Escolar Documentos
Profissional Documentos
Cultura Documentos
05 APOSTILA - Auditoria em Tecnologia Da Informação PDF
05 APOSTILA - Auditoria em Tecnologia Da Informação PDF
Tecnologia da
Informao
Por Andr Campos
Especialista em Segurana da Informao (UNESA)
Especialista em Gesto Estratgica de Tecnologia da Informao (UFRJ)
MCSO Mdulo Security Office
Auditor Lder BS 7799 Det Norske Veritas
Autor do livro: Sistema de Segurana da Informao Controlando riscos.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com segurana da informao.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Crdito das imagens
Diversas figuras foram obtidas a partir do acesso pblico permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alterao foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra Sistema de Segurana da Informao Controlando
Riscos.
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no visam a obteno de
lucro.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Bibliografia
Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Conceitos bsicos de SI
Ativo de informao
Ameaa
Vulnerabilidade
Incidente
Probabilidade
Impacto
Risco
Incidente
AUDITORIA EM
Professor
5
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Ativo de informao
AUDITORIA EM
Professor
6
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
A segurana da
E
informao garantida
AD
IN
ID
TEG
pela preservao de
AL
RID
CI
trs aspectos
EN
AD
ID
essenciais:
E
NF
CO
confidencialidade,
integridade, e
disponibilidade (CID).
DISPONIBILIDADE
AUDITORIA EM
Professor
7
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Confidencialidade
O princpio da
confidencialidade
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso informao.
AUDITORIA EM
Professor
8
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Integridade
O princpio da
integridade
respeitado quando a
informao acessada
est completa, sem
alteraes e, portanto,
confivel.
AUDITORIA EM
Professor
9
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Disponibilidade
O princpio da
disponibilidade
respeitado quando a
informao est
acessvel, por pessoas
autorizadas, sempre
que necessrio.
AUDITORIA EM
Professor
10
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Vulnerabilidade
So as fraquezas
presentes nos ativos de
informao, que podem
causar, intencionalmente
ou no, a quebra de um
ou mais dos trs
princpios de segurana
da informao:
confidencialidade,
integridade, e
disponibilidade.
AUDITORIA EM
Professor
11
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Ameaa
A ameaa um agente
externo ao ativo de
informao, que
aproveitando-se das
vulnerabilidades deste
ativo, poder quebrar a
confidencialidade,
integridade ou
disponibilidade da
informao suportada ou
utilizada por este ativo.
AUDITORIA EM
Professor
12
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Probabilidade
A probabilidade a
chance de uma falha de
segurana ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negcio e o
grau das ameaas que
possam explorar estas
vulnerabilidades.
AUDITORIA EM
Professor
13
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Impacto
O impacto de um
incidente so as
potenciais
conseqncias que este
incidente possa causar
ao negcio da
organizao.
AUDITORIA EM
Professor
14
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
AUDITORIA EM
Professor
15
TECNOLOGIA DA
INFORMAO Andr Campos
Conceitos bsicos de SI
de um ativo de
Confidencialidade
informao, violando
Incidente de segurana
uma de suas Informao Integridade
caractersticas de Disponibilidade
Ativos de informao
segurana (CID), temos Ameaas Vulnerabilidades
o incidente de
segurana da
Grau
informao. Este Grau ameaa
vulnerabilidade
Conhecer os conceitos
sobre segurana da
informao no significa
necessariamente saber
garantir esta segurana.
Muitos tm experimentado
esta sensao quando
elaboram seus planos de
segurana e acabam no
atingindo os resultados
desejados.
AUDITORIA EM
Professor
17
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Um gerente de segurana da
informao de verdade trabalha com
fatos, com resultados de anlise e
exames da organizao em questo.
A implantao de um
sistema de segurana da Planejar
informao no uma (PLAN)
tarefa trivial.
o caminho adequado
superar este desafio.
Este modelo baseado
no conceito de melhoria Monitorar
(CHECK)
contnua (PDCA).
AUDITORIA EM
Professor
19
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
D e fin i o A n lis e P la n e ja m e n to d e
d o e sc o p o d o ris c o tra ta m e n to d o ris c o
AUDITORIA EM
Professor
20
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Escopo
implantar o sistema em
toda a organizao. Por Vendas Produo
organizao.
AUDITORIA EM
Professor
21
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Anlise de risco
Depois do escopo definido, a
hora de pensar que controles
Tecnologia da
implementar. informao
Bloqueio Invasor
Firewall portas TCP interno
Para otimizar esta deciso
io
d
M
Controle
imprescindvel realizar a anlise Manter
Servidor de
de acesso
Invasor
externo
servios de Mdio fsico
de risco. Ela apontar para as rede
arquivos
Sistema
prioridades dentro do escopo. antivrus
Vrus
Al
Servidor de
to
correio Variao
Nobreak de
A anlise deve ser feita energia
considerando as seguintes
dimenses: processos,
tecnolgica, ambiental, e
pessoas.
