Escolar Documentos
Profissional Documentos
Cultura Documentos
Treinamento
em
Gestão da Segurança da Informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 1
Idioma
Inglês
Contato
• fernandoferreira@auditsafe.com.br
• (11) 8181-6100
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 2
Instrutor
Carlos Gustavo Anchieschi Gomes Profissional com mais de 10 anos de experiência em auditoria de processos
de negócios e sistemas, consultoria em projetos de segurança de
informações e gerenciamento de riscos, atuando em projetos para clientes
de diversos segmentos de mercados.
Formação
Seu foco principal de atuação envolve projetos de auditoria de sistemas e
• Especialização em Telecomunicações e Segurança Digital
segurança de ambientes de TI, revisão de controles em sistemas aplicativos,
• Graduação em Direito– Universidade Paulista
avaliação de riscos, maturidade da gestão dos serviços de TI, política de
segurança de informação, planos de continuidade de negócios e recuperação
de desastres.
Certificações Internacionais
Possui relevante experiência em estruturas de controles e normativas
• CIW Security Professional
internacionalmente aceitas como melhores práticas de mercado: ISO
• Network+ Comptia
27001/27002, ISO 25999, COBIT, PCI e ITIL.
• Security+ Comptia
• Project+ Comptia
• CCSA NGX
Principais clientes atendidos:
• CCSE NGX
• CISCO CCNA
• Atento Brasil;
• CFE
• Banco Santander;
• Sun Security Admin for Solaria 10 OS
• Banco Bradesco;
• ITIL Foundations
• Secretaria da Fazenda do Estado de São Paulo;
• MOFF
• Secretaria de Segurança Pública – Polícia Civil;
• Banco IBI;
Associações de Classe
• Telefônica Empresas.
• CFE (Certified Fraud Examiner)
• COMPTIA
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 3
SOLUÇÕES E SERVIÇOS
• Sistemas Aplicativos
• Infra-estrutura de TI
• Controles Internos
• SOX e Compliance • Gestão Empresarial
• Controladoria
• Gestão Financeira
AUDITORIA DE
SISTEMAS E PROCESSSOS ASSESSORIA E
• Sistemas Integrados de • Diagnóstico de
Informação e Controle CONSULTORIA Segurança
• Enterprise Resource Planning EMPRESARIAL • Gestão de Riscos
• Desenvolvimento e FÁBRICA • Política de Segurança
Implementação DE PESSOAS da Informação
SOFTWARE PROCESSOS • Testes de Invasão
SEGURANÇA • Plano de Contingência
TECNOLOGIA
DA • Forense
INFORMAÇÃO Computacional
• Gap Analysis e
implementação da NBR
GOVERNANÇA DE TI CURSOS ISO 27001:2006
E • Conscientização
• Gap Analysis baseado em
TREINAMENTOS • Conformidade Legal
• Alocação e
frameworks de governança e
Terceirização de
gestão de TI
• Segurança da Informação • Forense Computacional Recursos
• Implementação de CobiT, ITIL,
VAL IT • Gestão de Riscos • Gestão da Continuidade
• Conformidade com ISO 20000 • Governança de TI • Metodologias e Melhores Práticas
• Auditoria de Sistemas • Política de Segurança da Informação
• Gerenciamento de Resultados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 4
PRINCIPAIS CLIENTES
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 5
Treinamento
em
Gestão da Segurança da Informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 6
Informações Administrativas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 7
Nome
Experiência em Segurança da Informação
O que espera do treinamento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 8
Objetivos do Curso
Ao final, os participantes serão capazes de responder, pelo menos,
as seguintes perguntas:
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 9
Agenda
Etapas Temas
Abertura do Curso
3 Ativos de Informação
4 Gestão de Riscos
7 Segurança Lógica
9 Auditoria de Sistemas
10 Forense Computacional
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 10
Dúvidas?
-- Fim da Abertura --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 11
Etapa 1
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 12
Objetivos da Etapa 1
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 13
Fonte: Cert.br
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 14
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 15
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 16
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 17
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 18
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 19
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 20
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 21
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 22
Fonte adicional:
Acesse www.fernandoferreira.com para ler mais artigos sobre segurança da informação e auditoria de sistemas.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 23
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 24
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 25
Novos Ataques
— Mais Complexos
— Menor Tempo de Ataque
— Maior Poder de “Destruição”
— Usuário considerado o “Elo Mais Fraco”
< Exemplos:
– Phishing Scam, DoS, DDoS, Worms, Engenharia Social, etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 26
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 27
Dado ... é:
— conjunto de caracteres
Ou seja,
01182281340
É a garantia de que a informação esteja a
Informação ... é:
salvo de qualquer perigo, assegurada de
— interpretação ou significado dos dados
danos eCPF:riscos
Tel: eventuais.
(011)
011.822.813-40
8228-1340 (??)
Segurança ... é:
— ação ou efeito de tornar seguro
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 28
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 29
— Ativos desprotegidos
— Vulnerabilidades
— Ameaças
— Falta de conscientização em segurança
— Administração insegura da informação
— Baixo uso de controles
— Alto índice de riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 30
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 31
— Integridade XX
< Garantia de que a informação está inalterada, íntegra.
— Disponibilidade
< Garantia de que a informação está disponível no momento que precisa ser
acessada.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 32
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 33
Risco!
— Probabilidade de algo ruim acontecer...
Probabilidade Explorar
Ameaça Vulnerabilidade
Causando
IMPACTO ($$$)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 34
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 35
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 36
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 37
Lições aprendidas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 38
Dúvidas?
