Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria em Tecnologia Da Informação (Disponível em - WWW - Portalgsti.com - BR)
Auditoria em Tecnologia Da Informação (Disponível em - WWW - Portalgsti.com - BR)
Tecnologia da
Informação
Por André Campos
• Especialista em Segurança da Informação (UNESA)
• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)
• MCSO – Módulo Security Office
• Auditor Líder BS 7799 – Det Norske Veritas
• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com segurança da informação.
Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Crédito das imagens
Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando
Riscos”.
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de
lucro.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Bibliografia
Sistemas de segurança da informação – Controlando Riscos;
Campos, André; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Conceitos básicos de SI
• Ativo de informação
• Ameaça
• Vulnerabilidade
• Incidente
• Probabilidade
• Impacto
• Risco
• Incidente
AUDITORIA EM
Professor
5
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Ativo de informação
AUDITORIA EM
Professor
6
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
A segurança da
E
informação é garantida
AD
IN
ID
TEG
pela preservação de
AL
RID
CI
três aspectos
EN
AD
ID
essenciais:
E
NF
CO
confidencialidade,
integridade, e
disponibilidade (CID).
DISPONIBILIDADE
AUDITORIA EM
Professor
7
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Confidencialidade
O princípio da
confidencialidade é
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso à informação.
AUDITORIA EM
Professor
8
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Integridade
O princípio da
integridade é
respeitado quando a
informação acessada
está completa, sem
alterações e, portanto,
confiável.
AUDITORIA EM
Professor
9
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Disponibilidade
O princípio da
disponibilidade é
respeitado quando a
informação está
acessível, por pessoas
autorizadas, sempre
que necessário.
AUDITORIA EM
Professor
10
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Vulnerabilidade
São as fraquezas
presentes nos ativos de
informação, que podem
causar, intencionalmente
ou não, a quebra de um
ou mais dos três
princípios de segurança
da informação:
confidencialidade,
integridade, e
disponibilidade.
AUDITORIA EM
Professor
11
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Ameaça
A ameaça é um agente
externo ao ativo de
informação, que
aproveitando-se das
vulnerabilidades deste
ativo, poderá quebrar a
confidencialidade,
integridade ou
disponibilidade da
informação suportada ou
utilizada por este ativo.
AUDITORIA EM
Professor
12
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Probabilidade
A probabilidade é a
chance de uma falha de
segurança ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negócio e o
grau das ameaças que
possam explorar estas
vulnerabilidades.
AUDITORIA EM
Professor
13
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Impacto
O impacto de um
incidente são as
potenciais
conseqüências que este
incidente possa causar
ao negócio da
organização.
AUDITORIA EM
Professor
14
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
AUDITORIA EM
Professor
15
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conceitos básicos de SI
de um ativo de
Confidencialidade
informação, violando
Incidente de segurança
uma de suas Informação Integridade
características de Disponibilidade
Ativos de informação
segurança (CID), temos Ameaças Vulnerabilidades
o incidente de
segurança da
Grau
informação. Este Grau ameaça
vulnerabilidade
Conhecer os conceitos
sobre segurança da
informação não significa
necessariamente saber
garantir esta segurança.
Um gerente de segurança da
informação de verdade trabalha com
fatos, com resultados de análise e
exames da organização em questão.
A implantação de um
sistema de segurança da Planejar
informação não é uma (PLAN)
tarefa trivial.
o caminho adequado
superar este desafio.
Este modelo é baseado
no conceito de melhoria Monitorar
(CHECK)
contínua (PDCA).
AUDITORIA EM
Professor
19
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
D e fin iç ã o A n á lis e P la n e ja m e n to d e
d o e sc o p o d o ris c o tra ta m e n to d o ris c o
AUDITORIA EM
Professor
20
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
Escopo
implantar o sistema em
toda a organização. Por Vendas Produção
organização.
AUDITORIA EM
Professor
21
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
Análise de risco
Depois do escopo definido, é a
hora de pensar que controles
Tecnologia da
implementar. informação
Bloqueio Invasor
Firewall portas TCP interno
Para otimizar esta decisão é
io
éd
M
Controle
imprescindível realizar a análise Manter
Servidor de
de acesso
Invasor
externo
serviços de Médio físico
de risco. Ela apontará para as rede
arquivos
Sistema
prioridades dentro do escopo. antivírus
Vírus
Al
Servidor de
to
correio Variação
Nobreak de
A análise deve ser feita energia
considerando as seguintes
dimensões: processos,
tecnológica, ambiental, e
pessoas.