AUDITORIA EM
Professor
22
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Anlise de risco
AUDITORIA EM
Professor
23
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Anlise de risco
Os processos,
tecnologias, ambientes e
pessoas so, de fato,
ativos de informao; ou
categorizaes destes
ativos.
Evitar
Controlar
Transferir
Aceitar
Declarao de aplicabilidade
AUDITORIA EM
Professor
26
TECNOLOGIA DA
INFORMAO Andr Campos
Como implementar um sistema de segurana
Implementando o sistema
Planejar a Encerrar a
Implementar
implementao implementao
Controlar a
implementao
AUDITORIA EM
Professor
27
TECNOLOGIA DA
INFORMAO Andr Campos
Monitorando o sistema de segurana
O monitoramento ou Realizar
registros
controle do sistema
implica em avaliar
sistematicamente se os
Monitorar
controles implementados controles
esto atendendo as Reavaliar
expectativas originais. sistema
Realizar
Para tanto, os processos auditorias
ao lado precisam ser
executados com
regularidade. Reavaliar
riscos
AUDITORIA EM
Professor
28
TECNOLOGIA DA
INFORMAO Andr Campos
Controles de segurana da informao
A implementao de um
sistema de segurana da
informao se d pela
instalao de controles
especficos nas mais
diversas reas da
organizao, sempre
pensando nas dimenses
de processos,
tecnologias, ambientes e
pessoas.
AUDITORIA EM
Professor
29
TECNOLOGIA DA
INFORMAO Andr Campos
Controles de segurana da informao
Poltica (PSI)
Estrutura organizacional
Controle de acesso
Pessoas
Segurana fsica
Segurana lgica
Operao de sistemas
Desenvolvimento de
sistemas
Continuidade do negcio
Incidentes de segurana
AUDITORIA EM
Aspectos legais 30
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Poltica de segurana
da informao
AUDITORIA EM
Professor
31
TECNOLOGIA DA
INFORMAO Andr Campos
Controles de segurana da informao
Poltica
A poltica de
DIRETRIZES
segurana da D1
informao (PSI)
deve estar alinhada
com os objetivos de
NORMAS
negcio da N1 N2 N3
organizao. PROCEDIMENTOS
Ela estruturada em P1 P2 P3 P4 P5 P6 P7
diretrizes, normas e
procedimentos.
AUDITORIA EM
Professor
32
TECNOLOGIA DA
INFORMAO Andr Campos
Controles de segurana da informao
Objetivos e metas
contratuais
Contratos
Construir a
poltica
O governo federal est
obrigado por decreto a possuir
Aprovar a
e respeitar uma poltica de poltica
segurana, conforme Decreto
3.505 de 13 de junho de 2000.
Divulgar a
poltica
AUDITORIA EM
Professor
33
TECNOLOGIA DA
INFORMAO Andr Campos
Controles de segurana da informao
Ser
Poltica simples
FATORES INTERNOS
A poltica possui Ser Ser
objetiva consistente
caractersticas, ou
fatores, internos e Definir Definir
externos, que penalidades metas
precisam ser
respeitados por Definir
responsabilidades
ocasio de sua
elaborao e FATORES EXTERNOS
ACESSVEL
implantao. CONHECIDA
APROVADA
DINMICA
34
EXEQUVEL
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Estrutura
organizacional
AUDITORIA EM
Professor
35
TECNOLOGIA DA
INFORMAO Andr Campos
Estrutura organizacional
O escritrio de segurana
ESCRITRIO DE gerencia o sistema de
Security Officer SEGURANA DA segurana e faz a interlocuo
INFORMACO
entre o frum de segurana e o
comit gestor de segurana.
COMIT AUDITORIA
IMPLEMENTAO
COORDENADOR INTERNA
AUDITORIA EM
Professor
36
TECNOLOGIA DA
INFORMAO Andr Campos
Estrutura organizacional
Frum de segurana
R e p r e s e n ta o e x e c u tiv a
D ir e t o r d e R e c u r s o s H u m a n o s
ORGANIZAO
D ir e t o r d e T e c n o lo g ia d a In f o r m a o
F RU M D E
D ir e t o r d e V e n d a s SEG U RA N A D A
IN F O R M A O
D ir e t o r d e P r o d u o
D ir e t o r d e L o g s t ic a
AUDITORIA EM
Professor
37
TECNOLOGIA DA
INFORMAO Andr Campos
Estrutura organizacional
Comit gestor
O comit gestor de
segurana da informao
uma estrutura matricial
formada por representantes
das reas mais relevantes
da organizao.