-- Fim da Etapa 1 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 39
Etapa 2
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 40
Objetivos da Etapa 2
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 41
Guidelines for
Auditing ISMS
Overview and
Certification 27007 Vocabulary
Authority
Requirements 27006 27000
Risk
27005 27000 27001 ISMS
Management
Family Requirements
Implementation
Guide
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 42
Aproximadamente, de 3 a 6 anos
ISO IEC FDIS Final Draft Intl Standard
ISO IEC FCD Final Committee Draft
ISO IEC CD Committee Draft
ISO IEC WD Working Draft
ISO IEC NWIP New Work Item Proposal
SP Study Period
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 43
CobiT
— Control Objectives for Information and Related Technology,
elaborado pelo ISACA
ITIL
— IT Infrastructure Library: provê fundamentos para o processo de
gerenciamento da infra-estrutura de TI
PMBOK
— Project Management Body of Knowledge: melhores práticas para a
gerência de projetos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 44
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 45
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 46
— Contempla os aspectos:
< Confidencialidade
< Integridade
< Disponibilidade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 47
— Conteúdo da Norma
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 48
Objetivos:
< Identificar, quantificar e priorizar os riscos com base em critérios para sua
aceitação e dos objetivos relevantes para a organização
< Definir alternativas para tratar os riscos
< Identificar ameaças e vulnerabilidades
< Determinar impactos e probabilidades
< Tratar os riscos de segurança
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 49
Documento da Política
Controle: deve ser aprovado pela direção, publicado e comunicado, de forma
adequada, para todos os colaboradores
Diretrizes para implementação
Incluir declaração de comprometimento da direção, apoiando as metas e
princípios de segurança da informação
Definir responsabilidades gerais e específicas na gestão da segurança da
informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 50
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 51
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 52
Coordenação da segurança
Controle: as atividades devem ser coordenadas e envolvidas por pessoal
de diferentes partes da organização (Comitê de Segurança)
Serão atribuídas as responsabilidades
Definidos os processos de autorização para uso dos recursos de TI
Acordos de confidencialidade
Contato com autoridades (bombeiros, advogado, fiscais e etc.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 53
Partes externas
Diz respeito em manter a segurança dos recursos de TI e seus ativos, quando
acessados, processados, comunicados ou gerenciados por partes externas
Acesso, processamento, comunicação e gestão de prestadores de serviços
deve ser controlado
Identificação dos riscos relacionados com partes externas
Controle: riscos que envolvam partes externas devem ser identificados e
controlados antes de se conceder o acesso
Identificando a segurança, quando tratando com clientes
Controle: requisitos de segurança devem ser considerados antes de
conceder o acesso
Identificando a segurança da informação nos acordos com terceiros
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 54
Revisão 1
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 55
Gestão de ativos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 56
Classificação da informação
A informação possui níveis de sensibilidade e criticidade
Diz respeito a assegurar que os ativos de informação recebam um nível
adequado de proteção
A informação deve ser classificada para indicar a importância, a prioridade e o
nível de proteção
A classificação leva em consideração
Identificação e manipulação adequada da informação
Definição de um conjunto apropriado de níveis de proteção, bem como na
determinação de medidas especiais de tratamento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 57
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 58
Antes da contratação
Objetiva reduzir os riscos de erro humano, roubo, fraude ou uso indevido das
instalações
Responsabilidades de segurança devem ser atribuídas antes da contratação
Trabalhos que lidam com informações críticas e sensíveis exigem pessoal
qualificado
Funcionários, prestadores de serviço e usuários dos recursos de TI devem
assinar:
Termo de confidencialidade e responsabilidade
Termo de condições de emprego e trabalho
Itens contemplados:
Papéis e responsabilidades
Seleção, termos e condições de contratação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 59
Durante a contratação
Objetiva assegurar que usuários estejam cientes das ameaças e preocupações
de segurança
Os usuários devem estar preparados para apoiar a Política de Segurança
durante a execução do trabalho
Os usuários precisam ser conscientizados, educados e treinados nos
procedimentos de segurança e no uso correto das instalações de TI
Realizar a educação e treinamento como forma de minimizar possíveis riscos de
segurança
Itens contemplados:
Responsabilidades da direção
Conscientização, educação e treinamento
Processo disciplinar
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 60
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 61
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 62
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 63
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 64
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 65
Revisão 2
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 66
Áreas seguras
Objetiva prevenir o acesso físico não autorizado, danos e interferências às
informações e instalações físicas
Áreas seguras devem ser projetadas para conter informações, recursos e
instalações críticas e/ou sensíveis
A proteção deve ser proporcional aos riscos identificados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 67
Itens contemplados:
Perímetro de segurança física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio ambiente
Acesso público
Áreas de carga e descarga
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 68
Segurança de equipamentos
Objetiva prevenir a perda, dano ou comprometimento dos ativos e a interrupção
das atividades de negócio
Equipamentos devem ser fisicamente protegidos contra ameaças físicas e do
meio ambiente
Itens contemplados:
Instalação e proteção de equipamento
Segurança de cabeamento
Manutenção de equipamentos
Reutilização segura de equipamentos
Remoção de propriedade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 69
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 70
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 71
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 72
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 73
Cópias de segurança
Objetiva manter a integridade e disponibilidade da informação e dos recursos
Devem ser definidos os procedimentos de rotina para execução das cópias de
segurança
O objetivo é viabilizar a restauração em tempo hábil, além de registrar
eventos e falhas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 74
Manuseio de mídias
Objetiva prevenir contra divulgação não autorizada, modificação, remoção ou
destruição de ativos
Mídias devem ser controladas e fisicamente protegidas contra roubo, acesso não
autorizado e danos em geral
Itens contemplados:
Gerenciamento de mídias removíveis
Descarte
Procedimentos para tratamento da informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 75
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 76
Troca de informações
Objetiva manter a segurança na troca de informações e softwares internamente
na organização e com entidades externas (criptografia)
Deve-se estabelecer procedimentos para proteção das informações e das mídias
em trânsito
Itens contemplados:
Políticas e procedimentos para troca de informações
Mídias em trânsito
Mensagens eletrônicas
Sistemas de informações de negócio
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 77
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 78
Monitoramento
Objetiva (i) detectar atividades não autorizadas, (ii) checar a eficácia dos
controles adotados e (ii) verificar a conformidade com a Política de Segurança
Sistemas e aplicações devem ser monitorados e eventos relacionados a
segurança devem ser registrados
Itens contemplados:
Registros de auditoria
Monitoramento do uso do sistema
Proteção dos registros (logs)
Registros de administrador e operador
Registros de falhas
Sincronização dos relógios
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 79
Revisão 3
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 80
Controle de acesso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 81
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 82
Responsabilidades do usuário
Objetiva prevenir o comprometimento ou roubo da informação e recursos
Conscientização dos usuários sobre suas responsabilidades
Itens contemplados:
Uso de senhas
Equipamento de usuário sem monitoração
Política de mesa e tela limpas
Treinamento!!! Sensibilização!!!
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 83
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 84
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 85
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 86
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 87
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 88
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 89
Controles criptográficos
Objetiva proteger a confidencialidade, integridade e autenticidade das
informações
Utilização destes controles para proteção das informações críticas
Itens contemplados:
Política para uso de controles criptográficos
Gestão de chaves
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 90
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 91
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 92
Revisão 4
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 93
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 94
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 95
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 96
Conformidade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 97
Conformidade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 98
Conformidade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 99
Dúvidas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 100
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 101
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 102
Benefícios da Certificação
— Internamente — Externamente
< Aperfeiçoamento da segurança < Satisfação do cliente
como um todo
< Assegura conformidade com
< Gerenciamento e redução do políticas e requisitos de
impacto dos incidentes de segurança
segurança
< Oferece margem competitiva
< Aumenta a motivação e
participação dos funcionários < Boa imagem e reputação da
organização perante os clientes
< Aumenta a rentabilidade e sociedade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 103
Atividade em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 104
CobiT
Control Objectives for Information and Related Technology
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 105
CobiT
— O CobiT (Control Objectives for Information and
Related Technology), elaborado pelo ISACA
(Information Systems Audit and Control Association),
é um modelo de estrutura de controles internos
orientado para o entendimento e o gerenciamento
dos riscos associados ao uso da Tecnologia da
Informação.
— Maior ênfase em conformidade com requisitos legais
— Permite o fácil alinhamento e simplifica a
implementação de seu framework
— Não cancela sua versão anterior, 3.0, mas
complementa-a
— Disponível para download para associados da ISACA
em www.isaca.org/cobit
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 106
CobiT – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 107
CobiT – (cont.)
— Indicadores
< 5 níveis de maturidade
– 0: Não-existente
– 1: Inicial / Ad-hoc
– 2: Repetido, mas intuitivo
– 3: Processo definido
– 4: Gerenciável e mensurável
– 5: Otimizado
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 108
CobiT – (cont.)
— Critérios da informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 109
CobiT – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 110
CobiT – (cont.)
— Recursos de TI
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 111
CobiT – (cont.)
— Critérios básicos
Efetividade Aplicações
Eficiência Informações
Confidencialidade Infra-estrutura
Integridade Pessoas
Disponibilidade
Conformidade
Confiabilidade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 112
CobiT – (cont.)
— Domínios
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 113
CobiT – (cont.)
— Domínios – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 114
CobiT – (cont.)
— Domínios – (cont.)
Fonte: ISACA
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 115
CobiT – (cont.)
— Domínios – (cont.)