AUDITORIA EM
Professor
22
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
Análise de risco
AUDITORIA EM
Professor
23
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
Análise de risco
Os processos,
tecnologias, ambientes e
pessoas são, de fato,
ativos de informação; ou
categorizações destes
ativos.
• Evitar
• Controlar
• Transferir
• Aceitar
Declaração de aplicabilidade
AUDITORIA EM
Professor
26
TECNOLOGIA DA
INFORMAÇÃO André Campos
Como implementar um sistema de segurança
Implementando o sistema
Planejar a Encerrar a
Implementar
implementação implementação
Controlar a
implementação
AUDITORIA EM
Professor
27
TECNOLOGIA DA
INFORMAÇÃO André Campos
Monitorando o sistema de segurança
O monitoramento ou Realizar
registros
controle do sistema
implica em avaliar
sistematicamente se os
Monitorar
controles implementados controles
estão atendendo as Reavaliar
expectativas originais. sistema
Realizar
Para tanto, os processos auditorias
ao lado precisam ser
executados com
regularidade. Reavaliar
riscos
AUDITORIA EM
Professor
28
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controles de segurança da informação
A implementação de um
sistema de segurança da
informação se dá pela
instalação de controles
específicos nas mais
diversas áreas da
organização, sempre
pensando nas dimensões
de processos,
tecnologias, ambientes e
pessoas.
AUDITORIA EM
Professor
29
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controles de segurança da informação
•Política (PSI)
•Estrutura organizacional
•Controle de acesso
•Pessoas
•Segurança física
•Segurança lógica
•Operação de sistemas
•Desenvolvimento de
sistemas
•Continuidade do negócio
•Incidentes de segurança
AUDITORIA EM
•Aspectos legais 30
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Política de segurança
da informação
AUDITORIA EM
Professor
31
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controles de segurança da informação
Política
A política de
DIRETRIZES
segurança da D1
informação (PSI)
deve estar alinhada
com os objetivos de
NORMAS
negócio da N1 N2 N3
organização. PROCEDIMENTOS
Ela é estruturada em P1 P2 P3 P4 P5 P6 P7
diretrizes, normas e
procedimentos.
AUDITORIA EM
Professor
32
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controles de segurança da informação
Objetivos e metas
contratuais
Contratos
Construir a
política
O governo federal está
obrigado por decreto a possuir
Aprovar a
e respeitar uma política de política
segurança, conforme Decreto
3.505 de 13 de junho de 2000.
Divulgar a
política
AUDITORIA EM
Professor
33
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controles de segurança da informação
Ser
Política simples
FATORES INTERNOS
A política possui Ser Ser
objetiva consistente
características, ou
fatores, internos e Definir Definir
externos, que penalidades metas
precisam ser
respeitados por Definir
responsabilidades
ocasião de sua
elaboração e FATORES EXTERNOS
ACESSÍVEL
implantação. CONHECIDA
APROVADA
DINÂMICA
34
EXEQUÍVEL
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Estrutura
organizacional
AUDITORIA EM
Professor
35
TECNOLOGIA DA
INFORMAÇÃO André Campos
Estrutura organizacional
O escritório de segurança
ESCRITÓRIO DE gerencia o sistema de
Security Officer SEGURANÇA DA segurança e faz a interlocução
INFORMACÃO
entre o fórum de segurança e o
comitê gestor de segurança.
COMITÊ AUDITORIA
IMPLEMENTAÇÃO
COORDENADOR INTERNA
AUDITORIA EM
Professor
36
TECNOLOGIA DA
INFORMAÇÃO André Campos
Estrutura organizacional
Fórum de segurança
R e p r e s e n ta ç ã o e x e c u tiv a
D ir e t o r d e R e c u r s o s H u m a n o s
ORGANIZAÇÀO
D ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã o
FÓ RU M D E
D ir e t o r d e V e n d a s SEG U RA N Ç A D A
IN F O R M A Ç Ã O
D ir e t o r d e P r o d u ç ã o
D ir e t o r d e L o g ís t ic a
AUDITORIA EM
Professor
37
TECNOLOGIA DA
INFORMAÇÃO André Campos
Estrutura organizacional
Comitê gestor
O comitê gestor de
segurança da informação é
uma estrutura matricial
formada por representantes
das áreas mais relevantes
da organização.
A coordenação do grupo,
em geral, é do Gerente de
Segurança.
