REVISÃO

A importância da segurança da informação.

Importância da segurança da informação: Proteção de ativos contra acesso não

autorizado, vazamentos de dados e prejuízos financeiros e de reputação.
Definição da Auditoria de Sistemas de Informação: Avaliação sistemática dos
sistemas de informação para garantir confiabilidade, integridade, disponibilidade e
conformidade.
Relação entre Auditoria e Segurança: Auditoria identifica vulnerabilidades e avalia o
cumprimento das políticas de segurança, enquanto a segurança implementa medidas
para mitigar riscos identificados pela auditoria.
Objetivos da Auditoria de Sistemas de Informação: Auditoria de conformidade,
auditoria de segurança e auditoria de desempenho.
Processo de Auditoria de Sistemas de Informação: Inclui planejamento, coleta de
evidências, avaliação de riscos e relatório de auditoria.
Medidas de Segurança de Sistemas de Informação: Criptografia de dados, controles
de acesso, políticas de senha, firewall e treinamento em conscientização em segurança.
Normas e Regulamentações: Diretrizes a serem seguidas para garantir a segurança
da informação.
Benefícios da Auditoria e Segurança: Proteção de dados sensíveis, manutenção da
confiança do cliente, conformidade com regulamentações e redução de riscos.
Essencial para manter vantagem competitiva, fluxo de caixa, rentabilidade, observância
da lei e imagem comercial.
Organizações enfrentam ameaças de segurança de várias fontes, incluindo fraudes
assistidas por computador, espionagem, sabotagem, vandalismo, incêndio e inundação.
Causas de danos, como códigos maliciosos e atividades de hacking, tornaram-se mais
comuns e sofisticadas.
Importante tanto para negócios públicos quanto para o setor privado, e para proteger
infraestruturas críticas.
A interconexão de redes públicas e privadas aumenta a dificuldade de controlar o
acesso.

Auditoria de sistemas de informação.

Um auditor de sistemas de informação é um profissional responsável por avaliar e

examinar os sistemas de informação de uma organização para garantir sua
conformidade, segurança, eficiência e eficácia. Suas principais responsabilidades e
atividades incluem:
 • Auditoria de Conformidade: Verificar se os sistemas e processos estão em
conformidade com as políticas internas da empresa e regulamentações
externas, como leis de proteção de dados (ex: GDPR, LGPD), normas da
indústria (ex: ISO 27001) e requisitos de conformidade financeira.

• Auditoria de Segurança: Avaliar a segurança dos sistemas de informação para

identificar vulnerabilidades, ameaças e riscos de segurança. Isso inclui revisar
configurações de segurança, políticas de controle de acesso, detecção de
intrusões, entre outros.

• Auditoria de Desempenho: Analisar a eficiência e eficácia dos processos de TI

para identificar oportunidades de melhoria. Isso pode envolver a revisão de
procedimentos operacionais, avaliação de capacidade de sistemas e otimização
de recursos.

• Coleta de Evidências: Reunir e analisar dados e evidências relevantes para a

auditoria, incluindo registros de eventos, logs de segurança, políticas e
procedimentos documentados.

• Avaliação de Riscos: Identificar riscos associados aos sistemas de informação

e avaliar seu impacto potencial na organização. Isso ajuda a priorizar áreas
críticas para auditoria.

• Relatório de Auditoria: Documentar as descobertas da auditoria em um

relatório que descreve as constatações, recomendações e ações corretivas
sugeridas. Esse relatório é frequentemente compartilhado com a alta
administração.

• Comunicação com as Partes Interessadas: Colaborar com as partes

interessadas, como a equipe de TI, para entender os processos e sistemas, bem
como para explicar os resultados da auditoria e fornecer orientações sobre
melhorias.

• Manutenção de Conhecimento: Manter-se atualizado sobre as tendências de

segurança da informação, regulamentações e tecnologias relevantes para
aprofundar a expertise na área.

• Treinamento e Conscientização: Participar ou fornecer treinamentos para a

equipe de TI e outros funcionários sobre práticas de segurança e conformidade.

• Acompanhamento e Verificação: Realizar acompanhamento para garantir que

as recomendações da auditoria sejam implementadas e que os problemas
identificados sejam resolvidos de acordo com os prazos estabelecidos.

• Ética Profissional: Agir com integridade, confidencialidade e ética profissional

durante todo o processo de auditoria.

DEFINIÇÕES:
Capitulo 3. Definições e Conceitos de Segurança (Tópico 3.1. Definições) Segundo
a ISSO 27000:2014

Conceitos de Segurança

• Avaliação de riscos é fundamental para determinar a ação de gestão e

prioridades para gerenciar os riscos de segurança da informação.

• A avaliação de risco deve ser repetida periodicamente para refletir mudanças.

• A segurança da informação é alcançada através de controles, incluindo políticas,

processos, procedimentos, estruturas organizacionais e funções de software e
hardware.

• Controles devem ser estabelecidos, implementados, monitorados, revisados e

melhorados para atender aos objetivos específicos de segurança e de negócio
da organização.

Abordagem de Processo para a Gestão da Segurança da Informação

• Compreensão dos requisitos de segurança da informação da organização e

estabelecimento de políticas e objetivos.

• Implementação e operação de controles para gerenciar riscos de segurança da

informação no contexto dos riscos de negócio.