New Projects
? Organisation
Adquirir e Implementar (AI)
► Objetivos:
Identificar, desenvolver ou adquirir, implementar e integrar as soluções de TI
Efetuar mudanças e manutenções nos sistemas existentes
► Responde as seguintes questões:
Os novos projetos entregam soluções que atendem as necessidades do negócio?
Os novos projetos são entregues no prazo e dentro do orçamento?
Os novos sistemas funcionam adequadamente após implementados?
As mudanças em sistemas são realizadas sem afetar as operações de negócio?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 116
CobiT – (cont.)
— Domínios – (cont.)
Fonte: ISACA
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 117
CobiT – (cont.)
— Domínios – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 118
CobiT – (cont.)
Deliver and Support
— Domínios – (cont.)
Fonte: ISACA
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 119
CobiT – (cont.)
— Domínios – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 120
CobiT – (cont.)
— Domínios – (cont.)
Fonte: ISACA
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 121
— Demonstração do CobiT...
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 122
Atividade em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 123
ITIL
IT Infrastructure Library
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 124
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 125
O que é?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 126
O que é? – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 127
PMBOK
Project Management Body of Knowledge
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 128
PMBOK
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 129
PMBOK – (cont.)
— Abrangência
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 130
— Security Baseline
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 131
Dúvidas?
-- Fim da Etapa 2 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 132
Etapa 3
Ativos de Informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 133
3. Ativos de Informação
Objetivos da Etapa 3
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 134
O que é?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 135
Categorias de Ativos
— Proprietário
— Custodiante
— Usuário Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 137
Proprietário de um ativo
• Entidade que detém a propriedade direta de um ativo
• Propriedade pode ser exercida em nome de pessoa física ou jurídica
Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 138
Custodiante de um ativo
• Entidade que tem a responsabilidade pela guarda (custódia) de um
ativo de propriedade de terceiro
• Geralmente, a área de TI é a custodiante de ativos de informação
• Uma vez recebida do proprietário, a custódia não pode ser
delegada; somente o proprietário pode transferi-la
Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 139
Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 140
Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 141
Usuário de um ativo
• Entidade que efetivamente usufrui (usa) de um determinado ativo
• Os usuários podem ser tanto internos quanto externos
Proprietário
ATIVO
Custodiante Usuário
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 142
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 143
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 144
O que é vulnerabilidade?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 145
O que é ameaça?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 146
vulnerabilidades
ameaças.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 147
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 148
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 149
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 150
Ativo: Relatório
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 151
Software
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 152
Software – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 153
Software – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 154
Hardware
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 155
Hardware – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 156
Hardware – (cont.)
Ativo: Servidor BD
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 157
Organização
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 158
Organização – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 159
Organização – (cont.)
Ativo: Sala de
Servidores
Vulnerabilidade: Sala sem controle de
acesso físico
Ameaças: acesso físico não autorizado; roubo de
máquinas; acesso não autorizado; etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 160
Pessoal
Ativo que inclui todo pessoal que lida com a informação e utiliza a
estrutura física, lógica, tecnológica, organizacional e de comunicação
de uma entidade. Exemplos:
— Diretores
— Gerentes
— Funcionários
— Clientes
— Prestadores de serviços e etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 161
Pessoal – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 162
Pessoal – (cont.)
Ativo: Cliente
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 163
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 164
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 165
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 166
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 167
Confidencialidade
Exercício 3
Integridade
Disponibilidade Seleção e Utilização dos
Controles da Norma
Legalidade
Auditabilidade
Não repúdio
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 168
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 169
Inventário de ativos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 170
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 171
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 172
Exemplos a seguir...
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 173
Confidencialidade
O ativo deve ser classificado como Alto quando:
A perda de sua confidencialidade causará prejuízos financeiros.
O cumprimento dos objetivos de negócio ou quaisquer outras
obrigações serão retardados e prejudicados devido a quebra da
confidencialidade.
A perda da confidencialidade causará: danos a imagem e
reputação, perda de competitividade e implicações legais.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 174
Confidencialidade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 175
Confidencialidade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 176
Integridade
O ativo deve ser classificado como Alto quando:
A perda de sua integridade causará prejuízos financeiros.
O cumprimento dos objetivos de negócio ou quaisquer outras
obrigações serão retardados e prejudicados devido a perda da
integridade.
A perda da integridade causará: danos a imagem e reputação,
perda de competitividade e implicações legais.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 177
Integridade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 178
Integridade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 179
Disponibilidade
O ativo deve ser classificado como Alto quando:
É indispensável para a realização de uma ou mais atividades e
não poderá ficar indisponível.
Sua indisponibilidade causará prejuízos financeiros.
O cumprimento dos objetivos de negócio ou quaisquer outras
obrigações serão retardados e prejudicados devido à sua
indisponibilidade.
Sua indisponibilidade causará: danos a imagem e reputação,
perda de competitividade e implicações legais.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 180
Disponibilidade – (cont.)
Disponibilidade – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 182
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 183
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 184
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 185
Critérios de classificação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 186
Classificação Descrição
Pública / Não Informações, que se forem divulgadas fora da organização, não trarão impactos aos negócios.
classificada Exemplos: testes de sistemas ou serviços sem dados confidenciais, brochuras / folders da
organização.
Interna O acesso externo às informações deve ser evitado. Entretanto, se estes dados tornarem-se
públicos, as conseqüências não são críticas. Existe seleção de funcionários para o acesso interno.
Exemplo: agendas de telefones e ramais, grupos de desenvolvimento de sistemas aplicativos onde
os dados utilizados são fictícios.
Confidencial As informações desta classe devem ser confidenciais dentro da organização e protegidos de
acesso externo. Se alguns destes dados forem acessados por pessoas não autorizadas, as
operações da organização podem ser comprometidas, causando perdas financeiras e perda de
competitividade. Exemplos: salários, dados pessoais, dados de clientes, senhas e informações
sobre as vulnerabilidades da organização.
Secreta O acesso interno ou externo não autorizado a estas informações é extremamente crítico para a
organização. O número de pessoas com acesso as informações deve ser muito pequeno, bem
como regras restritas para sua utilização. Exemplos: informações militares ou de uma importante
concorrência e contratos confidenciais.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 187
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 188
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 189
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 190
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 191
Rótulo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 192
Rótulo – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 193
Rótulo – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 194
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 195
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 196
Exercício 1
Avalie e melhore os seguintes níveis de classificação da informação:
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 198
Exercício 2
Classifique e justifique os seguintes documentos:
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 199
Dúvidas?
-- Fim da Etapa 3 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 200
Etapa 4
Gestão de Riscos
- Avaliação e Análise de Riscos
- Tratamento dos Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 201
4. Gestão de Riscos
Objetivos da Etapa 4
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 202
— AS/NZS 4360:2004
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 203
Introdução
Probabilidade de uma
ameaça/vulnerabilidade
Função Nível de
Controle utilizados
de Risco Risco
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 204
Introdução – (cont.)
— Aplicações
< Governança de TI
< Projetos de análise e Gestão de Riscos
< Análise e automação de Compliance
< Inventário de ativos
< Self-assessment
< Apoio para PCN
< Análise de riscos em fornecedores e parceiros
< Análise de aplicações
< Auditorias
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 205
Introdução – (cont.)
— Qual é o objetivo?
< Possibilitar a organização atingir sua missão com os riscos sendo
controlados
— Vantagens
< Melhoria da segurança de TI (proteção dos ativos)
< Suporte à gerência em decisões de despesas e investimentos
< Suporte à gerência em aprovar a operação de sistemas de TI
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 206
Introdução – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 207
Introdução – (cont.)
