Aula 1 - Segurana e Auditoria de Sistemas

AUDITORIA E SEGURANA DE SISTEMAS

Aula 1

Aula 1 - Segurana e Auditoria de Sistemas

AULA 1 - SUMRIO
INTRODUO

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
Os avanos tecnolgicos tm proporcionado

s empresas maior eficincia e rapidez na troca de informaes e tomadas de decises. Computadores cada vez mais rpidos, as redes de computadores so cada vez mais usadas para conduzir os negcios e o uso da Internet tornou-se essencial, estando agora, disponvel para todos e permitindo a qualquer empresa praticar o comrcio eletrnico.

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
As organizaes esto cada vez mais

dependentes da tecnologia, sendo quase impossvel manter seus negcios sem o auxilio do computador e internet. Nos ltimos anos, com a queda dos preos e o aumento de velocidade e capacidade de processamento dos computadores, at pequenas empresas e pessoas fsicas aderiram a tecnologia.

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
Dentro desse contexto e, devido a extrema

importncia das informaes internas e externas organizao, surgiu, ento a necessidade de se utilizar melhores mecanismos para prover a segurana das transaes e do armazenamento de informaes, principalmente informaes confidenciais e/ou crticas para o negcio.

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
Na poca em que as informaes eram

armazenadas apenas em papel, bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Com as mudanas tecnolgicas e o uso de computadores de grande poder de processamento, a estrutura de segurana ficou mais sofisticada, englobando controles lgicos, porm ainda centralizados.

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
Como

a sociedade atual depende das informaes armazenadas nos sistemas computacionais para tomar decises de negcios ou de bem estar social, a segurana dessas informaes deve ser absoluta. Tamanha a dependncia dos equipamentos e sistemas computadorizados, que um erro pode afetar a sociedade de inmeras maneiras.
comprometer

instituies do mercado financeiro, indstrias, sistemas de telecomunicaes, de assistncia mdica etc.

Aula 1 - Segurana e Auditoria de Sistemas

Questes para refletir

O que aconteceria se as informaes cassem

nas mos da concorrncia ou fossem corrompidas, apagadas ou adulteradas? Quais seriam as consequncias para a continuidade dos negcios da instituio? O vazamento ou perda de informaes sobre seus clientes comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes?

Aula 1 - Segurana e Auditoria de Sistemas

INTRODUO
As empresas sofrem ameaas constantes

em seus ativos, o que poderia representar milhares ou milhes de dlares de prejuzo. As vulnerabilidades em sistemas de informao podem representar problemas graves, por isso muito importante compreender os conceitos necessrios para combat-los e para nos defendermos de possveis problemas as nossas informaes.

Aula 1 - Segurana e Auditoria de Sistemas

10

INTRODUO
Voc sabia que 94% das empresas que perdem seus dados desaparecem?
Segundo um estudo realizado pela Universidade

do Texas, apenas 6% das empresas que sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir.

Aula 1 - Segurana e Auditoria de Sistemas

11

Segurana da Informao

Aula 1 - Segurana e Auditoria de Sistemas

12

INTRODUO
Devido a isso, a proteo da informao

tem se tornado um dos interesses primrios dos administradores de sistemas e pode ser fator de sobrevivncia e competitividade para as corporaes modernas. Medidas de segurana no asseguram 100% de proteo contra todas as ameaas.

Aula 1 - Segurana e Auditoria de Sistemas

13

INTRODUO
As expectativas da organizao com

relao ao comportamento e os procedimentos necessrios no manuseio dos seus bens/ativos dever estar enraizada na cultura da empresa, pois segurana no s uma questo tcnica, mas de poltica e educao empresarial.

Aula 1 - Segurana e Auditoria de Sistemas

14

INTRODUO
Para que a informao tenha o nvel de

segurana desejado, necessria uma atuao sobre dois segmentos: acesso e integridade.
O acesso as informaes sensveis de uma empresa

deve estar protegido por sistemticas que garantam que apenas as pessoas autorizadas possam obter essas informaes. A garantia de integridade deve garantir tanto a exatido dos dados (confiabilidade) quanto a proteo no que tange perda.

Aula 1 - Segurana e Auditoria de Sistemas

15

INTRODUO
No basta reunir um conjunto de

ferramentas de software e implement-las. Os seus resultados tornam-se mais eficazes quando sua utilizao est dentro do contexto de um plano de segurana, elaborado em conjunto pelos nveis estratgico, ttico e operacional da empresa.

Aula 1 - Segurana e Auditoria de Sistemas

16

INTRODUO
Estratgico

Ttico

Operacional

Nvel em que as polticas da organizao so definidas. Descreve o que deve ser feito. Nvel em que as normas da organizao so descritas conforme as polticas definidas no nvel superior. Nvel onde os procedimentos so estabelecidos com base nas normas definidas no nvel acima. Descreve como so implementadas as regras.

Aula 1 - Segurana e Auditoria de Sistemas

17

Razes da Segurana da Informao

1.

