
Auditoria em sistemas de informao:
Fundamentos em auditoria de SIs; Metodologia de auditoria de SIs; Ferramentas de auditoria de SIs; Tcnicas de auditoria de SIs; Melhores prticas de auditoria de Sis.
Normas sobre Auditoria e Segurana.
SEGURANA DA INFORMAO
Conceitos e princpios de SI
Trs aspectos principais em segurana de
informao:
Confidencialidade: Capacidade de um sistema de
permitir que alguns usurios acessem determinadas informaes ao mesmo tempo que impede que outros, no autorizados, as vejam; Integridade: A informao deve estar correta, ser verdadeira e no estar corrompida; Disponibilidade: A informao deve estar disponvel para todos que precisarem dela para a realizao dos objetivos corporativos.
Outros aspectos importantes:
Autenticao: Garantir que um usurio de fato quem
alega ser; No-repdio: Capacidade do sistema de provar que uma usurio executou determinada ao; Legalidade: Garantir que o sistema esteja de acordo com a legislao pertinente; Privacidade: Capacidade do sistema de manter um usurio annimo; Auditoria: Capacidade do sistema de auditar tudo que foi realizado pelos usurios, detectando fraudes ou tentativas de ataque.
Segurana de informao a tomada de aes
para garantir os aspectos de segurana das informaes dentro das necessidades do cliente; Um incidente de segurana a ocorrncia de um evento que possa causar interrupes nos processos de negcio em conseqncia da violao de algum dos aspectos de SI.
7
Um incidente de segurana pode ser causado
por fatores como:

Intempries naturais; Greves; Manifestaes; Operao incorreta; Ataque ao sistema.
Ativo de informao:
A informao um bem de grande valor para os
processos de negcios da organizao. No entanto, devem ser considerados tambm a tecnologia e o meio que a suporta, as pessoas que a manipulam e o ambiente onde ela est inserida; Um ativo de informao composto pela informao e tudo aquilo que a suporta ou se utiliza dela.
9
Ataque:
Um tipo de incidente de segurana caracterizado
pela existncia de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor.
Vulnerabilidade:
Pontos fracos de um ativo que podem gerar,
intencionalmente ou no, a indisponibilidade, a quebra de confidencialidade ou a integridade da informao. Podem ou no ser exploradas.
10
Ameaa:
Ataque potencial a um ativo da informao. Agente
externo que se aproveita de uma vulnerabilidade para quebrar um ou mais dos principais aspectos da segurana da informao;
Probabilidade:
Chance de uma falha de segurana ocorrer levando
em considerao as vulnerabilidades do ativo e as ameaas que podem se aproveitar delas.

11
Impacto:
O impacto de um incidente de segurana medido
pelas conseqncias que possa causar aos processos de negcio suportados pelo ativo em questo; Os ativos possuem valores diferentes, pois suportam informaes com relevncias diferentes para o negcio da organizao. Quanto maior o valor, maior o impacto.
12
Controle:
Vulnerabilidades e ameaas de um ativo da
informao podem ser medidas e quantificadas dando a exata noo da probabilidade de acontecer um incidente de segurana e do impacto causado; No possvel ter o controle sobre ameaas por se tratarem de agentes externos, impossibilitando a tomada de medidas preventivas. Devemos ento concentrar nossos esforos em diminuir as vulnerabilidades.
13
Controle:
Controle todo e qualquer mecanismo utilizado
para diminuir as vulnerabilidades de um ativo da informao, seja um equipamento, tecnologia, pessoa ou processo.
14
Segurana e ciclo de vida da informao

A identificao das necessidades e dos
requisitos da informao o ponto inicial do ciclo. A partir destas definies, possvel dar seqncia aos processos de obteno, tratamento, armazenamento, distribuio, uso e descarte da informao.
15

Identificao das necessidades e dos
requisitos: Um grupo de pessoas ou processos precisa conhecer suas necessidades de informao, bem como suas caractersticas; Tornar a informao mais til para os processos ou as pessoas aplicarem na melhoria da tomada de deciso um dos maiores benefcios desta identificao.
16

Obteno: Consiste no desenvolvimento de procedimentos para captura e recepo da informao proveniente de uma fontes externa (em qualquer mdia), ou da sua criao; Deve-se ter cuidado com a integridade de informaes oriundas de fontes externas. A pessoa ou entidade que a fornece deve ser autorizada e ela deve estar completa e compatvel com os requisitos apontados na etapa de identificao.
17

Tratamento: provvel que a informao
necessite ser organizada, formatada, analisada ou classificada antes de ser consumida para poder ser mais acessvel e de fcil utilizao. preciso garantir que a integridade e a confidencialidade de uma informao seja mantida aps o tratamento.
18

Distribuio: Etapa que consiste em levar a
informao at seus consumidores. Quanto maior for a rede de distribuio, mais eficiente ser esta etapa, fazendo com que a informao correta chegue a quem necessita dela para a tomada de deciso.
19

Uso: Etapa onde a informao usada para
gerar valor para a organizao. Os conceitos de disponibilidade, integridade e confidencialidade devem ser aplicados em sua plenitude.
20

Armazenamento: necessrio para a
conservao da informao para uso futuro. Pode se tornar mais onerosa dependendo da quantidade e dos tipos de mdia utilizados.
21