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 208
EXPLORAM
AMEAÇAS VULNERABILIDADES
VALORES E
NECESSIDADES IMPACTO
DE SEGURANÇA POTENCIAL A
ATIVOS
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 209
Gestão de Riscos
- Principais Normas, Metodologias e Frameworks
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 210
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 211
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 212
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 213
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 214
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 215
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 216
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 217
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 218
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 219
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 220
Gestão de Riscos
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 221
• AS/NZS 4360
COSO
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 223
CobiT
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 224
Dúvidas?
Próximo assunto: Avaliação e Análise de Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 225
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 226
O que é risco?
Probabilidade:
Resultado da análise das ameaças existentes que cercam o ambiente de TI,
bem como das vulnerabilidades potenciais e controles de segurança
implementados e disponíveis.
Impacto:
Resultado de um dano causado por uma ameaça que explorou uma
vulnerabilidade.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 227
Vulnerabilidade
Ameaça
Probabilidade
Impacto
Risco
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 228
Metodologia
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 229
Metodologia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 230
Passo 1
Caracterização do sistema / ativos de informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 231
— Objetivo
< Definição do escopo da análise e entendimento inicial do sistema / ativos
de informação
— O que fazer?
< Identificar as fronteiras e limites
< Identificar, relacionar e caracterizar os recursos e dados
– Recursos = computadores, equipamentos de comunicação, softwares, equipes,
responsável e etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 232
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 233
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 234
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 235
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 236
— Resultados do Passo 1
< Caracterização do sistema a ser avaliado
< Visão geral do ambiente do sistema
< Identificação e delineamento da fronteira do sistema
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 237
Entradas
Hardware
Passo 1 Resultados
Fronteira do
Software Caracterização do Sistema sistema
Interfaces Funções
Dados e Interações
informações
Criticidade
Pessoas e
usuários
Criticidade
Controle e etc.
Passo 2
Identificação de Ameaças
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 238
Passo 2
Identificação das ameaças
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 239
— Objetivo
< Identificar as fontes de ameaças potenciais
— Fonte de ameaça
< Qualquer circunstância, evento ou método que tenha a potencialidade de
causar dano ao sistema computacional
< As fontes de ameaças mais comuns podem ser:
– Naturais
– Humanas
– Ambientais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 240
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 241
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 242
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 243
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 244
— Resultados do Passo 2
< A organização deve manter uma lista de fontes de ameaça que poderiam
explorar as vulnerabilidades de um sistema
< Fontes de informações sobre ameaças conhecidas auxiliam na criação e
manutenção desta lista (ex. centros de resposta a incidentes; meios de
comunicação e etc.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 245
Entradas
Histórico de
Passo 2 Resultados
ataques Relação contendo
Identificação das Ameaças as fontes de
Fontes de
ameaças ameaças que
podem explorar as
Possíveis vulnerabilidades de
motivações um sistema
Métodos de
ataque
Dados de
inteligência
Passo 3
Identificação das
Vulnerabilidades
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 246
Passo 3
Identificação das vulnerabilidades
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 247
— Objetivo
< Desenvolver uma lista de vulnerabilidades do sistema (falhas ou
fraquezas) que podem ser exploradas pelas ameaças
— Vulnerabilidade
< Falha, defeito ou fraqueza em um procedimento, projeto, implementação
ou controle interno de um sistema que pode ocorrer (acidental ou
intencionalmente), tendo como resultado uma brecha de segurança
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 248
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 249
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 250
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 251
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 252
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 253
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 254
— Resultado do Passo 3
< Relação das vulnerabilidades que podem ser exploradas pelas fontes de
ameaças
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 255
Passo 3
Entradas Resultados
Relatórios de Identificação das Relação das
auditorias Vulnerabilidades vulnerabilidades
Análises de que podem ser
segurança exploradas pelas
fontes de ameaças
Testes de invasão
e análise de
vulnerabilidades
Alertas e etc.
Passo 4
Levantamento dos
Controles Existentes
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 256
Passo 4
Levantamento dos controles de segurança
existentes
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 257
— Objetivo
< Relacionar os controles que estão implementados (ou planejados para
implementação)
— Os controles podem ser classificados em:
< Diretivo
< Preventivo
< Detectivo
< Corretivo
< De recuperação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 258
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 259
— Resultado do Passo 4
< Relação dos controles de segurança utilizados e planejados, para
minimizar a probabilidade de uma vulnerabilidade ser explorada, visando
reduzir o impacto caso ela ocorra
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 260
Passo 4 Resultados
Entradas Relação dos
Controles atuais Levantamento dos controles de
segurança
Controles Controles Existentes utilizados e
planejados planejados, para
minimizar a
probabilidade de
uma
vulnerabilidade ser
explorada, visando
reduzir o impacto
caso ela ocorra
Passo 5
Determinação das
Probabilidades
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 261
Passo 5
Determinação da probabilidade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 262
— Objetivo
< Determinar a probabilidade de ocorrência das ameaças
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 263
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 264
— Resultado do Passo 5
< Identificação do nível de probabilidade aferido para cada par
ameaça/vulnerabilidade, ou seja: Alto, Médio, Baixo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 265
Entradas
Passo 5
Motivações
Resultados
Recursos Determinação das
Identificação do
Capacidade Probabilidades nível de
probabilidade
Natureza da
aferido para cada
vulnerabilidade
par ameaça /
Controles vulnerabilidade, ou
existentes seja: Alto, Médio,
Baixo
Passo 6
Análise de Impacto
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 266
Passo 6
Análise de impacto
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 267
— Objetivo
< Determinação do impacto resultante de uma ameaça bem sucedida
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 268
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 269
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 270
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 271
— Análises qualitativas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 272
< Vantagens
– Concentra-se diretamente nos riscos
– Identifica imediatamente áreas que necessitam de melhorias para a correção de
vulnerabilidades
< Desvantagens
– Não fornece medidas quantificáveis da magnitude dos impactos
– Cria dificuldades na análise custo-benefício de quaisquer controles
recomendados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 273
— Análises quantitativas
< Vantagens
– Fornece medidas quantificáveis da magnitude dos impactos
– Facilita a análise custo-benefício dos controles recomendados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 274
— Resultado do Passo 6
< Magnitude ou nível de impacto de cada ameaça identificada que poderia
explorar as respectivas vulnerabilidades, ou seja: Alto, Médio, Baixo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 275
Entradas
Ameaça Passo 6 Resultados
Magnitude ou
Impacto na
missão
Análise de Impacto nível de impacto de
cada ameaça
Avaliação de identificada
ativos
Criticidade
Perdas
Passo 7
Determinação dos Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 276
Passo 7
Determinação dos riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 277
— Objetivo
< Avaliar o nível de risco do sistema para cada par ameaça-vulnerabilidade
FUNÇÃO DE RISCO
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 278
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 279
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 280
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 281
— Resultado do Passo 7
< Determinação do nível de risco associado para cada par ameaça-
vulnerabilidade
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 282
Resultados
Passo 7
Determinação do
Entradas
nível de risco
Probabilidade
Determinação dos Riscos associado para
cada par ameaça-
Impacto vulnerabilidade
Controles
Passo 8
Recomendação dos
Controles de Segurança
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 283
Passo 8
Recomendação dos controles de segurança
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 284
— Objetivo
< Relacionar os controles possíveis para os níveis de riscos levantados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 285
Passo 8
Resultados
Recomendação dos Relação dos
Controles de Segurança controles
recomendados
Passo 9
Documentação dos
Resultados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 286
Passo 9
Documentação dos resultados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 287
— Objetivo
< Documentar os resultados na forma de um relatório oficial
— Resultado:
< Relatório que descreve as ameaças e vulnerabilidades, as medidas de
risco associadas e fornece recomendações de controles
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 288
Passo 9
Resultado
Documentação dos Relatório de
Avaliação de Riscos
Resultados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 289
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 290
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 291
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 292
Exercício em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 293
Dúvidas?
