Você está na página 1de 100
Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA)

Auditoria em Tecnologia da Informação

Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) •

Por André Campos

Especialista em Segurança da Informação (UNESA)

Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)

MCSO – Módulo Security Office

Auditor Líder BS 7799 – Det Norske Veritas

Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.

de Seguranç a da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Auditoria em Tecnologia da Informação Por André Campos Este material foi produzido como apoio didático

Auditoria em Tecnologia da Informação

Auditoria em Tecnologia da Informação Por André Campos Este material foi produzido como apoio didático para

Por André Campos

Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com segurança da informação.

O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.

pode ser vendido. Seu uso é permitido sem qualquer custo. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Auditoria em Tecnologia da Informação Por André Campos Crédito das imagens Diversas figuras foram obtidas

Auditoria em Tecnologia da Informação

Auditoria em Tecnologia da Informação Por André Campos Crédito das imagens Diversas figuras foram obtidas a

Por André Campos

Crédito das imagens

Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com. Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi aplicada sobre elas.

Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando Riscos”.

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.

usivamente acadêmicos e não visam a obtenção de lucro. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Auditoria em Tecnologia da Informação Por André Campos Bibliografia Sistemas de segurança da informação –

Auditoria em Tecnologia da Informação

Auditoria em Tecnologia da Informação Por André Campos Bibliografia Sistemas de segurança da informação –

Por André Campos

Bibliografia

Sistemas de segurança da informação – Controlando Riscos; Campos, André; Editora Visual Books, 2005.

Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti, John / Hare, Chris; Editora Auerbach, 2004.

Susan / Berti, John / Hare, Chris; Editora Auerbach, 2004. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Conceitos básicos de SI

Conceitos básicos de SI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos • Ativo de informação
Conceitos básicos de SI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos • Ativo de informação

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Ativo de informação

Ameaça

Vulnerabilidade

Incidente

Probabilidade

Impacto

Risco

Incidente

5

Conceitos básicos de SI

Ativo de informação

A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor.

DADOS INFORMAÇÃO CONHECIMENTO
DADOS
INFORMAÇÃO
CONHECIMENTO
ou ativo de grande valor. DADOS INFORMAÇÃO CONHECIMENTO AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

6

Conceitos básicos de SI

Propriedades de segurança da informação

A segurança da informação é garantida pela preservação de três aspectos essenciais:

confidencialidade, integridade, e disponibilidade (CID).

confidencialidade, integridade, e disponibilidade (CID). AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

INTEGRIDADE CONFIDENCIALIDADE
INTEGRIDADE
CONFIDENCIALIDADE

DISPONIBILIDADE

7

Conceitos básicos de SI

Confidencialidade

Conceitos básicos de SI Confidencialidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da
Conceitos básicos de SI Confidencialidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O princípio da confidencialidade é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação.

8

Conceitos básicos de SI

Integridade

Conceitos básicos de SI Integridade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da
Conceitos básicos de SI Integridade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O princípio da integridade é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável.

9

Conceitos básicos de SI

Disponibilidade

Conceitos básicos de SI Disponibilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da
Conceitos básicos de SI Disponibilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O princípio da

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O princípio da disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário.

10

Conceitos básicos de SI

Vulnerabilidade

Conceitos básicos de SI Vulnerabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos São as fraquezas
Conceitos básicos de SI Vulnerabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos São as fraquezas

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação:

confidencialidade, integridade, e disponibilidade.

11

Conceitos básicos de SI

Ameaça

Conceitos básicos de SI Ameaça AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A ameaça é
Conceitos básicos de SI Ameaça AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A ameaça é

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A ameaça é um agente externo ao ativo de informação, que aproveitando-se das vulnerabilidades deste ativo, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por este ativo.

12

Conceitos básicos de SI

Probabilidade

Conceitos básicos de SI Probabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A probabilidade é
Conceitos básicos de SI Probabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A probabilidade é

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.

13

Conceitos básicos de SI

Impacto

Conceitos básicos de SI Impacto AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O impacto de
Conceitos básicos de SI Impacto AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O impacto de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O impacto de um incidente são as potenciais conseqüências que este incidente possa causar ao negócio da organização.