AUDITORIA EM
Professor
38
TECNOLOGIA DA
INFORMAÇÃO André Campos
Classificação da
informação
AUDITORIA EM
Professor
39
TECNOLOGIA DA
INFORMAÇÃO André Campos
Classificação da informação
As informações possuem
valor e usos diferenciados, e
portanto, precisam de graus
diferenciados de proteção.
AUDITORIA EM
Professor
40
TECNOLOGIA DA
INFORMAÇÃO André Campos
Classificação da informação
AUDITORIA EM
Professor
41
TECNOLOGIA DA
INFORMAÇÃO André Campos
Classificação da informação
AUDITORIA EM
Professor
45
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão de pessoas
Os incidentes de segurança da
informação sempre envolve
pessoas, quer no lado das
vulnerabilidades exploradas,
quer no lado das ameaças que
exploram estas
vulnerabilidades.
A engenharia social é a
forma de ataque mais
comum para este tipo de
ativo.
Engenharia social é o
processo de mudar o
comportamento das
pessoas de modo que suas
ações sejam previsíveis,
objetivando obter acesso a
informações e sistemas não
autorizados.
AUDITORIA EM
Professor
47
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão de pessoas
Um ataque de engenharia
social é realizado em três
fases:
1 – Levantamento de
informações;
2 – Seleção do alvo;
3 – Execução do ataque.
AUDITORIA EM
Professor
48
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão de pessoas
• Papéis e
responsabilidades;
• Seleção;
• Termos e condições de
contratação.
AUDITORIA EM
Professor
49
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão de pessoas
• Responsabilidades da Direção;
• Conscientização e treinamento;
• Processo disciplinar.
AUDITORIA EM
Professor
50
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão de pessoas
• Encerramento de
atividades;
• Devolução de ativos;
AUDITORIA EM
Professor
51
TECNOLOGIA DA
INFORMAÇÃO André Campos
Segurança física
AUDITORIA EM
Professor
52
TECNOLOGIA DA
INFORMAÇÃO André Campos
Segurança física
As políticas de segurança
física devem proteger os
ativos de informação que
sustentam os negócios da
organização.
Atualmente a informação
está distribuída fisicamente
em equipamentos móveis,
tais como laptops, celulares,
PDAs, memory keys,
estações de trabalho,
impressoras, telefones,
FAXs, entre outros.
AUDITORIA EM
Professor
53
TECNOLOGIA DA
INFORMAÇÃO André Campos
Segurança física
A segurança
Porta, e 4 física requer
equipamento Sala dos computadores
para servidores que a área
digitação de
senha e
leitura de
Porta, e seja
equipamento
impressão
digital
para
digitação de
protegida, e
Suporte operacional
3 senha
uma forma
simples de
enxergar a
Porta segurança
física é
Atendimento
Recepção
ao cliente definindo
1 2
perímetro de
segurança, ou
Porta e
recepcionista camadas de
acesso.
AUDITORIA EM
Professor
56
TECNOLOGIA DA
INFORMAÇÃO André Campos
Segurança física
AUDITORIA EM
Professor
58
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
As operações de TI
envolve o controle sobre
o hardware, mídias,
gestão de privilégios,
rede, segurança Internet,
métodos de transmissão
de informações, entre
outros.
O objetivo é garantir o
CID em todas estas
operações.
As responsabilidades
operacionais devem ser
atribuídas, e
procedimentos precisam
ser escritos, aprovados e
publicados.
AUDITORIA EM
Professor
60
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
Os serviços operacionais
de tecnologia da
informação prestados
por terceiros precisam
ser regulados e
devidamente
gerenciados.
AUDITORIA EM
Professor
61
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
A necessidade de
sistemas precisa ser
planejada de acordo com
as necessidades
demonstradas nos
processos de negócio.
AUDITORIA EM
Professor
62
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
As operações de backup
precisam ser
gerenciadas.
AUDITORIA EM
Professor
63
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
A segurança das
operações em rede é um
importante fator a ser
considerado na política
de segurança da
informação.
AUDITORIA EM
Professor
64
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
A troca de informações
deve ser considerada.
Questões importantes
são: estabelecer
procedimentos para
troca de informações,
mídias em trânsito,
mensagens eletrônicas,
sistemas de informações
do negócio, entre outros.