Próximo assunto: Tratamento dos Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 294
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 295
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 296
Passo 1
Priorizar as ações
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 297
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 298
Resultados
Passo 1 Lista de ações a
Entradas serem realizadas
Níveis de riscos
Priorizar as Ações em ordem de
prioridade dos
estabelecidos pelo riscos (Alto ->
processo de Baixo)
Avaliação
Passo 2
Avaliar as Recomendações
Expostas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 299
Passo 2
Avaliar as recomendações expostas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 300
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 301
Passo 2 Resultados
Entradas Avaliar as Recomendações Controles mais
apropriados para
Avaliação de risco Expostas minimização dos
Viabilidade riscos
Efetividade
Passo 3
Realizar Análise Custo-
Benefício
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 302
Passo 3
Realizar análise custo-benefício
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 303
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 304
a) Evitar o risco;
b) Implementação de controles preventivos;
c) Implementação de controles detectivos;
d) Transferência do risco;
e) Aceitação do risco.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 305
a) Evitar o risco
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 306
Caso não seja possível evitar o risco, devem ser implementados “controles
preventivos” para minimizá-los.
Controles preventivos são aqueles que têm a finalidade de impedir que uma
vulnerabilidade seja explorada.
Todas as vulnerabilidades classificadas com nível de risco “muito alto” e que
não puderam ter o risco evitado, devem possuir controles preventivos
efetivos implementados.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 307
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 308
d) Transferência do risco
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 309
e) Aceitação do risco
As vulnerabilidades que possuem classificação de risco “baixa” podem ser aceitas pela
organização.
Vulnerabilidades que, para serem tratadas apresentem prejuízos financeiros que
tornem o tratamento inviável, ou que para serem tratadas ponham em risco os
objetivos e a missão da organização da companhia, deverão ser substancialmente
justificadas e avaliadas quanto a possibilidade de assumir o risco.
Assumir os riscos significa entender a vulnerabilidade, as conseqüências da sua
exploração e formalmente assumir a responsabilidade pelas conseqüências.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 310
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 311
Resultados
Passo 3
Análise
Realizar Análise Custo- custo/benefício que
descreve os custos
Benefício e benefícios de
implementar ou
não os controles
Passo 4
Selecionar Controles
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 312
Passo 4
Selecionar controles
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 313
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 314
Passo 4
Resultados
Selecionar Controles Controles
selecionados
Passo 5
Designar e Atribuir
Responsabilidades
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 315
Passo 5
Designar e atribuir responsabilidades
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 316
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 317
Passo 5 Resultados
Passo 6
Desenvolvimento do Plano
de Ação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 318
Passo 6
Desenvolvimento do plano de ação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 319
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 320
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 321
Passo 6
Desenvolvimento do Plano Resultado
Passo 7
Implementar Controles
Selecionados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 322
Passo 7
Implementar controles selecionados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 323
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 324
Passo 7
Implementar Controles Resultado
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 325
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 326
Exercício em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 327
Dúvidas?
-- Fim da Etapa 4 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 328
Etapa 5
Conscientização e Treinamento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 329
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 330
Aspectos Gerais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 331
O que é Política
de Segurança da
Informação?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 332
Aspectos Gerais
Definição da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 333
A informação deve
ser correta,
A informação somente deve ser verdadeira e não A informação deve
ser acessada pelos que estar corrompida. estar acessível para o
necessitam dela. funcionamento da
organização e para o
alcance de seus objetivos.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 334
É importante para:
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 335
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 336
Objetivos da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 337
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 338
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 339
Características da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 340
Características da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 342
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 343
3. Viabilidade
— O custo de implementação da Política deve ser justificado pelo valor do ativo
a ser protegido
— Basear-se na Avaliação e Análise de Riscos
Incidentes
= Realizar Análise
Vulnerabilidades de Risco
e Ameaças
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 344
4. Aplicabilidade
— As diretrizes e normas devem ser efetivamente aplicáveis e possíveis de ser
implementadas
— Regras que não são possíveis de serem aplicadas e praticadas provocam o
descrédito da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 345
5. Clareza e objetividade
— A redação utilizada deve ser de fácil leitura e compreensão
— Deve ser clara, objetiva e muito concisa
— Não utilizar termos técnicos
— Textos longos podem causar dúvidas no entendimento, além de provocar
um desestímulo à leitura e compreensão
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 346
6. Obrigatoriedade
— O cumprimento da Política deve ser obrigatório e possuir penalidades para
aqueles que não segui-la
— Podem ocorrer situações imprevistas e, para isso, deve-se especificar uma
forma clara do procedimento a ser adotado em casos de impossibilidade de
cumprimento (exceções)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 347
7. Compatibilidade
— A Política deve seguir o conceito de Governança Corporativa e estar alinhada
com os negócios da organização, ferramentas, seus valores e cultura
— Os procedimentos de revisão e atualização devem ser programados e
realizados
— Deve existir uma forma (canal) de sugestões para obter as opiniões dos
usuários envolvidos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 348
8. Estratificação
— As regras, normas e procedimentos devem estar hierarquizadas de acordo
com a abrangência e contexto que se aplicam
— Podem ser divididas em:
— Diretrizes
— Normas
— Procedimentos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 349
8. Estratificação – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 350
— Exemplo
— Somente será permitido o uso de recursos homologados e autorizados
pela organização, desde que sejam identificados de forma individual,
inventariados, com documentação atualizada e estando de acordo com
as cláusulas contratuais e a legislação em vigor.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 351
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 352
— Exemplo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 353
9. Respaldo
— A Política deve ter total respaldo da Alta Administração
— Esta condição deve se aplicar desde a primeira fase do processo de
desenvolvimento e se perpetuar enquanto a Política estiver em vigor
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 354
10. Conhecimento
— Todos os envolvidos na “operação” da Política devem ser treinadas no teor
deste importante documento corporativo
— As pessoas são o principal fator de aprimoramento da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 355
— Conclusões:
— Escrever uma política é como escrever uma legislação. Poucas pessoas estão
aptas para desenvolvê-la, mas com orientação adequada, torna-se viável sua
criação
— Deve ser:
< Simples e compreensível (escrita de maneira clara e concisa)
< Homologada e assinada pela Alta Administração
< Alinhada com as estratégias de negócio da organização
< Orientada aos riscos
< Flexível (moldáveis aos novos requerimentos de TI e do negócio)
< Positiva e não apenas concentradas em ações proibitivas ou punitivas
< Protetora dos ativos de informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 356
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 357
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 358
— Benefícios
< Após a implantação da política, evidenciam-se os seguintes aspectos:
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 359
— Benefícios – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 360
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 361
Desenvolvimento e
Implementação da Política
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 362
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 363
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 364
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 365
1. Motivação
— Experiência com um incidente grave
— Alta Administração descobre as vulnerabilidades
— Queda nos resultados
— Alta Administração descobre fraudes
— Observação de outras empresas (concorrentes) e tendências de mercado
— Alta Administração percebe que o mesmo pode ocorrer na organização
— Experiência dos colaboradores internos
— Alta Administração é sensibilizada
— Grandes motivadores
— Medo de incidentes
— Visão dos profissionais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 366
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 367
2. Desenvolvimento – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 368
2. Desenvolvimento – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 369
3. Implementação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 370
4. Uso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 371
5. Manutenção
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 372
Exercício em grupo
De acordo com o que foi explicado até agora, elabore uma Política de
Segurança contendo os principais aspectos, na sua percepção, que devem
ser abordados.