Descarte: Ocorre quando uma informao
torna-se obsoleta ou perde a utilidade para a organizao. Deve obedecer as normas legais, polticas operacionais e exigncias internas; A excluso de informaes inteis melhora o processo de gesto da informao. No entanto, apenas pessoas capacitadas devem ser capaz de realizar esta etapa, mantendo assim a confidencialidade.
22
Classificao e controle dos ativos de informao

Processo pelo qual estabelecido o grau de
importncia das informaes frente a seu impacto no negcio ou processo que elas suportam; Quanto mais estratgica e decisiva para o sucesso do negcio, mais importante ser a informao.
23

Ativos da informao podem ser divididos em
alguns grupos, tais como:

Software; Fsico; Servios; Pessoas; Documento em papel; Informao.
24

Para ser possvel classificar os ativos da
informao, fundamental o conhecimento do negcio para que o julgamento da importncia seja o mais previsto possvel; Os critrios que sero utilizados no processo de classificao devem ser adotados de forma clara, respeitando as regras internas, exigncias legais e normas corporativas.
25

Conceitos importantes para o processo de
classificao:
Classificao: Atividade de atribuir o grau de sigilo
a um ativo de informao; Proprietrio: Responsvel pelo ativo da informao. Auxilia na definio do meio de proteo; Custodiante: Responsvel pela guarda do ativo da informao. Assegura que o ativo est sendo protegido conforme determinado pelo proprietrio.
26

A classificao deve ser de fcil compreenso,
claramente descrita na poltica de segurana, evitar nveis excessivos de classificao e servir para demonstrar a diferenciao entre a importncia dos ativos; A classificao do ativo da informao deve estar centrada em quatro pontos especficos: confidencialidade, disponibilidade, integridade e autenticidade.
27

Classificao quanto confidencialidade:
Nvel 1: Informao Pblica: Categoria que
engloba ativos pblicos ou no classificados. Informaes que, caso sejam divulgadas fora da organizao, no causam impacto para o negcio. Sua integridade no vital e seu uso livre; Nvel 2: Informao Interna: Categoria que engloba ativos cujo acesso do pblico externo deve ser evitado. No entanto, em caso de ser tornar pblico, as conseqncias no so crticas;
28

Classificao quanto confidencialidade:
Nvel 3: Informao Confidencial: Este tipo de ativo
deve ter acesso restrito dentro da organizao e protegidos do acesso externo. Sua integridade vital e o acesso no autorizado destas informaes pode trazer prejuzo s operaes da organizao; Nvel 4: Informao Secreta: Acesso interno e externo extremamente crtico para a organizao. A quantidade de pessoas que tem acesso a essas informaes deve ser muito controlada. A integridade vital e devem existir regras restritas para o uso destas informaes.
29

Classificao quanto disponibilidade:
definida ao se responder qual a falta que uma
informao faz. possvel classificar em nveis de criticidade e estabelecer ordem para recuperao:
Nvel 1: Informaes que devem ser recuperadas em minutos; Nvel 2: Informaes que devem ser recuperadas em horas; Nvel 3: Informaes que devem ser recuperadas em dias; Nvel 4: Informaes que no so crticas.
30

Classificao quanto integridade:
Uma informao errada pode trazer vrios
problemas aos processos de uma organizao. Desta forma, deve-se saber quais informaes so fundamentais para saber em qual ponto deve ser feito o controle para prevenir, detectar e corrigir a produo de informaes sem integridade ou alterao indevida das mesmas.
31

Classificao quanto autenticidade:
Dados e informaes destinados ao pblico externo
devem apresentar requisitos de verificao de autenticidade (ISO 17799). Estabelecer quais so estas informaes facilita a identificao dos requisitos de segurana e a definio de processos para controlar a autenticidade de informaes e documentos.
32

Monitoramento contnuo:
Aps a classificao dos ativos da informao,
procedimentos de reavaliao peridica dos mesmos devem ser elaborados e mantidos. A rea de SI deve trabalhar em conjunto com os proprietrios da informao com o objetivo de reavaliar a pertinncia da categoria atribuda a cada um dos ativos para assegurar que os mesmos estejam devidamente classificados.
33
Aspectos humanos da segurana da informao

As pessoas so os elementos centrais de um
Sistema de Informao devido ao fato de sempre estarem envolvidas em incidentes de segurana, seja do lado das vulnerabilidades exploradas, seja do lado das ameaas que exploram essas vulnerabilidades.
34

Profissional da segurana:
A preocupao da segurana da informao deve
ser de todos os envolvidos na organizao; Security Officer ou Chief Security Officer: Profissional responsvel pela coordenao do planejamento, implementao, monitoramento e melhoria do Sistema de Segurana da Informao.
35

Responsabilidades do Security Officer:
Coordenao da rea de segurana e da infra-
estrutura organizacional; Planejamento dos investimentos de segurana; Definio dos ndices e indicadores para a segurana corporativa; Elaborao, divulgao, treinamento, implementao e administrao da poltica de segurana, plano de continuidade de negcios e plano de contingncia;
36

Responsabilidades do Security Officer:
Investigao sobre incidentes de segurana; Anlise de riscos envolvendo segurana.
Alm de possuir conhecimentos sobre os
mecanismos de segurana, o Security Officer deve ter tambm um profundo conhecimento sobre o negcio da organizao de forma a melhor direcionar as aes de segurana dentro da empresa.
37