14

Conceitos básicos de SI

Risco

RISCO=IMPACTO*PROBABILIDADE
RISCO=IMPACTO*PROBABILIDADE

O risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação.

demandam por investimentos em segurança da informação. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

15

Conceitos básicos de SI

Incidente de Segurança da Informação

Quando uma ameaça explora vulnerabilidades de um ativo de informação, violando uma de suas características de segurança (CID), temos o incidente de segurança da informação. Este incidente tem uma chance de acontecer, e se acontecer gera um determinado impacto ou prejuízo.

e se acontecer gera um determinado impacto ou prejuízo. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Negócio da

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Negócio da organização

Confidencialidade Incidente de segurança Informação Integridade Disponibilidade Ativos de informação Ameaças
Confidencialidade
Incidente de segurança
Informação
Integridade
Disponibilidade
Ativos de informação
Ameaças
Vulnerabilidades

Grau

vulnerabilidade

Grau ameaça
Grau ameaça
IMPACTO
IMPACTO
Ameaças Vulnerabilidades Grau vulnerabilidade Grau ameaça IMPACTO PROBABILIDADE 16 Professor André Campos
PROBABILIDADE
PROBABILIDADE

16

Professor

André Campos

Como implementar um sistema de segurança

Como implementar um sistema de segurança AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Conhecer os
Como implementar um sistema de segurança AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Conhecer os

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Conhecer os conceitos sobre segurança da informação não significa necessariamente saber garantir esta segurança.

Muitos têm experimentado esta sensação quando elaboram seus planos de segurança e acabam não atingindo os resultados desejados.

17

Como implementar um sistema de segurança

Como implementar um sistema de segurança Um gerente de segurança da informação de verdade trabalha com

Um gerente de segurança da informação de verdade trabalha com fatos, com resultados de análise e exames da organização em questão.

A partir destes resultados ele estabelece um conjunto de ações coordenadas no sentido de garantir a segurança da informação; um conjunto de ações, um conjunto de mecanismos integrados entre si, de fato, um sistema de segurança da informação.

si, de fato, um sistema de segurança da informação. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

18

Como implementar um sistema de segurança

A implantação de um sistema de segurança da informação não é uma tarefa trivial.

O modelo proposto pela Qualidade (família ISO) é o caminho adequado superar este desafio. Este modelo é baseado no conceito de melhoria contínua (PDCA).

é baseado no conceito de melhoria contínua (PDCA). AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Planejar (PLAN) Melhorar Implementar (ACT) (DO) Monitorar (CHECK)
Planejar
(PLAN)
Melhorar
Implementar
(ACT)
(DO)
Monitorar
(CHECK)

19

Como implementar um sistema de segurança

A primeira fase é de planejamento (PLAN). Nesta fase, é definido o escopo e abrangência esperada para o sistema de segurança da informação, e realizada a análise de risco, e feito o planejamento para o tratamento do risco.

D efinição d o escop o
D efinição
d o escop o

A ná lise do risco

Planeja m ento de trata m ento d o risco
Planeja m ento de
trata m ento d o risco
ná lise do risco Planeja m ento de trata m ento d o risco AUDITORIA EM

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

20

Como implementar um sistema de segurança

Escopo

Nem sempre é fácil implantar o sistema em toda a organização. Por isso, definir escopos sucessivamente maiores talvez seja o caminho para se chegar ao objetivo final:

segurança da informação em toda a organização.

final: segurança da informação em toda a organização. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

ORGANIZAÇÃO Vendas Produção Tecnologia da Recursos Humanos Informação Escopo inicial. Escopo ampliado.
ORGANIZAÇÃO
Vendas
Produção
Tecnologia da
Recursos Humanos
Informação
Escopo inicial.
Escopo ampliado.
Escopo final.

21

Como implementar um sistema de segurança

Análise de risco

Depois do escopo definido, é a hora de pensar que controles implementar.

Para otimizar esta decisão é imprescindível realizar a análise de risco. Ela apontará para as prioridades dentro do escopo.

A análise deve ser feita considerando as seguintes dimensões: processos, tecnológica, ambiental, e pessoas.

dimensões: processos, tecnológica, ambiental, e pessoas. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Alto Tecnologia da informação Bloqueio Invasor Firewall portas TCP interno Controle Invasor de acesso Manter
Alto
Tecnologia da
informação
Bloqueio
Invasor
Firewall
portas TCP
interno
Controle
Invasor
de acesso
Manter
externo
Servidor de
físico
serviços de
Médio
arquivos
rede
Sistema
Vírus
antivírus
Servidor de
correio
Variação
Nobreak
de
energia
Médio

22

Como implementar um sistema de segurança

Análise de risco

AUDITORIA EM 23 Professor TECNOLOGIA DA André Campos INFORMAÇÃO
AUDITORIA EM
23
Professor
TECNOLOGIA DA
André Campos
INFORMAÇÃO

Como implementar um sistema de segurança

Análise de risco

Os processos, tecnologias, ambientes e pessoas são, de fato, ativos de informação; ou categorizações destes ativos.