Para o desenvolvimento, leia o texto do exercício para contextualizar o
ambiente.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 373
Treinamento e Conscientização
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 374
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 375
Executivos
Política
Diretores de
Informática
Auditoria e Security
Officer Implementação
Gerentes de
Desenvolvimento
de Sistemas
Usuários Finais Execução
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 376
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 377
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 378
ATIVIDADES PERÍODO
1 2 3 4
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 379
Exercício em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 380
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 381
Dúvidas?
-- Fim da Etapa 5 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 382
Etapa 6
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 383
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 384
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 385
Visão Geral
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 386
— Cercas
— Grades
— Guardas
— Chaves
— Iluminação
— Chaves e fechaduras
— Crachás / smart cards
— Acompanhamento de visitantes
— Controles patrimoniais
— Sistemas de monitoração e detecção de intrusos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 387
— Externas
< Ventos, tornados, furacões
< Inundações
< Explosão
< Ausência do abastecimento de energia elétrica
< Terremoto
< Frio e gelo
< Fogo
< Poeira
< Vibrações
< Agentes químicos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 388
— Internas
< Fogo
< Falhas no ambiente
< Vazamentos de líquidos
< Falha de energia
— Humanas
< Roubo
< Vandalismo
< Sabotagem e espionagem
< Erros
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 389
— Proteção de energia
— Proteção de água
— Prevenção, detecção e combate ao fogo
— Pessoas
— Evacuação
— Monitoração e detecção do ambiente
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 390
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 391
— Controles Administrativos
— Controles Técnicos e Físicos
— Controles Ambientais e de Segurança a Vida
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 392
Controles Administrativos
— A proteção física inicia-se e baseia-se com a utilização de
procedimentos administrativos
< Procedimentos de contingência, emergência e etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 393
— Planejamento
< Relacionado ao projeto e escolha de um ambiente seguro, com a
especificação dos requisitos de segurança física na fase de construção
< Contempla a localização ambiental e os controles físicos
– Visibilidade: identificações externas que podem facilmente apontar para o CPD
(é desejada baixa visibilidade)
– Considerações do local: incidência de crimes, vandalismo e etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 394
— Planejamento – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 395
— Planejamento – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 396
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 397
— Gestão da segurança
< Trilhas de auditoria e acesso devem registrar
– Data e hora de acesso / tentativa de acesso
– Se o acesso / tentativa de acesso foi bem sucedido ou não
– Onde o acesso / tentativa de acesso foi concedido (qual porta)
– Quem realizou o acesso / tentativa de acesso
– Quem modificou os privilégios de acesso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 398
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 399
— Controle de pessoal
< Processo para admissão e demissão de empregados
< Pode ser realizada:
– Seleção
– Verificações prévias em outras empresas
– Serasa / SPC
– Polícia
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 400
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 401
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 402
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 403
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 404
— Controle de inventários
< Envolve a proteção de computadores e equipamentos contra roubo físico e
danos
< Exemplos
– Cadeados
– Cabos de segurança
– Controles de portas (ex. roteadores e switches)
– HDD Sheriff
– Senha de BIOS
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 405
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 406
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 407
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 408
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 409
Metais
D Pó/polvilho seco
combustíveis
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 410
– Detectores de incêndio
- Sensíveis ao calor
- Ativados por chama
- Ativados por fumaça
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 411
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 412
Recomendações para o
Projeto de um Local Seguro
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 413
— Localização e acesso
< Índice de criminalidade no local
< Visibilidade
< Acessos emergenciais
< Ameaças naturais
< Tráfego aéreo e terrestre
< Estabilidade da rede de energia elétrica / redundância
< Proteção de perímetro, como grades, cercas e portões
< Acesso de veículos e pessoas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 414
— Perímetro
< Visitantes devem ser acompanhados e ter sua presença registrada
< Muros altos e cercas para minimizar as tentativas de invasão
< Iluminação nos locais de entrada, estacionamentos e áreas consideradas
críticas
< Sistemas de monitoração de perímetro para alertar os vigilantes com
alarmes
< CFTV – Circuito Fechado de TV
< Segurança Patrimonial (patrulhas e funcionários)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 415
— Instalações físicas
< Paredes sólidas resistentes a fogo
< Portas do tipo corta-fogo monitoradas e com alarme
< Caso existam janelas, elas devem ser fixas (alvenaria) e resistentes a
impactos
< O layout do CPD/sala de computadores deve prever fácil acesso aos
equipamentos pelos profissionais autorizados e dos cabos de
redes/elétricos
< Devem existir circuitos elétricos dedicados com acesso controlado aos
painéis de distribuição, transformadores e cabos de alimentação, assim
como, dispositivos para desligamento de emergência e proteção contra
falhas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 416
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 417
— Requerimentos ambientais
< Devem existir dispositivos que façam a medição da temperatura, da
umidade e da qualidade do ar (poeira)
< Dispositivos de detecção, prevenção e combate de incêndios:
– Laudo do Corpo de Bombeiros
– Detectores de fumaça nos tetos, pisos falsos, em dutos de ar
– Alarmes com ativação automática e manual, com indicação visual e auditiva
– Extintores de incêndio
– Sistemas específicos de sprinkles do tipo ‘dry-pipe’ (dutos vazios)
– Treinamento do pessoal
– Realizar testes programados ou não
< Também deve ser considerado o impacto de um desastre que possa
ocorrer nas proximidades da instalação (não esquecer dos vizinhos)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 418
— Controle de acesso
< Formas de autenticação:
– Algo que alguém sabe (senha)
– Algo que alguém possui (crachá, cartões, chaves)
– Algo que alguém é (biometria)
< Prever fechaduras e trancas (programáveis, automáticas)
< Crachás, cartões de acesso com nome e foto, Smart Cards
< Biometria
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 419
< Biometria
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 420
– Leitura de retinas
- Leitura dos vasos sanguíneos
- Imagem única e individual
- Suscetível a doenças que afetam o globo ocular
- Intrusivo, desconfortável e inconveniente
– Leitura de íris
- Menos intrusivo que a leitura de retina
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 421
– Reconhecimento facial
- Baseado na medida de ângulos e distâncias entre traços da fisionomia
(olhos, nariz e boca)
- Pode variar de acordo com o movimento do usuário
– Padrões de assinatura
- Características e dinâmica de assinatura
- Velocidade, direção, pressão e tracejado são considerados
- Problemas em padrão de comportamento podem afetar o reconhecimento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 422
– Padrão de voz
- Gravação do modelo que será comparado com o capturado
- Uso de determinadas palavras ou frases
- Problemas com doenças podem modificar as características da voz
- Dificuldade de captura em ambientes de produção (ruídos, barulho)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 423
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 424
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 425
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 426
Exemplo de
Política e Diretrizes de Segurança Física
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 427
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 428
Dúvidas?