Engenharia social:
a arte de utilizar o comportamento humano para
quebrar a segurana sem que a vtima sequer perceba que foi manipulada. SANS Institute Algumas pessoas distradas fornecem informaes importantes apenas por serem educadas e confiarem em outras pessoas, sem ter conscincia de que pode estar prejudicando a organizao.
38

Engenharia social:
O Engenheiro Social se utiliza destes mtodos para
conseguir informaes suficientes para formular um ataque. Engenharia Social Fsica: Procura de informaes no lixo, presena de fsica, observao do comportamento, escutas telefnicas, etc. Engenharia Social Psicolgica: Tendncia humana de sermos corteses e acreditarmos na honestidade das pessoas.
39

O elo mais fraco da segurana de um sistema
envolve, geralmente, a interao com humanos; Por medidas de segurana, necessrio omitir certos mecanismos de segurana dos usurios; Problemas comportamentais ocorrem nos nveis operacional, ttico e estratgico.
40

Segurana nos termos, condies e responsabilidades de trabalho:
Garantir que a segurana dos ativos da informao seja
uma responsabilidade de todos; Aes de usurios devem estar aderentes poltica de segurana; Termos e condies de trabalho esto relacionados ao cargo ocupado pelo funcionrio, suas obrigaes e condutas relativas segurana da informao; Todos estes termos, alm de um termo de confidencialidade devem fazer parte do contrato de admisso de um novo funcionrio.
41

Segurana no processo de seleo de pessoal:
Pelo fato do ativo pessoal ser um fator crtico para a
segurana da informao, o processo seletivo deve ser feito com ateno para prevenir que pessoas desqualificadas tenham acesso s informaes da organizao; Verificaes que devem ser feitas para contratao:
Confirmao de referncias com empresas e pessoas citadas; Anlise detalhada de currculo e anlise de conduta; Confirmao de diplomas nas instituies de ensino.
42

Treinamento de usurios:
Trs aes essenciais para um bom treinamento: Treinar; Educar; Conscientizar; A poltica de segurana deve ser do conhecimento
de todos para que a conduta seja compatvel com as boas prticas da segurana da informao; O treinamento deve ser peridico para que haja uma contnua atualizao em relao s tcnicas e ferramentas de controle.
43
Segurana do ambiente fsico

Combinao de medidas de preveno
deteco e reao a possveis incidentes de segurana para garantir a segurana fsica dos ativos da informao (barreiras de segurana ISO 17799). Ex: muros, trancas, senhas, etc; Permetro de segurana: rea ou regio protegida por barreiras de segurana e separada de outras reas com nveis de segurana diferentes. Ex: prdios, salas, cofres, etc;
44

Segurana em instalaes de processamento
de dados segundo a ISO 17799:

Elaborao de um projeto de rea que contemple
escritrios fechados ou com vrias salas dentro de um permetro seguro que considere as ameaas de fogo, poeira, fumaa, vibrao, vazamento de gua, exploso, manifestaes civis e desastres naturais.
45

Segurana em instalaes de processamento
de dados segundo a ISO 17799:

Equipamentos instalados em reas comuns
demandam medidas de proteo contra acesso no autorizado, dano ou furto; Mecanismos de bloqueio; Treinamento especfico para os prestadores de servios de limpeza e manuteno.
46

Segurana de equipamentos:
Equipamentos devem ser protegidos contra quedas
e anomalias da rede eltrica com nobreaks, uso de mltiplas fontes e geradores; Problemas de mau funcionamento do hardware podem ser evitadas ou minimizadas atravs de manutenes preventivas.
47

Segurana de mdias de computador:
Por recomendao da ISO 17799, as mdias devem
ser controladas e fisicamente protegidas; O grande objetivo deste tipo de segurana garantir que as cpias de segurana estejam ntegras quando forem necessrias; Armazenamento, controle de acesso s mdias devem ser discutidas em uma poltica especfica.
48

Segurana de documentos em papel e
eletrnicos:
O armazenamento de documentos de valor para a
organizao exige mecanismos de proteo de acordo com o meio em que o documento foi produzido; Procedimentos seguros de tratamento de cpias, armazenamento, transmisso e descarte; Cuidados especiais com documentos de papel contra acidez do papel, umidade, insetos, etc.
49

Controle de documentos em papel contendo:
Uso de rtulos para identificar documentos; Poltica de armazenamento de papis; Procedimentos especiais para impresso, cpia e
transmisso; Recepo e envio de correspondncia sigilosa.
50

Papis como cheques e notas fiscais precisam
de procedimentos especiais de armazenamento e manipulao; Controle de documentos eletrnicos:

Tecnologia que os torne teis aos seus usurios; Integridade das informaes: documentos
eletrnicos so mais facilmente adulterados.
51

Segurana do cabeamento (ISO 17799):
Uso de linhas subterrneas, sempre que possvel; Proteo do cabeamento de rede contra
interceptaes no autorizadas ou danos; Separao dos cabos eltricos dos cabos de comunicao; Uso de conduites blindados e salas trancadas para os sistemas crticos.
52
Segurana do ambiente lgico