As pessoas ocupam uma posição central entre estas categorias, pois sua importância é maior do que a das outras.

pois sua importância é maior do que a das outras. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

pois sua importância é maior do que a das outras. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

24

Como implementar um sistema de segurança

O que fazer com o risco?

um sistema de segurança O que fazer com o risco? AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor
um sistema de segurança O que fazer com o risco? AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Com o risco já identificado, é importante decidir o que fazer com ele. É possível:

• Evitar

• Controlar

• Transferir

• Aceitar

Isto fica claro na declaração de aplicabilidade.

25

Como implementar um sistema de segurança

Declaração de aplicabilidade

um sistema de segurança Declaração de aplicabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André
um sistema de segurança Declaração de aplicabilidade AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

26

Como implementar um sistema de segurança

Implementando o sistema

Após a etapa de planejamento, o próximo passo é executar

o planejado. Isto envolve o planejamento da fase de

implementação, a execução e o controle da implementação,

e por fim, o encerramento da implementação.

Planejar a implementação Implementar Encerrar a implementação Controlar a implementação
Planejar a
implementação
Implementar
Encerrar a
implementação
Controlar a
implementação
Encerrar a implementação Controlar a implementação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

27

Monitorando o sistema de segurança

O monitoramento ou controle do sistema implica em avaliar sistematicamente se os controles implementados estão atendendo as expectativas originais.

Para tanto, os processos ao lado precisam ser executados com regularidade.

ao lado precisam ser executados com regularidade. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Realizar registros Monitorar controles Reavaliar sistema Realizar auditorias Reavaliar riscos 28
Realizar
registros
Monitorar
controles
Reavaliar
sistema
Realizar
auditorias
Reavaliar
riscos
28

Controles de segurança da informação

A implementação de um sistema de segurança da informação se dá pela instalação de controles específicos nas mais diversas áreas da organização, sempre pensando nas dimensões de processos, tecnologias, ambientes e pessoas.

de processos, tecnologias, ambientes e pessoas. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

de processos, tecnologias, ambientes e pessoas. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 29

29

Controles de segurança da informação

Controles de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos •Política (PSI)
Controles de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos •Política (PSI)

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

•Política (PSI) •Estrutura organizacional •Controle de acesso •Pessoas •Segurança física •Segurança lógica •Operação de sistemas •Desenvolvimento de sistemas •Continuidade do negócio •Incidentes de segurança •Aspectos legais

30

Política de segurança da informação

Política de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 31

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

31

Controles de segurança da informação

Política

A política de segurança da informação (PSI) deve estar alinhada com os objetivos de negócio da organização.

Ela é estruturada em diretrizes, normas e procedimentos.

D1 N1 N2 N3 P1 P2 P3 P4 P5 P6 P7 DIRETRIZESNORMASPROCEDIMENTOS
D1
N1
N2
N3
P1
P2
P3
P4
P5
P6
P7
DIRETRIZESNORMASPROCEDIMENTOS
P1 P2 P3 P4 P5 P6 P7 DIRETRIZESNORMASPROCEDIMENTOS AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

32

Controles de segurança da informação

Política

Definições gerais Objetivos e metas
Definições gerais
Objetivos e metas
Diretrizes Responsabilidades
Diretrizes
Responsabilidades

Definições de registro de incidente

Frequência de revisão
Frequência de revisão

A elaboração e implantação

de uma política de segurança é sem si mesmo um projeto a

ser gerido.

Estabelecer o método de trabalho Avaliar as questões de negócio, legais e contratuais Legislação Regulamento
Estabelecer o
método de
trabalho
Avaliar as
questões de
negócio, legais e
contratuais
Legislação
Regulamento interno
Contratos
e contratuais Legislação Regulamento interno Contratos Os passos essenciais são demonstrados na figura ao lado.

Os passos essenciais são demonstrados na figura ao lado.