-- Fim da Etapa 6 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 429
Etapa 7
Segurança Lógica
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 430
7. Segurança Lógica
Objetivos da Etapa 7
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 431
Visão geral
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 432
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 433
Controle de Acesso
Dados, programas, aplicações e redes
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 434
— Processo de logon
< Utilizado para obter acesso aos dados e aplicativos
< Necessário um User ID e senha
< Para dificultar a tarefas de um invasor, limita-se o número de tentativas
incorretas de acesso, bloqueando a conta após 3 tentativas de logon
inválidas
< Recomenda-se restringir a reutilização das últimas 5 senhas
< Pode apresentar data e hora do último logon – auxilia o controle do
usuário que pode reportar tentativas de uso não autorizado
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 435
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 436
— Senhas de acesso
< Deve-se evitar a composição de senhas com os seguintes elementos:
– Nome
– Ser igual ao User ID
– Nome de parentes
– Nome de lugares
– Datas
– Números de telefones, cartão de crédito, RG, CPF
– Placas ou marcas de carros
– Times de futebol
– Letras seguidas
– Qualquer senha com menos de 6 caracteres
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 437
Procedimentos e Ferramentas
de Segurança Lógica
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 438
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 439
— Firewalls
< São recursos de segurança que tem o objetivo de controlar o acesso às
redes de computadores.
< Para determinar a necessidade deste recurso, as empresas devem
conhecer suas prioridades e realizar um levantamento das informações
críticas atentando, no mínimo, aos seguintes questionamentos:
– Quais são as informações que possuímos?
– Quais são as informações críticas aos negócios?
– Minhas informações são de grande interesse?
– Quais são os recursos de rede mais utilizados?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 440
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 441
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 442
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 443
Segurança em e-mail
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 444
— Riscos de segurança
< Vulnerabilidade das mensagens ao acesso não autorizado, modificação ou
negação de serviço
< Vulnerabilidade a erro como, por exemplo, endereçamento e
direcionamento incorretos e em geral, a falta de confiabilidade e
disponibilidade do serviço
< Considerações legais relacionadas com a necessidade potencial de prova
de origem, de envio, de entrega e aceitação
— Definir na Política de Segurança procedimentos para utilização
de correio eletrônico e contramedidas, incluindo:
< Ataques ao correio eletrônico (phishing scam)
< Proteção de anexos
< Responsabilidades dos funcionários
< Utilização de criptografia
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 445
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 446
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 447
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 448
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 449
Criptografia
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 450
Criptografia
— kriptós = escondido, oculto; grápho = grafia
É a arte ou ciência de escrever em cifra ou em códigos, de forma a permitir
que somente o destinatário a decifre e compreenda, ou seja, criptografia
transforma textos originais em uma informação transformada ilegível.
Computador = Frpsyxdgru
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 451
Criptografia – (cont.)
— Princípios básicos
< Reduzir riscos relacionados com:
– Vazamento de informações
– Fraudes
– Uso indevido
– Sabotagens
– Roubo de informações
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 452
Criptografia – (cont.)
< Autenticidade
– Assegurar ao receptor que a mensagem é realmente procedente da origem
informada em seu conteúdo
– Implementado a partir de um mecanismo de senhas ou assinatura digital
– Medida de proteção de um serviço ou informação contra personificação por
intrusos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 453
Criptografia – (cont.)
< Confidencialidade
– Proteger informações contra sua revelação para alguém não autorizado: interna
ou externamente
– Proteger informações contra leitura e / ou cópia por pessoas não autorizadas
– No caso da rede, isto significa que os dados, enquanto em trânsito, não serão
vistos, alterados ou extraídos por pessoas não autorizadas
– Proteger informação privada (cidadão, indústrias, governo, militar)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 454
Criptografia – (cont.)
< Integridade
– Proteger informações contra modificação sem autorização explícita do
proprietário daquela informação
– Inclui ações como escrita, alteração de conteúdo, alteração de status, remoção
e criação de informações
– Significa garantir que oi dado não foi corrompido – encontra-se íntegro
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 455
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 456
Criptografia – (cont.)
— Modelos de criptografia
< Criptografia simétrica ou algoritmo simétrico
– Usa somente uma chave, tanto para criptografar quanto para decriptar
– Esta chave deve ser mantida secreta para garantir a confidencialidade da
mensagem
Criptografia Convencional
A mesma chave é utilizada para encriptar e decriptar
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 457
Criptografia – (cont.)
Criptografia Assimétrica
A Chave Pública é utilizada na Encriptação e a Chave Privada na Decriptação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 458
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 459
Criptografia – (cont.)
< Passphrase
– Cadeia de caracteres alfanuméricos mais abrangente que a senha
– São compostos de caracteres alfabéticos e numéricos, maiúsculas e minúsculas
e sinais de pontuação
– Deve-se registrar um passphrase sobre algo que seja fácil de lembrar
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 460
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 461
Criptografia – (cont.)
Assinatura Digital
A Chave Privada é utilizada na Encriptação e a Chave Pública na Desencriptação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 462
Criptografia – (cont.)
— Certificados digitais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 463
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 464
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 465
Criptografia – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 466
Dúvidas?
-- Fim da Etapa 7 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 467
Etapa 8
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 468
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 469
Visão Geral
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 470
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 471
O que é BCM?
Avaliação de
Riscos
Teste e
Business Impact
Manutenção do
Assessment
Plano Sua Empresa
Desenvolvimento Desenvolvimento
do Plano das Estratégias
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 472
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 473
Business
Continuity foco na continuidade dos
Plan processos de negócio
IT
Recovery
Plan um tipo específico de plano
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 474
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 475
— Óbvio
< Um furação pode causar paralisação total das atividades
— Não óbvio
< O PABX de uma empresa não está funcionando e um cliente está
tentando a manhã toda contatá-la para efetuar um pedido, porém
sem sucesso. O cliente, então, liga para a empresa concorrente.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 476
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 477
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 478
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 479
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 480
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 481
Terrorismo Explosões
Falha de software
Sabotagem
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 483
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 484
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 485
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 486
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 487
Competências Necessárias
Core Competencies
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 488
Competências necessárias
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 489
Planejamento
do Projeto
Obtenção de
Informações
Análise
Comunicação
Próximos slides…
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 490
Planejamento do projeto
— Verificar a motivação da Alta Administração, e demais
envolvidos, com o projeto de Gestão de Continuidade dos
Negócios
— Detalhar e esclarecer o escopo e o nível de envolvimento da
Alta Administração, e partes interessadas
— Obter informações atualizadas sobre a gestão de riscos
— Conseguir informações sobre as áreas de negócio
— Elaborar o cronograma das atividades (tempo e investimentos
estimados, recursos necessários, produtos finais e etc.)
— Obter aprovação formal da Alta Administração
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 491
Obtenção de informações
— Efetuar reuniões, workshops, entrevistas
— Entender as necessidades dos negócios
— Perceber, junto aos gestores de negócio, suas principais
preocupações
— Corroborar e validar as informações obtidas anteriormente
— Observar aspectos não informados que podem ser pertinentes
ao projeto
— Aplicar testes de auditoria de sistemas
— Documentar todos os resultados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 492
Análise
— Separar todas as informações obtidas
— Examinar para verificar como se combinam (entradas e
saídas)
— Produzir um resultado ou relatório com as conclusões obtidas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 493
Comunicação
— Por que é importante?
< Para garantir a exatidão e consistência das informações
< Para atender as expectativas ao final do projeto
— Quem são os envolvidos neste processo?
< Alta Administração
< Gestores das áreas de negócio
< Equipes de suporte técnico e recuperação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 494
Avaliação de Riscos
Risk Assessment
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 495
Recapitulando...