Segurana em redes:
Abrange autenticao de usurios e equipamentos; Estabelecimento de interfaces seguras entre a rede
interna e a rede pblica ou de outra organizao; Mecanismos de proteo de redes (gateways, proxys e firewalls) para controles de acesso e contedo; Tcnicas de criptografia, VPNs, antivirus, etc (Willian Stalings Segurana em Redes).
53

Firewalls:
Mecanismos de segurana para controlar o acesso s
redes de computadores; Barreira lgica de proteo entre o ambiente externo e um computador ou rede interna; Bloqueio de informaes que no atendem aos critrios definidos pela poltica de segurana; Pode se tornar um gargalo na rede uma vez que todo o trfego passar obrigatoriamente por ele.
54

Permetros lgicos:
Redes de permetro lgico ou zonas desmilitarizadas
protegem um equipamento ou segmento de rede que fica entre uma rede interna e a Internet; Atua como intermediria para os trfegos de entrada e de sada; Uso de VPNs para estabelecer um canal seguro para troca de informaes entre dois pontos autorizados; Utilizar uma VPN para usar a Internet como meio de transmisso de informaes corporativas, ao invs de linhas privadas e mais lentas.
55

Antivrus:
Programas maliciosos so a maior causa de
incidentes de segurana em computadores pessoais; Atua com o objetivo de proteger um computador de forma individual e, por conseqncia, os demais componentes de uma rede; Altamente recomendado para qualquer sistema que esteja conectado Internet.
56

Criptografia e esteganografia:
Esteganografia: Cincia ou arte de ocultar uma
informao dentro de outra. Ex: informaes ocultas em arquivos de vdeo ou som; Criptografia: a cincia ou arte de escrever em cifras ou em cdigos, combinando a cifra previamente com o destinatrio; Utilizada no meio digital para garantir a autenticao, a privacidade e a integridade dos dados e dos meios de comunicao.
57

Tipos de criptografia:
Criptografia simtrica: Utiliza uma mesma chave para
codificar e decodificar uma mensagem. A divulgao da chave compromete a segurana do processo; Criptografia assimtrica ou de chave pblica: Utiliza duas chaves diferentes matematicamente relacionadas. Chave pblica disponvel para todos que quiserem criptografar uma mensagem ou verificar uma assinatura gerada com a chave privada correspondente. Chave privada de uso exclusivo do proprietrio e serve para assinar ou decodificar mensagens e deve ser mantida em segredo.
58

Assinatura e certificado digital:
A assinatura digital comprova que uma mensagem
realmente veio do emissor. Para isso, deve possuir as seguintes propriedades:

Autenticidade: O receptor deve poder confirmar que a assinatura foi feita pelo emissor; Integridade: Qualquer alterao da mensagem faz com que a assinatura no corresponda mais ao documento; No- repdio ou irretratabilidade: O emissor no pode negar a autenticidade da mensagem.
59

Passos de um processo de certificao digital: Gerao de um hash criptogrfico atravs de algoritmos complexos (MD5, SHA) que reduzem qualquer mensagem a um hash de mesmo tamanho; O hash ento criptografado por um sistema de chave pblica para garantir a autenticidade e o no repdio; A chave privada do autor da mensagem ento usada para assinar a mensagem e armazenar o hash criptografado junto mensagem original.
60

Passos de um processo de certificao digital: Para verificar a autenticidade do documento deve ser gerado um novo hash a partir da mensagem armazenada; O novo resumo comparado com a assinatura digital, descriptografando a assinatura para obter o hash original; Se o hash original for igual ao recm-gerado, a integridade a mensagem est garantida.
61

Certificado digital:
Obteno de um certificado digital: Procurar uma Autoridade Certificadora (AC) responsvel por fornecer este servio; Uma AC tem a funo de verificar a identidade de um usurio e associar uma chave a ele; Um certificado digital contm a chave pblica do usurio e os dados necessrios para informar sua identidade; Este processo torna possvel que uma pessoa ou instituio comprove a assinatura digital de um documento, podendo obter a assinatura correspondente ao documento.
62

Sistemas de deteco de intrusos (IDS):
Servio que monitora e analisa eventos de uma rede
com o objetivo de encontrar e emitir alertas de acessos no autorizados aos recursos de rede; Servio que procura por indcios de invaso; No caso de encontrar ocorrncias, aciona as rotinas definidas pela organizaoa fim de bloquear o acesso.
63
Controle de acesso
O acesso informao deve ser controlado mas
no deve impedir os processos de negcio da organizao; Controle de acesso pode ser dividido em lgico e fsico.
64
Controle de acesso
Controle de acesso lgico:
Os recursos que devem ter o acesso lgico
controlado envolvem os sistemas da organizao, banco de dados, softwares, cdigos-fonte, etc.
Tipos de controle de acesso lgico:

Criao de um ou mais mtodos de autenticao
para verificar a veracidade da identificao de um usurio.
65
Controle de acesso
Tipos de controle de acesso lgico:
O que voc sabe:Mtodo de autenticao baseado em senha de usurio que um usurio tenha conhecimento. Boas prticas envolvem a troca peridica das senhas, identificao de senhas de fcil deduo e bloqueio aps algumas tentativas mal sucedidadas. b) O que voc tem: Autenticao baseada em algo que o usurio possui. Ex: Carto magntico, smart card, carto com chip, etc. Associao comum entre os tipos o que voc sabe + o que voc tem. c) O que voc : Mtodo baseado em caractersticas fsicas de um usurio atravs de sistemas biomtricos. Ex: reconhecimento facil, voz, ris, digital, etc.
a)
66
Controle de acesso
Administrao dos privilgios de usurios:
Melhoria na segregao de funes e na proteo
dos ativos de informao contra acessos no autorizados realizando a administrao adequada dos privilgios concedidos aos usurios do sistema; Uso de perfis e grupos de usurios com diferentes necessidades e permisses para gerenciar os privilgios de forma mais eficiente; Manuteno e reviso peridica dos perfis de usurio para verificar se as necessidades de acesso foram modificadas.
67
Controle de acesso
Monitoramento do uso e acesso ao sistema:
Um sistema deve possuir registros de atividades
realizadas pelos usurios (logs); Logs devem registrar o usurio que realizou a atividade, a hora e o tipo da atividade; Processo utilizado para auditoria em caso de violao da integridade da informao.
68
Controle de acesso
Controle de acesso fsico:
Locais que oferecem riscos para a segurana da
informao devem ser protegidos por controles de entrada apropriados, dependendo da importncia do ativo; Os controles de acesso a ambientes fsicos podem ser realizados utilizando estratgias de segurana lgica (O que voc sabe, O que voc tem, O que voc ).
69
Organizao da Segurana
Modelo de gesto de segurana:
Criar um Comit de Segurana da Informao; Conhecer a fundo as etapas que compem os
processos de Segurana da Informao; Formalizar e organizar os processos que daro vida e dinamismo gesto de SI.
70
Etapas de um modelo de gesto corporativa de
Segurana da Informao:
Comit Corporativo de Segurana da Informao; Mapeamento de Segurana; Estratgia de Segurana; Planejamento de Segurana; Implementao de Segurana; Administrao de Segurana; Segurana na cadeia produtiva.
71
Comit Corporativo de Segurana da Informao :
Orientar as aes corporativas de segurana
relacionadas a todas as etapas do modelo; Anlise de resultados para reparar possveis desvios de foco; Coordenao dos agentes de segurana; Garantir o sucesso de implantao do Modelo de Gesto Corporativo de Segurana da Informao (autonomia da empresa em relao aos seus desafios de segurana); Consolidao do Modelo de Gesto Corporativo de Segurana da Informao como um processo dinmico auto-gerido.
72
Mapeamento de Segurana:
Identificar os graus de relevncia entre os processos de
negcio, definio de permetros, infra-estrutura, etc; Inventrio dos ativos fsicos, tecnolgicos e humanos que sustentam a operao da empresa; Identificar ameaas, vulnerabilidades e impacto, de forma a projetar a segurana necessria para sustentar os processos de negcio; Mapeamento das necessidades empresariais relacionadas ao manuseio, armazenamento, transporte e descarte de informaes; Organizao das demandas de segurana do negcio.
73
Estratgia de Segurana:
Definio de um plano de ao que considere as
particularidades estratgicas, tticas e operacionais do negcio, alm dos aspectos de risco fsico, tecnolgico e humano; Aproximar o cenrio atual do desejado com o objetivo de aumentar o comprometimento com as medidas previstas no plano de ao.
74
Planejamento de Segurana:
Coordenao dos comits interdepartamentais, definir
os escopos e promover a integrao entre eles; Iniciar aes preliminares de capacitao de executivos e tcnicos, envolvendo-os na responsabilidade pelo sucesso do modelo de gesto; Elaborao de uma Poltica de Segurana da Informao Slida; Realizao de aes corretivas emergenciais em funo do risco iminente percebido na etapa de mapeamento.
75
Implementao de Segurana:
Divulgao da Poltica de Segurana no ambiente
corporativo para torn-la de conhecimento de todos; Capacitao e conscientizao dos usurios em relao ao manuseio, armazenamento, transporte e descarte da informao; Implementao de mecanismos de controles fsicos, tecnolgicos e humanos para reduzir ou eliminar as vulnerabilidades a um nvel desejado pela organizao.
76
Administrao de Segurana:
Monitorar os diversos controles implementados, medindo a
eficincia e sinalizando mudanas que influenciem nos nveis do risco dos negcios; Projetar o Retorno sobre o Investimento (ROI) com base nas medies realizadas; Garantir a adequao e a conformidade o negcio com as normas associadas e regras internas de acordo com a legislao incidente; Manter planos estratgicos paracontingncia e recuperao de desastres; Administrar os controles implementados, adequando suas regras de operao aos critrios definidos na Poltica de Segurana.
77
Segurana na cadeia produtiva:
Equalizar as medidas de segurana adotadas pela
empresa aos processos de negcio comuns, mantidos junto com os parceiros da cadeia produtiva: fornecedores, clientes, governo, etc; Nivelar o fator risco sem que uma das partes exponha informaes compartilhadas e represente uma ameaa operao de ambos os negcios.
78
Comits da Segurana:
Escritrio de Segurana da Informao deve ser
independente e ligado diretamente diretoria ou presidncia (ISSO 17799); Responsabilidades do Comit da Segurana:
Organizao e planejamento das aes de segurana; Aprovao das polticas, normas e procedimentos de segurana da informao; Apoio implantao de solues para minimizar riscos; Deliberao sobre incidentes de segurana corporativa.
79
Segurana em Governana de TI
COBIT: Control Objectives for Information and
Related Technology:
Framework voltado para a gesto de TI; COBIT cobre os quatro domnios: Planejar e Organizar; Adquirir e Implementar; Entregar e dar Suporte; Monitorar e Avaliar
80
Planejar e Organizar:
Cobre o uso de informao e tecnologia e como isso
pode ser usado para a empresa atingir seus objetivos; Definio da infra-estrutura e da estrutura organizacional para atingir os objetivos.
81
Adquirir e Implementar:
Cobre os requisitos de TI, a aquisio de tecnologia,
sua implementao e utilizao dentro dos processos de negcio da companhia; Mantm o foco no desenvolvimento do plano de manuteno adotado para prolongar a vida do sistema de TI e seus componentes.
82
Entregar e dar Suporte:
Cobre a execuo de aplicaes dentro do sistema
de TI e seus resultados, bem como o suporte dos processos que habilitam a execuo de forma eficiente e efetiva; Processos incluem tambm questes de segurana e reinamento.
83
Monitorar e Avaliar:
Trabalha com a estimativa estratgica das
necessidades da companhia, avaliando se o atual sistema de TI atinge os objetivos especificados; Controla os processos internos da empresa atravs de auditorias internas e externas.
84
ITIL: Information Technology Infrastructure
Library:
Modelo de referncia para gerenciamento de
processos de TI; Desenvolver as melhores prticas para a gesto da rea de TI em empresas pblicas e privadas; Tornou-se a norma BR-15000, que um anexo da ISO/IEC 9000/2000.
85
Principais processos que fazem parte do
modelo de referncia do ITIL:

Planejamento de servios; Gerenciamento de incidentes, operaes, mudanas
e segurana; Gerenciamento de produo e testes.
86
Disciplinas tticas (ou de planejamento) do ITIL:

Service Level Management; IT Service Continuity Management; Financial Management; Capacity Management; Availability Management. Incident Management; Problem Management; Configuration Management; Change Management; Release Management;
87
Disciplinas Operacionais do ITIL:
Exerccio:
Listar todos os objetivos de alto nvel dos quatro
domnios do COBIT; Descrever (explicar) todas as disciplinas tticas e operacionais do ITIL; Entrega: Prxima aula; Exerccio individual escrito a mo.
88
AUDITORIA EM SISTEMAS DE INFORMAO

89
Fundamentos em Auditoria de SIs

Objetivos de promover adequao, reviso,
avaliao e recomendaes para o aprimoramento dos controles internos nos sistemas de informao das empresas; Deve atuar em todos os sistemas nos nveis operacional, tticos e estratgico da empresa.
90

Objetivos da auditoria de SI, segundo o COBIT:
Integridade; Confidencialidade; Privacidade; Acuidade; Disponibilidade; Auditabilidade; Versatilidade; Manutenibilidade.
91

Integridade: Nvel de confiana nas transaes
processadas pelo sistema. Capacidade do sistema de garantir a consistncia e a correo das transaes. Confidencialidade: As informaes so reveladas somente s pessoas que necessitam conhec-las. Privacidade: Segregao de funes. Apenas informaes necessrias para a execuo de funes so visualizadas.
92

Acuidade: Validao de transaes
processadas. Verificao de consistncia de entrada de dados para auxiliar na verificao de dados fonte. Disponibilidade: Disponibilidade do sistema para o cumprimento das atividades empresariais. Auditabilidade: Documentao de logs para viabilizar trilhas de auditoria.
93

Versatilidade: O sistema deve ser amigvel e de
fcil adaptao com a estrutura operacional da empresa. Manutenibilidade: Polticas e procedimentos operacionais que devem contemplar controles relacionados a testes, converses, implantao e documentao de sistemas novos e modificados.
94

Tipos de Auditoria:
Auditoria durante o desenvolvimento de sistemas Auditar todo o processo de construo de sistemas de informao, da fase de requisitos at a fase de requisitos at a sua implantao. Auditoria em sistemas em produo Aborda os procedimentos e resultados dos sistemas j implantados (aspectos de segurana, corretude e tolerncia a falhas).
95

Tipos de Auditoria:
Auditoria no ambiente tecnolgico Envolve a anlise do ambiente de informtica em relao estrutura organizacional, contratos, normas, tcnicas, custos, utilizao de equipamentos e planos de segurana e contingncia. Auditoria em eventos especficos Anlise das causas, conseqncias e aes corretivas cabveis em eventos no cobertos pelas auditorias anteriores.
96
Metodologia em Auditoria de SIs

Etapas da metodologia:
Planejamento e controle do projeto de auditoria
de sistemas de informao:
Planejamento inicial de aes e recursos necessrios para a execuo da auditoria; Considerar o enfoque desejado e a quantidade de sistemas a serem auditados; Uso de ferramentas, como o PMBoK (Project Management Body of Knowledge), para o planejamento das atividades.
97

Levantamento do sistema de informao a ser
auditado:
Obteno de informaes relevantes sobre o sistema; Deve ser possvel obter um entendimento amplo das caractersticas do sistema; Uso de entrevistas ou anlise da documentao de desenvolvimento (DFDs, DERs, Casos de uso, etc) para entender o comportamento do sistema; Definio clara do escopo para melhor direcionar a auditoria.
98