Definir contexto estratégico e de risco Critérios de risco Risco aceitável
Definir contexto
estratégico
e de risco
Critérios de risco
Risco aceitável
Construir a política Aprovar a política Divulgar a política
Construir a
política
Aprovar a
política
Divulgar a
política

O governo federal está obrigado por decreto a possuir

e respeitar uma política de

segurança, conforme Decreto 3.505 de 13 de junho de 2000.

segurança, conforme Decreto 3.505 de 13 de junho de 2000. AUDITORIA EM 33 TECNOLOGIA DA Professor

AUDITORIA EM

33

TECNOLOGIA DA

Professor

André Campos

INFORMAÇÃO

FATORES INTERNOSFATORES

Controles de segurança da informação

Política

A política possui características, ou fatores, internos e externos, que precisam ser respeitados por ocasião de sua elaboração e implantação.

por ocasião de sua elaboração e implantação. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos EXTERNOS Ser objetiva Definir penalidades Ser

EXTERNOS

Ser

objetiva

Definir

penalidades

Ser

simples

Ser objetiva Definir penalidades Ser simples Ser consistente Definir metas Definir responsabilidades

Ser

consistente

Definir

metas

Definir

responsabilidades

ACESSÍVEL

CONHECIDA

APROVADA

DINÂMICA

EXEQUÍVEL

34

Estrutura

organizacional

Estrutura organizacional AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 35

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

35

Estrutura organizacional

Escritório de segurança

Deve haver uma área designada na organização para cuidar da segurança da informação em tempo integral.

O escritório de segurança gerencia o sistema de segurança e faz a interlocução entre o fórum de segurança e o comitê gestor de segurança.

Security Officer ESCRITÓRIO DE SEGURANÇA DA INFORMACÃO COMITÊ AUDITORIA IM PLEM ENTAÇÃO COORDENADOR INTERNA
Security Officer
ESCRITÓRIO DE
SEGURANÇA DA
INFORMACÃO
COMITÊ
AUDITORIA
IM PLEM ENTAÇÃO
COORDENADOR
INTERNA
COMITÊ AUDITORIA IM PLEM ENTAÇÃO COORDENADOR INTERNA AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

AUDITORIA IM PLEM ENTAÇÃO COORDENADOR INTERNA AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 36

36

Estrutura organizacional

Fórum de segurança

R e p r e s e n t a ç ã o ex e
R e p r e s e n t a
ç ã o
ex e c u t iv a
D
ir e t o r
d e
R e c u r s o s
H u m
a n o s
D
ir e t o r
d e
T e c n o lo g ia
d
a
In f o r m
a ç ã
o
F Ó
R U M
D E
D
ir e t o r
d e
V
e n d
a s
S E G
U R ANÇ
A
D A
I N
F O
R M
A
Ç
Ã
O
D
ir e t o r
d e
P r o d
u ç ã o
D
ir e t o r
d e
L o g ís t ic a
ORGANIZAÇÀO

O fórum de segurança da informação é quem decide, em última análise, sobre a implantação ou não dos controles de segurança da informação. Este fórum, em geral, é a própria diretoria da organização, ou uma comissão por ela indicada.

da organização, ou uma comissão por ela indicada. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

37

Estrutura organizacional

Comitê gestor

Estrutura organizacional Comitê gestor AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O comitê gestor
Estrutura organizacional Comitê gestor AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O comitê gestor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O comitê gestor de segurança da informação é uma estrutura matricial formada por representantes das áreas mais relevantes da organização.

Este grupo ajuda a detectar necessidades e a implantar os controles.

A coordenação do grupo, em geral, é do Gerente de Segurança.

38

Classificação da informação

Classificação da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 39

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

39

Classificação da informação

Classificação da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As informações possuem
Classificação da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As informações possuem

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As informações possuem valor e usos diferenciados, e portanto, precisam de graus diferenciados de proteção.

Cada tipo de proteção possui seu próprio custo, e classificar a informação é um esforço para evitar o desperdício de investimento ao se tentar proteger toda a informação.

40

Classificação da informação

41
41

A informação deve ser classificada em nível corporativo, e não por aplicação ou departamento. Os principais benefícios são:

• CID é fortalecido pelos controles

implementados em toda a organização;

• O investimento em proteção é otimizado;

A qualidade das decisões é aumentada, já que as informações são mais confiáveis;

• A organização controla melhor suas

informações e pode fazer uma re-análise periódica de seus processos e informações.

re-análise periódica de seus processos e informações. AUDITORIA EM TECNOLOGIA DA Professor André Campos

AUDITORIA EM

TECNOLOGIA DA

Professor

André Campos

INFORMAÇÃO

Classificação da informação

Para começar, algumas perguntas:

Existe um patrocinador para o projeto de classificação?

O que você está tentando proteger, e

do quê?

Existe algum requerimento regulatório a ser considerado? (Decreto 4.554/2003)

O negócio entende sua

responsabilidade sobre a informação?