• Monitoramento e revisão do desempenho e eficácia do Sistema de

Gerenciamento de Segurança da Informação (ISMS).

• Melhoria contínua com base em medições objetivas.

Princípios fundamentais da segurança

Refere-se aos princípios de confidencialidade, integridade e disponibilidade.

São essenciais em todos os programas de segurança, independentemente do tamanho
ou objetivo do programa.

Triângulo CIA:

É uma abreviação para os princípios de confidencialidade (exclusividade), integridade e

disponibilidade.
A segurança necessária varia de acordo com os objetivos e requisitos de cada empresa.
Todos os controles de segurança são implementados para fornecer um ou mais desses
princípios.
Riscos, ameaças e vulnerabilidades são avaliados com base na capacidade potencial
de comprometer um ou todos os princípios do triângulo CIA.

Ilustração do Triângulo CIA:

A Figura ilustra o triângulo CIA, representando visualmente os princípios de
confidencialidade, integridade e disponibilidade na segurança da informação.

Confidencialidade:

Refere-se aos limites sobre quem pode acessar que tipo de informação.
Importante para proteger informações estratégicas de empresas e registros financeiros
pessoais.
Deve ser mantida ao longo do processamento, transmissão e destino dos dados.

Medidas de Confidencialidade:

Criptografia de dados para armazenamento e transmissão.

Preenchimento de tráfego na rede.
Estrito controle de acesso.
Classificação de dados.
Treinamento de pessoal.

Exemplo de Medidas de Confidencialidade:

Acesso à informação baseado na "necessidade de conhecer."

Evitar que informações sejam acessadas por pessoas não autorizadas.
Gerenciamento de acesso lógico para evitar acesso não autorizado a sistemas
automatizados.
Separação de funções entre desenvolvimento, processamento e usuário.
Separação entre ambientes de desenvolvimento, teste e produção.
Medidas para garantir privacidade do pessoal e terceiros.
Autenticação de usuários autorizados.
Criptografia de camadas de rede.
Preenchimento de tráfego (traffic padding) para evitar análise de tráfego.

Integridade:

Refere-se a ser correto e consistente com o estado ou a informação pretendida.

Qualquer modificação não autorizada de dados, deliberada ou acidental, viola a
integridade dos dados.

Medidas de Integridade:

Mudanças em sistemas e dados são autorizadas, com validação antes da publicação.

Criação de mecanismos que forçam o uso de termos corretos.
Registros de ações dos usuários para rastrear quem modificou a informação.
Segregação de funções e autoridades para garantir que mudanças críticas exijam a
participação de mais de uma pessoa.
Uso de técnicas de criptografia para proteger informações contra acesso ou alteração
não autorizada.

Exemplos de Medidas de Integridade:

Validação de preços antes da publicação em um site.

Uso de termos corretos na base de dados.
Registro de ações dos usuários para rastrear modificações.
Segregação de funções para mudanças significativas.
Políticas e gestão para criptografia como parte da proteção da integridade dos dados.
A integridade dos dados é fundamental para garantir que a informação mantenha sua
precisão e confiabilidade, prevenindo modificações não autorizadas e erros acidentais
que podem afetar negativamente o sistema e a informação contida nele.

Disponibilidade:

Características incluem oportunidade, continuidade e robustez.

Oportunidade significa que a informação está disponível quando necessário.
Continuidade refere-se à capacidade de continuar o trabalho em caso de falha.
Robustez indica que há capacidade suficiente para a equipe trabalhar no sistema.
Falhas, ataques de negação de serviço e atrasos significativos podem violar a
disponibilidade.

Medidas de Disponibilidade:
Uso de dispositivos de backup para substituir sistemas críticos em caso de falha.
Qualificação dos funcionários para fazer ajustes necessários para restaurar o sistema.
Proteção contra questões ambientais, como calor, frio, umidade e eletricidade estática.
Monitoramento constante do sistema em relação a elementos ambientais.

Exemplos de medidas de disponibilidade:

Gerenciamento e armazenamento de dados com risco mínimo de perda.

Armazenamento de dados em disco de rede, em vez do disco rígido do PC.
Estabelecimento de procedimentos de backup, considerando requisitos legais.
Procedimentos de emergência para recuperação após interrupção de grande escala.
A disponibilidade é fundamental para garantir que a equipe tenha acesso oportuno e
ininterrupto à informação necessária para suas atividades. A proteção contra falhas,
ataques e a consideração de fatores ambientais são essenciais para manter a
disponibilidade do sistema.

Hexagrama Parkeriano:

O hexagrama Parkeriano, ou Parkerian hexad, é um conjunto de seis elementos de

segurança da informação proposto por Donn B. Parker.
Ele adiciona três atributos aos três atributos clássicos do triângulo CIA
(confidencialidade, integridade, disponibilidade).
Os atributos do hexagrama Parkeriano são: confidencialidade, posse ou controle,
integridade, autenticidade, disponibilidade e utilidade.

ESTUDAR

(Tópico 3.8. até 3.18.)

Tópicos falam sobre:

• Risco
• Ameaça
• Vulnerabilidade
• Exposição
• Contramedida ou salvaguarda
• Avaliando riscos de segurança
• ISSO 27001:2013
• Contramedidas para mitigar o risco
• Tipos de ameaças
• Tipos de dano
• Tipos de estratégias de riscos