A coordenao do grupo,
em geral, do Gerente de
Segurana.
AUDITORIA EM
Professor
38
TECNOLOGIA DA
INFORMAO Andr Campos
Classificao da
informao
AUDITORIA EM
Professor
39
TECNOLOGIA DA
INFORMAO Andr Campos
Classificao da informao
As informaes possuem
valor e usos diferenciados, e
portanto, precisam de graus
diferenciados de proteo.
AUDITORIA EM
Professor
40
TECNOLOGIA DA
INFORMAO Andr Campos
Classificao da informao
AUDITORIA EM
Professor
41
TECNOLOGIA DA
INFORMAO Andr Campos
Classificao da informao
AUDITORIA EM
Professor
45
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
As pessoas so o elemento
central de um sistema de
segurana da informao.
Os incidentes de segurana da
informao sempre envolve
pessoas, quer no lado das
vulnerabilidades exploradas,
quer no lado das ameaas que
exploram estas
vulnerabilidades.
Pessoas so suscetveis
ataques de engenharia social.
AUDITORIA EM
Professor
46
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
A engenharia social a
forma de ataque mais
comum para este tipo de
ativo.
Engenharia social o
processo de mudar o
comportamento das
pessoas de modo que suas
aes sejam previsveis,
objetivando obter acesso a
informaes e sistemas no
autorizados.
AUDITORIA EM
Professor
47
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
Um ataque de engenharia
social realizado em trs
fases:
1 Levantamento de
informaes;
2 Seleo do alvo;
3 Execuo do ataque.
AUDITORIA EM
Professor
48
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
Papis e
responsabilidades;
Seleo;
Termos e condies de
contratao.
AUDITORIA EM
Professor
49
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
Responsabilidades da Direo;
Conscientizao e treinamento;
Processo disciplinar.
AUDITORIA EM
Professor
50
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto de pessoas
Encerramento de
atividades;
Devoluo de ativos;
AUDITORIA EM
Professor
51
TECNOLOGIA DA
INFORMAO Andr Campos
Segurana fsica
AUDITORIA EM
Professor
52
TECNOLOGIA DA
INFORMAO Andr Campos
Segurana fsica
As polticas de segurana
fsica devem proteger os
ativos de informao que
sustentam os negcios da
organizao.
Atualmente a informao
est distribuda fisicamente
em equipamentos mveis,
tais como laptops, celulares,
PDAs, memory keys,
estaes de trabalho,
impressoras, telefones,
FAXs, entre outros.
AUDITORIA EM
Professor
53
TECNOLOGIA DA
INFORMAO Andr Campos
Segurana fsica
A segurana
Porta, e 4 fsica requer
equipamento Sala dos computadores
para servidores que a rea
digitao de
senha e
leitura de
Porta, e seja
equipamento
impresso
digital
para
digitao de
protegida, e
Suporte operacional
3 senha
uma forma
simples de
enxergar a
Porta segurana
fsica
Atendimento
Recepo
ao cliente definindo
1 2
permetro de
segurana, ou
Porta e
recepcionista camadas de
acesso.
AUDITORIA EM
Professor
56
TECNOLOGIA DA
INFORMAO Andr Campos
Segurana fsica
AUDITORIA EM
Professor
58
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
As operaes de TI
envolve o controle sobre
o hardware, mdias,
gesto de privilgios,
rede, segurana Internet,
mtodos de transmisso
de informaes, entre
outros.
O objetivo garantir o
CID em todas estas
operaes.
As responsabilidades
operacionais devem ser
atribudas, e
procedimentos precisam
ser escritos, aprovados e
publicados.
AUDITORIA EM
Professor
60
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
Os servios operacionais
de tecnologia da
informao prestados
por terceiros precisam
ser regulados e
devidamente
gerenciados.
AUDITORIA EM
Professor
61
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
A necessidade de
sistemas precisa ser
planejada de acordo com
as necessidades
demonstradas nos
processos de negcio.
AUDITORIA EM
Professor
62
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
As operaes de backup
precisam ser
gerenciadas.
AUDITORIA EM
Professor
63
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
A segurana das
operaes em rede um
importante fator a ser
considerado na poltica
de segurana da
informao.
AUDITORIA EM
Professor
64
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
A troca de informaes
deve ser considerada.
Questes importantes
so: estabelecer
procedimentos para
troca de informaes,
mdias em trnsito,
mensagens eletrnicas,
sistemas de informaes
do negcio, entre outros.