Existem recursos disponíveis para o

projeto?

informação? Existem recursos disponíveis para o projeto? AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Existem recursos disponíveis para o projeto? AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 42

42

Classificação da informação

A política de segurança da informação deve contemplar as políticas de classificação. Alguns critérios essenciais precisam ser definidos nesta política:

• As definições para cada uma das classificações;

• Os critérios de segurança para cada

classificação, tanto em termos de dados quanto em termos de software;

• As responsabilidades e obrigações de

cada grupo de indivíduos responsável pela

implementação da classificação e por seu uso.

pela implementação da classificação e por seu uso. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

pela implementação da classificação e por seu uso. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos

43

Classificação da informação

Ainda, a política precisa estabelecer as seguintes regras:

• A informação é um bem e precisa ser protegido;

• Os gerentes são proprietários da informação;

• A área de TI é custodiante da informação;

• Obrigações e responsabilidades para os proprietários da informação;

• Propor um conjunto mínimo de controles que devem ser estabelecidos.

conjunto mínimo de controles que devem ser estabelecidos. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

mínimo de controles que devem ser estabelecidos. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 44

44

Gestão das pessoas

Gestão das pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 45

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

45

Gestão de pessoas

Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As pessoas são o elemento
Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As pessoas são o elemento

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As pessoas são o elemento central de um sistema de segurança da informação.

Os incidentes de segurança da informação sempre envolve pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaças que

estas

exploram

vulnerabilidades.

Pessoas

são

suscetíveis

à

ataques de engenharia social.

46

Gestão de pessoas

Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos a mais comum para este
Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos a mais comum para este

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

a

mais

comum para este tipo de ativo.

A

forma

engenharia

de

social

é

ataque

Engenharia social é o processo de mudar o comportamento das pessoas de modo que suas ações sejam previsíveis, objetivando obter acesso a informações e sistemas não autorizados.

47

Gestão de pessoas

Um ataque de engenharia social é realizado em três fases: 1 – Levantamento de informações;
Um ataque de engenharia
social é realizado em três
fases:
1
Levantamento
de
informações;
2 – Seleção do alvo;
3 – Execução do ataque.
2 – Seleção do alvo; 3 – Execução do ataque. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

48

Gestão de pessoas

Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Devem ser criadas políticas para
Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Devem ser criadas políticas para

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Devem ser criadas políticas para aplicação antes do contrato de pessoal.

• Papéis e

responsabilidades;

• Seleção;

• Termos e condições de contratação.

49

Gestão de pessoas

Políticas para aplicação durante contrato de pessoal.

• Responsabilidades da Direção;

• Conscientização e treinamento;

• Processo disciplinar.

Conscientização e treinamento; • Processo disciplinar. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André
Conscientização e treinamento; • Processo disciplinar. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

50

Gestão de pessoas

Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos E políticas para aplicação no
Gestão de pessoas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos E políticas para aplicação no

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

E políticas para aplicação no encerramento do contrato de pessoal.

• Encerramento de atividades;

• Devolução de ativos;

• Retirada dos direitos de acesso.

51

Segurança física

Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 52

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

52

Segurança física

Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As políticas de segurança física
Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As políticas de segurança física

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As políticas de segurança física devem proteger os ativos de informação que sustentam os negócios da organização.

Atualmente a informação está distribuída fisicamente em equipamentos móveis, tais como laptops, celulares, PDAs, memory keys, estações de trabalho, impressoras, telefones, FAXs, entre outros.

53

Segurança física

Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança física precisa garantir a
Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança física precisa garantir a

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A segurança física precisa garantir a segurança da informação para todos estes ativos.

Esta segurança deve ser aplicada para as seguintes categorias de ativos:

• Sistemas estáticos, que são

instalações em estruturas fixadas no

espaço;

• Sistemas móveis, que são aqueles instalados em veículos ou mecanismos móveis;

• Sistemas portáteis, que são

aqueles que podem ser operados em qualquer lugar.

54

Segurança física

Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Diversas ameaças que podem explorar
Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Diversas ameaças que podem explorar

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Diversas ameaças que podem explorar vulnerabilidades físicas, tais como:

Naturais – Enchentes, tempestades, erupções vulcânicas, temperaturas extremas, alta umidade

Sistemas de apoio – Comunicação interrompida, falta de energia, estouro em tubulações

Humanas – Explosões, invasões físicas, sabotagens, contaminação química

Eventos políticos – Ataque terrorista, espionagem, greves

55

Segurança física

4 Porta, e equipamento Sala dos computadores servidores para digitação de senha e Porta, e
4
Porta, e
equipamento
Sala dos computadores
servidores
para
digitação de
senha e
Porta, e
leitura de
equipamento
impressão
para
digital
digitação de
3
senha
Suporte operacional
Porta
Atendimento
Recepção
ao cliente
1
2
Porta e
recepcionista
Recepção ao cliente 1 2 Porta e recepcionista AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A segurança

física requer que a área seja protegida, e

uma forma

simples de

enxergar a segurança física é definindo

perímetro de segurança, ou camadas de acesso.