AUDITORIA EM
Professor
66
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão das operações de TI
AUDITORIA EM
Professor
68
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controle de acesso lógico
O conceito de controle
de acesso baseia-se em
dois princípios:
1 – Separação de
responsabilidades;
2 – Privilégios mínimos.
AUDITORIA EM
Professor
70
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controle de acesso lógico
O conceito de separação
de responsabilidades
implica na separação de
um determinado processo
de modo que cada parte
possa ser realizada por
uma pessoa diferente.
Isto obriga os
colaboradores a interagir
para concluir um
determinado processo,
diminuindo as chances de
fraudes.
AUDITORIA EM
Professor
71
TECNOLOGIA DA
INFORMAÇÃO André Campos
Controle de acesso lógico
O conceito de privilégio
mínimo implica na concessão
apenas dos privilégios
mínimos necessários para
que uma pessoa realize suas
atividades.
AUDITORIA EM
Professor
74
TECNOLOGIA DA
INFORMAÇÃO André Campos
Aquisição, desenvolvimento e manutenção de sistemas
Os procedimentos de
desenvolvimento destes sistemas
são uma questão vital para a
segurança, para a manutenção
do CID das informações.
A política de desenvolvimento de
sistemas é o mecanismos para
AUDITORIA EM
garantir estes resultados. 75
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos
Aquisição, desenvolvimento e manutenção de sistemas
A aquisição de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
AUDITORIA EM
Professor
76
TECNOLOGIA DA
INFORMAÇÃO André Campos
Aquisição, desenvolvimento e manutenção de sistemas
O desenvolvimento e manutenção
de sistemas também contém
diversas vulnerabilidades.
AUDITORIA EM
Professor
77
TECNOLOGIA DA
INFORMAÇÃO André Campos
Aquisição, desenvolvimento e manutenção de sistemas
AUDITORIA EM
Professor
79
TECNOLOGIA DA
INFORMAÇÃO André Campos
Gestão dos incidentes de segurança da informação
Apesar de todos os
controles
implementados,
eventualmente ocorrerão
incidentes de segurança
da informação.
A política de segurança
da informação deve se
preocupar com pelo
menos os seguintes
assuntos sobre gestão
de incidentes:
1 – Notificação e registro
dos incidentes;
2 – Tratamento dos
incidentes e melhoria
contínua.
AUDITORIA EM
Professor
81
TECNOLOGIA DA
INFORMAÇÃO André Campos
Plano de continuidade
de negócio
AUDITORIA EM
Professor
82
TECNOLOGIA DA
INFORMAÇÃO André Campos
Plano de continuidade do negócio (PCN)
1 - Iniciação e
gestão do
projeto.
AUDITORIA EM
Professor
84
TECNOLOGIA DA
INFORMAÇÃO André Campos
Plano de continuidade do negócio (PCN)
2 - Análise de
impacto para o
negócio.
3 – Estratégias de
recuperação.
AUDITORIA EM
Professor
86
TECNOLOGIA DA
INFORMAÇÃO André Campos
Plano de continuidade do negócio (PCN)
4 – Elaboração dos
planos.
AUDITORIA EM
Professor
87
TECNOLOGIA DA
INFORMAÇÃO André Campos
Plano de continuidade do negócio (PCN)
5 – Teste, manutenção e
treinamento.
AUDITORIA EM
Professor
89
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conformidade com os aspectos legais
Todo o sistema de
segurança da informação,
com todos os seus
controles, deve estar em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e
com as eventuais
regulamentações internas
da organização, bem como
com as orientações de
normatização e
regulamentação do
AUDITORIA EM
TECNOLOGIA DA Professor
mercado. 90
INFORMAÇÃO André Campos
Conformidade com os aspectos legais
A política de segurança
precisa garantir que seja
avaliada a legislação
vigente, que existam
mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi
cometido, e que estes
procedimentos possibilitem
a preservação e coleta das
evidências incriminatórias.
AUDITORIA EM
Professor
91
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conformidade com os aspectos legais
AUDITORIA EM
Professor
92
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conformidade com os aspectos legais
Mas como os crimes podem
envolver computadores?
Crime específico de
computador. DOS, sniffers,
roubo de senhas, etc.
AUDITORIA EM
Professor
94
TECNOLOGIA DA
INFORMAÇÃO André Campos
Conformidade com os aspectos legais
Conformidade entre as
políticas de segurança
da informação e
também a
conformidade técnica.
E finalmente as
questões referentes à
auditoria.
AUDITORIA EM
TECNOLOGIA DA Professor
INFORMAÇÃO André Campos