AUDITORIA EM
Professor
66
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto das operaes de TI
AUDITORIA EM
Professor
68
TECNOLOGIA DA
INFORMAO Andr Campos
Controle de acesso lgico
O conceito de controle
de acesso baseia-se em
dois princpios:
1 Separao de
responsabilidades;
2 Privilgios mnimos.
AUDITORIA EM
Professor
70
TECNOLOGIA DA
INFORMAO Andr Campos
Controle de acesso lgico
O conceito de separao
de responsabilidades
implica na separao de
um determinado processo
de modo que cada parte
possa ser realizada por
uma pessoa diferente.
Isto obriga os
colaboradores a interagir
para concluir um
determinado processo,
diminuindo as chances de
fraudes.
AUDITORIA EM
Professor
71
TECNOLOGIA DA
INFORMAO Andr Campos
Controle de acesso lgico
O conceito de privilgio
mnimo implica na concesso
apenas dos privilgios
mnimos necessrios para
que uma pessoa realize suas
atividades.
AUDITORIA EM
Professor
74
TECNOLOGIA DA
INFORMAO Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
Os procedimentos de
desenvolvimento destes sistemas
so uma questo vital para a
segurana, para a manuteno
do CID das informaes.
A poltica de desenvolvimento de
sistemas o mecanismos para
AUDITORIA EM
garantir estes resultados. 75
TECNOLOGIA DA Professor
INFORMAO Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
A aquisio de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
AUDITORIA EM
Professor
76
TECNOLOGIA DA
INFORMAO Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
O desenvolvimento e manuteno
de sistemas tambm contm
diversas vulnerabilidades.
AUDITORIA EM
Professor
77
TECNOLOGIA DA
INFORMAO Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
AUDITORIA EM
Professor
79
TECNOLOGIA DA
INFORMAO Andr Campos
Gesto dos incidentes de segurana da informao
Apesar de todos os
controles
implementados,
eventualmente ocorrero
incidentes de segurana
da informao.
A poltica de segurana
da informao deve se
preocupar com pelo
menos os seguintes
assuntos sobre gesto
de incidentes:
1 Notificao e registro
dos incidentes;
2 Tratamento dos
incidentes e melhoria
contnua.
AUDITORIA EM
Professor
81
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade
de negcio
AUDITORIA EM
Professor
82
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade do negcio (PCN)
1 - Iniciao e
gesto do
projeto.
Nesta fase so
estabelecidos o
gerente e a equipe
do projeto, que
elaboram o plano
deste projeto.
AUDITORIA EM
Professor
84
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade do negcio (PCN)
2 - Anlise de
impacto para o
negcio.
Nesta fase so
identificados os
tempos crticos dos
processos essenciais
da organizao, e
determinados os
tempos mximos de
tolerncia de parada
para estes processos
(downtime).
AUDITORIA EM
Professor
85
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade do negcio (PCN)
3 Estratgias de
recuperao.
AUDITORIA EM
Professor
86
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade do negcio (PCN)
4 Elaborao dos
planos.
AUDITORIA EM
Professor
87
TECNOLOGIA DA
INFORMAO Andr Campos
Plano de continuidade do negcio (PCN)
5 Teste, manuteno e
treinamento.
Nesta fase so
estabelecidos os processos
para teste das estratgias
de recuperao,
manuteno do PCN, e
garantia de que os
envolvidos esto cientes de
suas responsabilidades e
devidamente treinados nas
estratgias de recuperao.
AUDITORIA EM
Professor
88
TECNOLOGIA DA
INFORMAO Andr Campos
Conformidade com os
aspectos legais
AUDITORIA EM
Professor
89
TECNOLOGIA DA
INFORMAO Andr Campos
Conformidade com os aspectos legais
Todo o sistema de
segurana da informao,
com todos os seus
controles, deve estar em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e
com as eventuais
regulamentaes internas
da organizao, bem como
com as orientaes de
normatizao e
regulamentao do
AUDITORIA EM
TECNOLOGIA DA Professor
mercado. 90
INFORMAO Andr Campos
Conformidade com os aspectos legais
A poltica de segurana
precisa garantir que seja
avaliada a legislao
vigente, que existam
mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi
cometido, e que estes
procedimentos possibilitem
a preservao e coleta das
evidncias incriminatrias.
AUDITORIA EM
Professor
91
TECNOLOGIA DA
INFORMAO Andr Campos
Conformidade com os aspectos legais
AUDITORIA EM
Professor
92
TECNOLOGIA DA
INFORMAO Andr Campos
Conformidade com os aspectos legais
Mas como os crimes podem
envolver computadores?
Crime especfico de
computador. DOS, sniffers,
roubo de senhas, etc.
AUDITORIA EM
Professor
94
TECNOLOGIA DA
INFORMAO Andr Campos
Conformidade com os aspectos legais
Conformidade entre as
polticas de segurana
da informao e
tambm a
conformidade tcnica.
E finalmente as
questes referentes
auditoria.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAO Andr Campos