56

Segurança física

Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As seguintes políticas de segurança
Segurança física AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As seguintes políticas de segurança

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As seguintes políticas de segurança física devem ser consideradas:

• Controle de entrada física;

• Segurança em escritórios, salas e instalações;

• Proteção contra ameaças externas e naturais;

• Proteção das áreas críticas;

• Acesso de pessoas externas;

• Instalação e proteção dos equipamentos;

• Equipamentos fora da organização;

• Estrutura de rede;

• Manutenção dos equipamentos;

• Reutilização e alienação de equipamentos;

• Remoção de propriedade.

57

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 58

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

58

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As operações de
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As operações de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As operações de TI envolve o controle sobre o hardware, mídias, gestão de privilégios, rede, segurança Internet, métodos de transmissão de informações, entre outros.

O objetivo é garantir o CID em todas estas operações.

Políticas devem ser criadas para este fim.

59

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As responsabilidades
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As responsabilidades

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

As responsabilidades operacionais devem ser atribuídas, e procedimentos precisam ser escritos, aprovados e publicados.

60

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Os serviços operacionais
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Os serviços operacionais

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Os serviços operacionais de tecnologia da informação prestados por terceiros precisam ser regulados e devidamente gerenciados.

61

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A necessidade de
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A necessidade de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A necessidade de sistemas precisa ser planejada de acordo com as necessidades demonstradas nos processos de negócio.

Estes sistemas devem passar por avaliação e homologação antes da entrada definitiva em operação.

62

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Uma política de
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Uma política de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Uma política de cópia de segurança (backup) deve ser estabelecida.

As operações de backup precisam ser gerenciadas.

63

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança das
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança das

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A segurança das operações em rede é um importante fator a ser considerado na política de segurança da informação.

64

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Uma política para
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Uma política para

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Uma política para manuseio de mídias deve ser elaborada.

Questões tais como o gerenciamento, o descarte, procedimentos para tratamento da informação, e a segurança para os documentos de sistema, são importantes nesta política.

65

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A troca de
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A troca de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A troca de informações deve ser considerada.

Questões importantes são: estabelecer procedimentos para troca de informações, mídias em trânsito, mensagens eletrônicas, sistemas de informações do negócio, entre outros.

66

Gestão das operações de TI

Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Por fim, é
Gestão das operações de TI AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Por fim, é

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Por fim, é importante considerar o monitoramento de todas as operações em TI.

Para tanto, devem existir registros de auditoria, monitoramento do uso dos sistemas, proteção das informações de registro (log), registro de log tanto de operador quanto de administrador, registro em log das falhas, e mecanismo de sincronização dos relógios das máquinas.

67

Controle de acesso lógico

Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 68

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

68

Controle de acesso lógico

Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos É preciso elaborar uma
Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos É preciso elaborar uma

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

É preciso elaborar uma política de controle de acesso, que apontará para os requisitos de negócio e para as regras de controle de acesso.

Na idade média já existia o conceito de controle de acesso, quando uma senha ou frase secreta era a chave para entrar em um determinado recinto.

69

Controle de acesso lógico

O conceito de controle de acesso baseia-se em dois princípios: 1 – Separação de responsabilidades;
O conceito de controle
de acesso baseia-se em
dois princípios:
1
– Separação de
responsabilidades;
2
– Privilégios mínimos.
de responsabilidades; 2 – Privilégios mínimos. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

70

Controle de acesso lógico

Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de separação
Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de separação

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O conceito de separação de responsabilidades implica na separação de um determinado processo de modo que cada parte possa ser realizada por uma pessoa diferente.

Isto obriga os colaboradores a interagir para concluir um determinado processo, diminuindo as chances de fraudes.

71

Controle de acesso lógico

Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de privilégio
Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de privilégio

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O conceito de privilégio mínimo implica na concessão apenas dos privilégios mínimos necessários para que uma pessoa realize suas atividades.

Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam levar a incidentes de segurança da informação. Há um termo em inglês para este conceito:

need-to-know”.