Dependncia informao:

dos

sistemas

de

Sistemas que ofeream servios adequados e no

tempo certo so a chave para a sobrevivncia da maioria das organizaes atuais. Sem seus computadores e sistemas de comunicao, as empresas ficariam incapazes de fornecer servios, processar faturas, contatar fornecedores e clientes ou efetuar pagamentos. Os sistemas de informao tambm armazenam dados sigilosos, que, se tornados pblicos, causariam embarao e, em alguns casos, o fracasso da organizao.

Aula 1 - Segurana e Auditoria de Sistemas

18

Razes da Segurana da Informao

2. Vulnerabilidade dos recursos de TI:
Sistemas de Informao exigem um ambiente estvel,

podendo ser danificados por desastres naturais, falhas no controle da temperatura ou no suprimento da energia eltrica, bombas, acidentes ou sabotagens. Os sistemas de informao so a chave para o acesso a vastas quantidades de dados corporativos, tornandose um alvo atraente para hackers, reprteres e espies, e podem motivar funcionrios mal intencionados a abusar de seus privilgios, vendendo ou destruindo informaes.

Aula 1 - Segurana e Auditoria de Sistemas

19

Razes da Segurana da Informao

3.

Investimento Informao:
Os sistemas

em

Tecnologia

da

de informao so caros, tanto no desenvolvimento quanto na manuteno e a administrao. Bens de TI so particularmente atrativos para ladres por serem portteis, apresentarem uma relao valor/peso bastante elevada e podem ser facilmente vendidos.

Aula 1 - Segurana e Auditoria de Sistemas

20

Pontos importantes
Alguns pontos so importantes determinar:
O que deve ser protegido? Contra o qu ser necessrio proteger? Como ser feita a proteo?

Alm disso, ser necessrio determinar

que nvel de segurana necessrio, bem como avaliar a questo custo x benefcio.

Aula 1 - Segurana e Auditoria de Sistemas

21

INTRODUO
A necessidade de se estabelecer algum

grau de segurana nos sistemas, na maioria das organizaes, no vista como prioridade, at a ocorrncia de um incidente. A segurana da informao vista, muitas vezes, como fator inibidor, responsvel pela reduo da capacidade operacional da organizao, em vez de uma atividade que auxilia a organizao a alcanar uma melhor qualidade do servio a longo prazo.

Aula 1 - Segurana e Auditoria de Sistemas

22

INTRODUO
O processo de segurana da informao

pode ser definido como um ciclo:

Aula 1 - Segurana e Auditoria de Sistemas

23

Ciclo de Segurana
Anlise de Segurana

Auditorias

Definio e atualizao de regras de segurana

Administrao da Segurana

Implementao E divulgao das Regras de Segurana

Aula 1 - Segurana e Auditoria de Sistemas

24

Ciclo de Segurana
Anlise de Segurana

Diagnsticos

da situao real, com identificao do nvel de risco a que a organizao est exposta e quais providncias a serem tomadas para cobrir eventuais vulnerabilidades.

Aula 1 - Segurana e Auditoria de Sistemas

25

Ciclo de Segurana
Definio e atualizao de regras de segurana

Com base na anlise de risco e/ou outras avaliaes, as regras de segurana da informao so revisadas e atualizadas periodicamente.

Aula 1 - Segurana e Auditoria de Sistemas

26

Ciclo de Segurana
Implementao E divulgao das Regras de Segurana

Aps a definio/atualizao das regras de

segurana, estas so implementadas e colocadas em prtica nas diversas reas da organizao.

Aula 1 - Segurana e Auditoria de Sistemas

27

Ciclo de Segurana
Administrao da Segurana

Efetua o monitoramento das regras de segurana por meio de ferramentas especficas e analisa os incidentes de segurana.

Aula 1 - Segurana e Auditoria de Sistemas

28

Ciclo de Segurana
Auditorias

Verificam o cumprimento das regras de segurana das informaes nas diversas reas da organizao.

Aula 1 - Segurana e Auditoria de Sistemas

29

Segurana da Informao

Aula 1 - Segurana e Auditoria de Sistemas

30

Segurana da Informao
preciso descobrir os pontos vulnerveis,

avaliar os riscos, tomar as providncias adequadas e investir o necessrio para se ter uma segurana homognea e suficiente. Sempre existiram riscos. O que no se pode admitir o descaso com a segurana.

Aula 1 - Segurana e Auditoria de Sistemas

31

Segurana da Informao
um processo contnuo e abrangente,

com implicaes em todas as reas empresariais, desde a alta administrao at colaboradores que executam as operaes cotidianas mais elementares.

Aula 1 - Segurana e Auditoria de Sistemas

32

Segurana da Informao
um processo em permanente evoluo,

que requer um esforo constante e uma forte capacidade para provocar e gerir mudanas, tanto nos procedimentos operacionais corriqueiros dos funcionrios como na infraestrutura de suporte da organizao.

Aula 1 - Segurana e Auditoria de Sistemas

33

Apenas duas coisas so infinitas: o universo e a estupidez humana, e eu no tenho certeza sobre o primeiro. Albert Einstein