Segurana e Auditoria em Sistemas

1
Prof. Fabrcio Rocha Alexandre
 Agenda

Assunto 4 Auditoria de Sistemas

Tpico 1 Auditoria
Tpico 2 Auditoria de Sistemas
Tpico 3 Normas e Ferramentas

2
 Objetivos

Entender o conceito de auditoria;

Conhecer o conceito de auditoria de sistemas;

Identificar as normas e ferramentas disponveis.

3
 Tpico 1 Auditoria

Evoluo tecnolgica.

Informaes como diferencial para as empresas.

Necessidades:

Medidas de controle;

Medidas de segurana;

Reviso sistemtica atravs de auditorias.

4
 Tpico 1 Auditoria

Verificar a conformidade das operaes, processos,

sistemas e responsabilidades com os objetivos e polticas
organizacionais, oramentos, normas e padres.

Antigamente era vinculado ao campo contbil.

Examinar e avaliar a ocorrncia de atos e fatos empresariais.

Assegurar conformidades.

Assessoria alta administrao. 5

 Tpico 2 Auditoria de Sistemas

Objetivos

Conjunto de procedimentos e tcnicas;

Avaliar e controlar um sistema informtico;

Verificar se as atividades so corretas e em acordo aos

regulamentos da organizao;

Uso adequado dos recursos de computao;

Gerenciamento de dados eficiente;

Fornecimento de apoio adequado aos objetivos e metas. 6

 Tpico 2 Auditoria de Sistemas

Benefcios

Transparncia na governana de TI;

Controle de gastos;

Melhores controles internos;

Anlise mais apurada dos riscos em TI.

7
 Tpico 2 Auditoria de Sistemas

Segurana da Informao

Parte integrante do processo de segurana na organizao.

Permite avaliar a implementao da poltica de segurana.

Identificar lacunas e omisses.

Sugerir alteraes.

8
 Tpico 2 Auditoria de Sistemas

O auditor
Conhecimentos tcnicos;
Honestidade;
Objetividade;
Aptido crtica;

Imagem: Shutterstock.

Capacidade de anlise e sntese;

Flexibilidade;
Comunicao com clareza;
Tendncia atualizao dos conhecimentos;
Possibilidade de compreender rapidamente;
Iniciativa;
Criatividade.
9
 Tpico 2 Auditoria de Sistemas

As 4 etapas da auditoria

Planejamento e
preparao

Execuo da
Plano de ao
auditoria

Relatrio de 10
auditoria
 Tpico 2 Auditoria de Sistemas

Relatrio de Auditoria

Riscos encontrados;

Avaliao dos riscos;

Controles em conformidade;

Controles em no conformidade;

Recomendaes de melhoria.
11
 Tpico 2 Auditoria de Sistemas

Relatrio de Auditoria

Mapa direo a ser seguida pela TI.

Guia para a alta administrao:

Planejamento estratgico;

Priorizao de investimentos.

12
 Tpico 2 Auditoria de Sistemas

Estratgias da Auditoria

Questionrios;

Entrevistas;

Checklist.

Imagem: Shutterstock.

13
 Tpico 2 Auditoria de Sistemas

Tipos de Auditorias

Auditoria Interna;

Auditoria Externa.

Imagem: Shutterstock.

14
 Tpico 2 Auditoria de Sistemas

Principais reas da Auditoria de Sistemas

Auditoria em segurana fsica

Sistemas de energia;
Condies ambientais;
Controles de acesso fsico;
Existncia de equipamentos e de planos de emergncia;
Nvel de monitorizao fsica das localizaes;
Cablagem e montagem de elementos fsicos.
15
 Tpico 2 Auditoria de Sistemas

Principais reas da Auditoria de Sistemas

Auditoria em segurana lgica

Controle de acesso de usurios;
Acessos a servios internos atravs da internet;
Pontos de acesso sem fio;
VPN;
Vulnerabilidades;
Softwares de proteo (firewall, antivrus etc.).
16
 Tpico 2 Auditoria de Sistemas

Principais reas da Auditoria de Sistemas

Auditoria em segurana dos recursos humanos

Erros humanos;
Roubos;
Fraudes;
Uso indevido;
Engenharia social;
Rastreabilidade segregao de funo.
17
 Tpico 3 Normas e Ferramentas

Para que a organizao no fique exposta aos riscos

Criao de controles;

Processo de avaliao, identificao e resposta aos riscos;

Controles crescentes em segurana;

Normas e ferramentas (frameworks) para auxiliar.

18
 Tpico 3 Normas e Ferramentas

COBIT

Control Objectives for Information and related Technology;

Guia de boas prticas para a gesto de TI;

Criado inicialmente para auditoria de TI;

Virou um modelo de controle de Governana de TI.

19
 Tpico 3 Normas e Ferramentas

COSO

Committee of Sponsoring Organizations of the Treadway Commission;

Iniciativa conjunta de cinco organizaes do setor privado;

Gerenciamento de riscos corporativos;

Prevenir e evitar fraudes nos processos internos da empresa;

Auditoria centrada em riscos maior foco do auditor;

Antecipar e prevenir riscos. 20

 Tpico 3 Normas e Ferramentas

Cubo tridimensional do COSO

21
 Tpico 3 Normas e Ferramentas

ISO 27002

Antiga ISO 17799 (at 2007).