72

Controle de acesso lógico

Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de controle
Controle de acesso lógico AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de controle

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A política de controle de acesso deve abranger pelo menos os seguintes

temas:

1 – Definição dos requisitos de negócio para controle de acesso;

2 – Gerenciamento dos acessos pelos

usuários;

3 – Definição das responsabilidades dos usuários;

4 – Controle de acesso à rede;

5 – Controle de acesso ao sistema

operacional;

6 – Controle de acesso aos sistemas de informação;

7 – Computação móvel e trabalho remoto.

73

Desenvolvimento e aquisição de sistemas

Desenvolvimento e aquisição de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 74

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

74

Aquisição, desenvolvimento e manutenção de sistemas

Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A segurança dos dados e

informações em sistemas é um dos mais importantes objetivos de um sistema de segurança da informação.

Os procedimentos de desenvolvimento destes sistemas são uma questão vital para a segurança, para a manutenção do CID das informações.

A política de desenvolvimento de

sistemas é o mecanismos para

garantir estes resultados.

75

Aquisição, desenvolvimento e manutenção de sistemas

Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A
Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A aquisição de sistemas

possibilita o surgimento de diversas vulnerabilidades.

A utilização de códigos abertos

disponibilizados por comunidades

é um dos perigos muitas vezes ignorados.

A política de sistemas precisa

garantir a diminuição destas

vulnerabilidades.

76

Aquisição, desenvolvimento e manutenção de sistemas

Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O
Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O desenvolvimento e manutenção de sistemas também contém diversas vulnerabilidades.

Se não houver uma política explicita que oriente este desenvolvimento, vulnerabilidades poderão ser introduzidas no levantamento de requisitos, na construção do projeto, e na implantação do sistema.

77

Aquisição, desenvolvimento e manutenção de sistemas

Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A
Aquisição, desenvolvimento e manutenção de sistemas AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A política de sistemas de informação deve se preocupar com os seguintes assuntos:

1 - Definição dos requisitos de segurança para sistemas;

2 – Processamento correto nas aplicações;

3 – Controles criptográficos;

4 - Segurança dos arquivos de sistema;

5 – Segurança nos processos de

desenvolvimento e manutenção;

6 – Gestão das vulnerabilidades técnicas.

78

Gestão de incidentes de segurança

Gestão de incidentes de segurança AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 79

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

79

Gestão dos incidentes de segurança da informação

Gestão dos incidentes de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
Gestão dos incidentes de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Apesar de todos os controles implementados, eventualmente ocorrerão incidentes de segurança da informação.

Estes incidentes podem ser uma indicação de que alguns dos controles não estão sendo eficazes, e este é um bom motivo para reavaliar os mesmos.

80

Gestão dos incidentes de segurança da informação

Gestão dos incidentes de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A
Gestão dos incidentes de segurança da informação AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A política de segurança da informação deve se preocupar com pelo menos os seguintes assuntos sobre gestão de incidentes:

1 – Notificação e registro dos incidentes;

2 – Tratamento dos

incidentes e melhoria contínua.

81

Plano de continuidade de negócio

Plano de continuidade de negócio AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 82

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

82

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O plano
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O plano

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

O plano de continuidade de negócio

é de fato uma política para que os

negócios da organização não sejam

interrompidos por incidentes de segurança da informação.

Isto significa que esta política deve garantir a existência de procedimentos de preparação, teste,

e manutenção de ações específicas

para proteger os processos críticos do negócio.

Um PCN é constituído de 5 fases.

83

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 1 -
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 1 -

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

1 - Iniciação e gestão do projeto.

Nesta fase são estabelecidos o gerente e a equipe do projeto, que elaboram o plano deste projeto.

84

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 2 -
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 2 -

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

2 - Análise de impacto para o negócio.

Nesta fase são identificados os tempos críticos dos processos essenciais da organização, e determinados os tempos máximos de tolerância de parada para estes processos (downtime).

85

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 3 –
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 3 –

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

3 – Estratégias de recuperação.

Nesta fase são identificadas e selecionadas as alternativas adequadas de recuperação para cada tipo de incidente, respeitando os tempos definidos na etapa anterior (análise de impacto para o negócio).

86

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 4 –
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 4 –

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

4 – Elaboração dos planos.

Nesta fase são construídos os documentos, os planos de continuidade propriamente ditos. Estes documentos são resultados da análise de impacto para o negócio, e estratégias de recuperação.

87

Plano de continuidade do negócio (PCN)

Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 5 –
Plano de continuidade do negócio (PCN) AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 5 –

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

5 – Teste, manutenção e treinamento.