Identificao e inventrio dos pontos de controle: Identificar pontos de controle que devem ser validados (o que deve ser auditado); Gerados a partir de relatrios, documentos e do uso do sistema; Cada ponto de controle deve ser relacionado aos seus objetivos; Devem ser identificados ainda os parmetros, as vulnerabilidades e as tcnicas de auditoria mais adequadas para a validao.
99

Priorizao e seleo dos pontos de controle do
sistema auditado:
Devem ser efetuados com base em: Grau de risco existente no ponto: Consiste na verificao dos prejuzos que podem ser causados pelo sistema a curto, mdio ou longo prazo; Existncia de ameaas: Auditar primeiro os pontos que se encontram sob forte ameaa e depois os demais; Disponibilidade de recursos: Escolher os pontos que possam ser auditados com os recursos disponveis. A priorizao deve ser revisada ao longo do processo de auditoria.
100

Avaliao dos pontos de controle: Realizao dos testes para validao dos pontos de controle; Etapa onde ocorre, de fato, a auditoria; Uso de tcnicas de auditoria que envidenciem falhas ou vulnerabilidades do controle interno; Existe uma tcnica de auditoria mais apropriada para cada objetivo ou caracterstica do ponto de controle.
101

Concluso da auditoria: Elaborar relatrios de auditoria contendo o resultado encontrado, independente de qual seja; Relatrio deve conter ainda o diagnstico da situao atual dos pontos de controle, suas vulnerabilidades e possveis ameaas; Um ponto de controle, quando apresenta vulnerabilidades, apontado como um Ponto de Auditoria, devendo-se apontar possveis solues no relatrio de auditoria; Os Pontos de Auditoria devem sofrer peridicas reviso e avaliao aps realizar as medidas corretivas.
102

Acompanhamento da auditoria (follow-up): Deve ser efetuado at que todas as recomendaes tenham sido executadas e as vulnerabilidades tenham sido eliminadas ou atinjam um nvel tolervel pela organizao.
103
Ferramentas de Auditoria de SIs

Ferramentas Generalistas de Auditoria de
Tecnologia da Informao:
Ferramentas que so capazes de processar, simular,
analisar amostras, gerar dados estatsticos, dentre outras funcionalidades que podem ser teis do ponto de vista de um auditor.
104

Ferramentas:
ACL (Audit Command Language): Software para extrao e
anlise de dados; IDEA (Interactive Data Extration and Analisys): Software canadense tambm com objetivos de extrao e anlise de dados; Audimation: Verso americana do IDEA; Galileo: Software de gesto de auditoria. Inclui gesto de risco de auditoria, documentao e emisso de relatrios voltados para auditorias internas; Pentana: Software de planejamento estratgico de auditoria com planejamento e monitoramento de recursos, controle de horas e gerenciamento de planos de ao.
105

Vantagens do uso destas ferramentas:
O aplicativo pode processar vrios arquivos ao
mesmo tempo; Processamento de vrios tipos de arquivos em vrios formatos; Integrao sistemtica com outros softwares; Reduo da dependncia do auditor em relao ao especialista de informtica.
106

Desvantagens do uso destas ferramentas:
No costuma permitir o uso em ambientes online; No realiza clculos complexos que, muitas vezes, se
mostram teis e necessrios.
107

Ferramentas Especializadas de Auditoria:
Aplicativos desenvolvidos com o objetivo especfico de
executar certas tarefas em situaes pr-estabelecidas. Podem ser desenvolvidas pelo auditor ou por terceiros. Vantagens:
Boa alternativa para atender demandas mais especficas. Ex: carto de crdito e crdito imobilirio.
Desvantagens: Pode ser custosa, por, muitas vezes, atender apenas a um objetivo especfico e apenas um cliente; Atualizaes podem gerar problemas de incompatibilidade.
108

Programas utilitrios em geral:
Utilitrios que executam funes genricas como
ordenao de arquivos, concatenao de textos e gerao de relatrios. No so criados com o objetivo especfico de auditoria. Vantagens:
Podem ser utilizados como soluo alternativa na ausncia de outro recurso.
Desvantagens: Necessita do auxlio do auditor, do usurio e do analista do sistema.
109
Tcnicas de Auditoria de SIs

Tcnica de dados de teste:
Utiliza um conjunto de dados projetados
especificamente para testar as funcionalidades de entrada de dados do sistema; Anlise dos resultados obtidos com os resultados planejados; Maior numero de combinaes exerce uma maior cobertura ao teste.
110

Tcnica de dados de teste:
Vantagens: Testes podem ser elaborados por pessoas que detenham pouco ou nenhum conhecimento tcnico de informtica. Desvantagens: Dificuldade de planejar e antecipar todas as combinaes de transaes que possam acontecer no negcio da empresa.
111

Facilidade de teste integrado:
Melhor aplicado em ambientes online e de tempo real; Os dados de teste so introduzidos nos ambientes reais
de processamento utilizando-se verses correntes da produo; O teste envolve a aplicao de entidades fictcias, como funcionrios fantasmas na folha de pagamento; Os resultados de transaes reais so confrontados com os resultados dos dados fictcios; Testes evitam que as bases reais sejam atualizadas com dados fictcios.
112

Facilidade de teste integrado:
Vantagens: No acarreta custo adicional ou ambiente de processamento exclusivo, funcionando no prprio ambiente de produo da empresa. Desvantagens: Os efeitos das transaes precisam ser estornados, resultando em custos operacionais quando misturados com dados reais.
113