Diretrizes e princpios gerais para iniciar, implementar,

manter e melhorar a gesto de segurana da informao em
uma organizao.

Informaes que impactam os objetivos do negcio estaro

protegidas.
22
 Tpico 3 Normas e Ferramentas

ISO 27002 11 Captulos

Poltica de segurana da informao;
Organizando a segurana da informao;
Gesto de ativos;
Segurana em recursos humanos;
Segurana fsica e ambiental;
Gesto de operaes e comunicaes;
Controle de acesso;
Gesto de incidentes de segurana da informao;
Gesto de continuidade do negcio;
23
Conformidade.
Segurana e Auditoria em Sistemas

24
Prof. Fabrcio Rocha Alexandre
 Agenda

Assunto 5 Desenvolvimento de Software Seguro

Tpico 1 Software Seguro.

Tpico 2 Ciclo de Vida do Desenvolvimento de Software.

Tpico 3 Modelos de Maturidade.

25
 Objetivos

Entender o que um software seguro;

Conhecer os processos para desenvolvimento de

um software seguro;

Compreender os modelos de maturidade;

26
 Tpico 1 Desenvolvimento de Software
Seguro

Incorporar a segurana desde o incio;

Conhecer as possveis vulnerabilidades;

Identificao de vulnerabilidades cedo = menor custo;

Nvel de segurana muda para cada negcio;

Visa manter confidencialidade, integridade e disponibilidade;

Promover operaes de negcio bem sucedidas.

27
 Tpico 1 Desenvolvimento de Software
Seguro

mais barato construir um software seguro do

que corrigir as vulnerabilidades de segurana
aps a entrega do software!

28
Imagem: Shutterstock.
 Tpico 1 Desenvolvimento de Software
Seguro

Boa gesto de desenvolvimento de software.

Padres de cdigos, normas e manuais de segurana.

Evitar erros no cdigo fonte.

Estruturar bem o cdigo.

Realizar testes.

Oferecer um software seguro obrigao do desenvolvedor!

29
 Tpico 1 Desenvolvimento de Software
Seguro

Boas prticas de segurana

Gerenciamento de cdigo fonte;

Realizao de testes;
Imagem: Shutterstock.

Gerenciamento de correo de bugs;

Utilizao de processo de integrao contnua;

Documentao do software e da arquitetura;

Utilizao de padres de cdigo seguro e checklists. 30

 Tpico 2 Ciclo de Vida do
Desenvolvimento de Software

O ciclo de vida faz parte dos controles do projeto.

Organiza as atividades de desenvolvimento de software.

Framework para monitorar e controlar o projeto de

construo e operao.

Mitigar o problema das vulnerabilidades dentro do

software.

31
 Tpico 2 Ciclo de Vida do
Desenvolvimento de Software

Atividades de segurana no ciclo de vida do software

32
 Tpico 2 Ciclo de Vida do
Desenvolvimento de Software

Testes a serem realizados durante o ciclo de vida:

Casos de abuso;
Requisitos de segurana;
Anlise de risco arquitetural;
Teste de segurana baseado em riscos;
Reviso de cdigo fonte;
Testes de penetrao;
Operao segura.

33
 Tpico 2 Ciclo de Vida do
Desenvolvimento de Software

SDL (Security Development Lifecycle)

Ciclo de vida do desenvolvimento da segurana.
Proposto pela Microsoft.

Desenvolvimento de softwares resistentes a ataques.

Adio de atividades de segurana em cada fase do

desenvolvimento:
Requisitos;
Design;
Implementao;
Verificao; 34
Suporte e Manuteno.
 Tpico 3 Modelos de Maturidade

Representao simplificada.

Focam no melhoramento dos processos.

Concedem orientao.

35
 Tpico 3 Modelos de Maturidade

OpenSAMM (Open Sofware Assurance Maturity Model)

Framework aberto.

Formular e implementar estratgias de segurana de

software.

Flexvel e escalvel.

Pode ser utilizada por empresas de qualquer tamanho.

Aplicvel para toda a organizao, uma linha de cdigo ou

um projeto especfico. 36
 Tpico 3 Modelos de Maturidade

BSIMM (Building Security In Maturity Model)

Mensurar as iniciativas de segurana de software.

No um guia de como fazer.

Reexo do estado da arte do software seguro.

Quantificar as prticas de segurana dentro da

organizao.

37
 Tpico 3 Modelos de Maturidade

OWASP (Open Web Application Security Project)

Organizao mundial sem fins lucrativos.

Foco em melhorar a segurana de softwares web.

Elabora e disponibiliza documentaes:

Guias de desenvolvimento;
Reviso de cdigos;
Testes.
38
 Tpico 3 Modelos de Maturidade

ISOs

NBR ISO/IEC 15408 - Framework para especificao de requisitos

de segurana para sistemas computacionais.

NBR ISO/IEC 17799 - Preservar a confidencialidade, integridade e

disponibilidade das informaes por meio da implementao de
controles, polticas, prticas ou processos.
39
Segurana e Auditoria em Sistemas

40
Prof. Fabrcio Rocha Alexandre