Nesta fase são estabelecidos os processos para teste das estratégias de recuperação, manutenção do PCN, e garantia de que os envolvidos estão cientes de suas responsabilidades e devidamente treinados nas estratégias de recuperação.

88

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 89

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

89

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Todo o sistema
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Todo o sistema

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Todo o sistema de segurança da informação, com todos os seus controles, deve estar em plena harmonia e conformidade com as leis internacionais, nacionais, estaduais, municipais, e com as eventuais regulamentações internas da organização, bem como com as orientações de normatização e regulamentação do mercado.

90

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A política de segurança precisa garantir que seja avaliada a legislação vigente, que existam mecanismos para determinar se um crime envolvendo sistemas e computadores foi cometido, e que estes procedimentos possibilitem a preservação e coleta das evidências incriminatórias.

91

Conformidade com os aspectos legais

Os principais incidentes que podem ter implicações legais: 1 – Viroses e códigos maliciosos; 2
Os principais incidentes que
podem ter implicações legais:
1
– Viroses e códigos
maliciosos;
2 – Erro humano;
3 – Ataques terroristas;
4 – Acesso não autorizado;
5 – Desastres naturais;
6 – Mau funcionamento de
hardware e software;
7
– Serviços indisponíveis.
de hardware e software; 7 – Serviços indisponíveis. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

92

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Mas como os
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Mas como os

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Mas como os crimes podem envolver computadores?

Crime apoiado por computador. Fraudes, pornografia infantil, etc.

Crime específico de computador. DOS, sniffers, roubo de senhas, etc.

Crimes em que o computador é um mero elemento. Lista de clientes de traficantes, etc.

Vejamos alguns incidentes históricos

93

Conformidade com os aspectos legais

Equity Funding. Considerado o primeiro crime grande envolvendo computadores. A organização usou seus computadores para criar falsos registros e outros instrumentos para aumentar o valor da organização no mercado.

Os auditores, que checavam todas as evidencias nos computadores ao invés de avaliar as transações reais, foram enganados por muito tempo.

as transações reais, foram enganados por muito tempo. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

transações reais, foram enganados por muito tempo. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 94

94

Conformidade com os aspectos legais

412 Gang. Em 1982 um grupo auto-intitulado “412 Gang” ganhou fama nacional nos Estados Unidos quando derrubou o servidor de banco de dados do “Memorial Sloan Kettering Cancer Center”, e depois invadiu os computadores de uma organização militar chamada “Los Alamos”, no Novo México.

militar chamada “Los Alamos”, no Novo México. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

militar chamada “Los Alamos”, no Novo México. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 95
militar chamada “Los Alamos”, no Novo México. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 95
militar chamada “Los Alamos”, no Novo México. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos 95

95

Conformidade com os aspectos legais

Kevin Mitnick. Sem dúvida, trata-se do mais famoso e reconhecido hacker de todos os tempos. Foi o mestre na arte da engenharia social, técnica que empregou extensivamente para obter acesso a muitos sistemas de computores.

Hoje ele presta serviços de segurança da informação, e seu site é o www.kevinmitnick.com.

da informação, e seu site é o www.kevinmitnick.com . AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

informação, e seu site é o www.kevinmitnick.com . AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos

96

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

A política de segurança deve garantir procedimentos para identificação e adequação à legislação vigente.

Isto inclui os direitos de propriedade intelectual, a proteção aos registros organizacionais, a proteção de dados e privacidade de informações pessoais, a prevenção de mau uso dos recursos de processamento da informação, e a regulamentação dos controles de criptografia.

97

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Conformidade entre as
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Conformidade entre as

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

Conformidade entre as políticas de segurança da informação e também a conformidade técnica.

Isto significa que devem ser consideradas as políticas e normas de segurança, e a avaliação técnica destas normas.

98

Conformidade com os aspectos legais

Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos E finalmente as
Conformidade com os aspectos legais AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos E finalmente as

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos

E finalmente as

questões referentes à auditoria.

A política deve garantir

que existam controles de auditoria, e proteção às ferramentas de auditoria, o que garantirá a confiabilidade destas ferramentas.

99

Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA)

Auditoria em Tecnologia da Informação

Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) •

Por André Campos

Especialista em Segurança da Informação (UNESA)

Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)

MCSO – Módulo Security Office

Auditor Líder BS 7799 – Det Norske Veritas

Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.

de Seguranç a da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André

AUDITORIA EM

TECNOLOGIA DA

INFORMAÇÃO

Professor

André Campos