Simulao Paralela:
Utiliza programas especialmente desenvolvidos que
realizam testes, simulando as funcionalidades do programa empresarial; Resultados da simulao comparados com os do ambiente real; Interao do auditor para comparao e anlise dos dados obtidos nos dois ambientes.
114

Lgica de Auditoria Embutida nos Sistemas:
Incluso da lgica de auditoria nos sistemas na fase
de desenvolvimento; Sistemas com emisso de relatrios de auditoria e logs para acompanhamento dos procedimentos operacionais.
115

Rastreamento e Mapeamento:
Criar uma trilha de auditoria que permita
acompanhar os principais pontos da lgica do processamentodas transaes crticas; Comportamentos e resultados de transaes so armazenados para anlises futuras; Recuperao da informao de forma inversa (seguindo a trilha oposta).
116

Anlise da Lgica de Programao:
Verificao da lgica de programao; As instrues passadas ao sistema devem ser as
mesmas especificadas na documentao; Pode ser feita manualmente ou suportada por ferramentas automatizadas de verificao de software.
117
Melhores Prticas de Auditoria de SIs

Motivao:
Ausncia de padres, o que dificulta o trabalho dos
auditores; Vrias associaes e empersas de auditoria apresentam regras no exerccio da profisso; Recomendaes emitidas pelo Comit de Padres da Associao de Controle e Auditoria de Tecnologia de Informao dos EUA com o objetivo de tentar padronizar os processos de auditoria.
118

Recomendaes:
Responsabilidade, autoridade e prestao de
contas: Responsabilidade, autoridade e prestao de contas sobre a funo de auditor de TI devem ser devidamente documentadas na defiio da rea de atuao; Independncia profissional: O auditor de TI deve ser independente no que diz respeito aos processos que envolvem a auditoria, inclusive em relao rea que est sendo auditada.
119

Recomendaes:
tica profissional e padres: O auditor de TI deve
respeitar o cdigo de tica vigente (ACATI); Competncia: O auditor deve ser competente em suas habilidades tcnicas, possuindo conhecimento necessrio para a execuo do seu trabalho.
120

Recomendaes:
Planejamento: O auditor de TI deve planejar suas tarefas
para direcionar os objetivos da auditoria com maior eficincia. A equipe de auditoria deve ser supervisionada para atender e respeitar o planejamento; Emisso de relatrio: O auditor de TI deve prover um relatrio de atividades realizadas e resultados obtidos para a autoridade competente. Este relatrio deve apresentar escopo, objetivos, perodo de abrangncia, natureza e extenso do trabalho executado.
121

Recomendaes:
Atividades de acompanhamento: O auditor de TI
deve requisitar e avaliar informaes apropriadas sobre pontos, concluses e recomendaes anteriores e relevantes para determinar se aes apropriadas foram implementadas em tempo hbil.
122

Cdigo de tica Profissional estabelecido pela
Associao de Auditores de Sistemas e Controle (ISACA):

Apoiar a implementao e encorajar o cumprimento
com os padres sugeridos dos procedimentos e controles dos Sistemas de Informao; Exercer suas funes com objetividade, de acordo com os padres profissionais e as melhores prticas; Servir aos interesses de seus contratantes de forma legal e honesta, preocupando-se com a manuteno de alto padro de conduta e carter profissional;
123

Manter privacidade e confidencialidade das

informaes obtidas no decorrer de suas funes, exceto quando exigido legalmente exigido. No devem ser utilizadas para vantagem prpria; Manter competncia nas respectivas especialidades e assegurar que atua somente nas reas onde obtenha razovel habilidade para competir profissionalmente;
124


Informar partes envolvidas sobre os resultados de
seus trabalhos, expondo todos os fatos significativos que tiver em seu alcance; Apoiar a conscientizao profissional dos seus superiores (stakeholders) para auxiliar sua compreenso dos sistemas de informaes, segurana e controle.
125

Segurança e Auditoria de Sistemas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança e Auditoria de Sistemas

Enviado por

Direitos autorais:

Formatos disponíveis

matheusbandini@gmail.

SEGURANA E AUDITORIA DE SISTEMAS

Normas sobre Auditoria e Segurana.

Confidencialidade: Capacidade de um sistema de

por fatores como:

em considerao as vulnerabilidades do ativo e as ameaas que podem se aproveitar delas.

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Segurana e ciclo de vida da informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

alguns grupos, tais como:

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Classificao e controle dos ativos de informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Alm de possuir conhecimentos sobre os

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Aspectos humanos da segurana da informao

Segurana do ambiente fsico

Segurana do ambiente fsico

de dados segundo a ISO 17799:

Segurana do ambiente fsico

de dados segundo a ISO 17799:

Segurana do ambiente fsico

Segurana do ambiente fsico

Segurana do ambiente fsico

Segurana do ambiente fsico

transmisso; Recepo e envio de correspondncia sigilosa.

Segurana do ambiente fsico

de procedimentos especiais de armazenamento e manipulao; Controle de documentos eletrnicos:

eletrnicos so mais facilmente adulterados.

Segurana do ambiente fsico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

realmente veio do emissor. Para isso, deve possuir as seguintes propriedades:

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico

Segurana do ambiente lgico