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 496
Recapitulando... – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 497
Recapitulando... – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 498
Nível de Risco
Aceitável Gestão da
Riscos residuais Continuidade dos
Negócios (BCM)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 499
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 500
Probabilidade Impacto
Insignificante Menor Moderado Maior Catastrófico
1 2 3 4 5
Bem provável A A MA MA MA
Provável M A A MA MA
Moderado B M A MA MA
Não provável B B M A MA
Raro B B M A A
MA – Muito Alto
A – Alto
M – Médio
B – Baixo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 501
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 502
ii. Operações
< Gestores das áreas de negócio
< Logística
< Funcionários e colaboradores
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 503
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 504
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 505
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 506
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 507
Planejamento
do BIA
Obtenção de
Informações
Análise
Comunicação
Próximos slides…
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 508
Planejamento
— Mapear as preocupações da Alta Administração e dos gestores
— Identificar as funções, os processos de negócio, e seus
impactos devido a uma interrupção
— Analisar os impactos: operacional e financeiro
— Determinar o MAO
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 509
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 510
Obtenção de Informações
— Identificar os processos de negócio e seus proprietários
— Determinar a criticidade dos processos
— Documentar como o impacto da indisponibilidade pode afetar
a organização
— Obter e mapear:
< Prioridade de recuperação
< Tempo de recuperação
< Impactos pela não recuperação total
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 511
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 513
Análise
— Principais perguntas que devem ser respondidas após a
obtenção de informações:
< Quais são as funções dos processos críticos?
< Qual são os custos em função da paralisação?
< Quais são os recursos vitais?
< Qual é o nível mínimo de serviço necessário?
< Qual é o período de tempo que cada processo crítico necessita
para ser restabelecido?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 514
Análise – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 515
Análise – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 516
Análise – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 517
Comunicação
— Elaboração e apresentação do relatório do BIA para a Alta
Administração e gestores, contemplando:
< Processos de negócio críticos, os recursos que os suportam e suas
dependências
< Custo e prejuízo estimados devido a uma paralisação vs. o custo
de recuperação
< Os tempos máximos de parada aceitáveis (MAO)
< Recomendações e um plano de ação sugerido
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 518
Comunicação – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 519
Exercício em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 520
Estratégias de Desenvolvimento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 521
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 522
Estratégias de recuperação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 523
i. Recursos humanos
ii. Operações do negócio e financeiro
iii. Registros vitais
iv. Relacionamento com entidades externas
v. Tecnologia da Informação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 524
Recursos humanos
— O ser humano é o recurso mais valioso para garantir a
continuidade dos negócios
— Devem estar devidamente treinados e atualizados nos
procedimentos de recuperação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 525
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 526
Registros vitais
— Devem ser armazenados em outra localidade física (endereço)
independentemente da estratégia adotada
— Exemplos:
< Fitas de backup
< Contratos
< Planejamento estratégico de negócios
< Dentre outros
— Deve-se garantir a segurança (confidencialidade, integridade
e disponibilidade), além dos recursos humanos autorizados
saberem de sua existência e localização
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 527
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 528
Tecnologia da Informação
— As estratégias podem depender do tempo máximo de parada
aceitável (MAO) para cada sistema
— Se o tempo máximo de parada aceitável (MAO) não é curto,
pode-se optar apenas pela proteção dos dados
< Se MAO = minutos = altíssima disponibilidade
< Se MAO = horas = alta disponibilidade: hot ou warm site
< Se MAO = dias ou semanas = considerar cold site
< Se MAO = meses = reconstrução total ou aquisição de
equipamentos / infra-estrutura necessárias
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 529
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 530
Desenvolvimento do Plano
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 531
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 532
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 533
— Responsável por:
< Efetuar a gestão da crise
< Avaliar os impactos e os danos
< Realizar os procedimentos técnicos e operacionais necessários
— Duplicidade de profissional da equipe para aqueles
considerados críticos
— Não confiar na pronta disponibilidade dos profissionais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 534
Listas de contato
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 535
Divulgação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 536
Preparação
Declaração
Resposta para Restauração
do Desastre
Restauração
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 537
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 538
Ação
— Especificar as responsabilidades de cada
indivíduo para cada ação
— Tempo de execução das ações
— Ações especificadas em ordem de
Responsabilidades
prioridade
— Contemplar, quando necessário, descrição
das interações e dependências com
outras áreas
Tempo de
Execução
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 539
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 540
Quality assurance
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 541
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 542
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 543
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 544
— Walkthrough
< Valida a clareza da documentação
< Revela grandes problemas com o plano
< Não identifica problemas técnicos
— Componentes
< Processo de evacuação
< Recolocação e ativação dos serviços
< Centro de controle de emergência
< Teste alternativo de sistemas
< Teste de estratégias alternativas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 545
— Programado e não-programado
< Testes programados são muitas vezes necessários para garantir a
disponibilidade de alguns dos envolvidos sem que suas atividades
sejam interrompidas, além de não causar pânico
< Testes surpresa / não-programados avaliarão a habilidade dos
envolvidos em responder às situações sem prévio aviso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 546
— Integração
< Testa diferentes partes do plano juntas para verificar coerência
< Avalia os procedimentos de comunicação
< Pode ser realizado durante o expediente normal
< Identifica inconsistências
— Desastre simulado
< Testa a maior parte do plano
< Considera grande investimento de tempo e recursos
< Não pode ser realizado durante o expediente normal
< Validação dos procedimentos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 547
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 548
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 549
Formas de manutenção
— Revisões programadas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 550
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 551
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 552
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 553
Dúvidas?
-- Fim da Etapa 8 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 554
Etapa 9
Auditoria de Sistemas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 555
9. Auditoria de Sistemas
Objetivos da etapa 9
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 556
9. Auditoria de Sistemas
Fundamentos de Auditoria
— Conceito
< Processo sistemático onde uma pessoa independente obtém e avalia de
forma objetiva, evidências relacionadas com a situação financeira de uma
empresa, e de seus sistemas aplicativos relacionados, com propósito de
formar uma opinião e reportar o grau de confiança identificado.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 557
O Processo de Auditoria
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 558
O Processo de Auditoria
PLANEJAMENTO
Avaliação dos
Controles Internos
Não: Nenhuma
Sim: Executar Testes Confiança nos
Controles
Testes Substantivos
Revisão e Avaliação
Relatório
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 559
— Planejamento
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 560
O que são?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 561
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 562
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 563
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 564
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 565
— Testes de Auditoria
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 566
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 567
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 568
< Evidências
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 569
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 570
— Relatório de Auditoria
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 571
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 572
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 573
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 574
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 575
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 576
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 577
— Visão geral
< Consistem na estrutura, políticas e procedimentos que se aplicam às
operações dos sistemas informatizados de uma organização
< Criam o ambiente em que os sistemas e os controles irão operar
< Durante uma auditoria, por exemplo, em um sistema contábil, é
necessário inicialmente avaliar os controles gerais que atuam sobre ele
< Controles gerais deficientes acarretam na diminuição da confiabilidade a
ser atribuída aos controles das aplicações individuais; por esta razão os
controles gerais são avaliados separadamente
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 578
— Categorias
< Existem seis categorias de controles gerais que devem ser consideradas
em auditorias:
i. Controles organizacionais
ii. Programa geral da segurança
iii. Continuidade do serviço
iv. Controles de acesso
v. Controles de softwares de sistema
vi. Controles de desenvolvimento e alteração de softwares aplicativos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 579
— Categorias – (cont.)
i. Controles organizacionais
– Políticas, procedimentos e estrutura organizacional estabelecidos para
organizar as responsabilidades de todos os envolvidos nas atividades
relacionadas à área da informática
– Os controles organizacionais contemplam:
- Organização da área de TI
- Segregação de funções
- Unidades organizacionais bem definidas
- Atividades controladas por políticas claras
- Políticas de segregação de funções e controle de acesso
- Recursos informatizados gerenciados de forma eficiente e econômica
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 580
— Categorias – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 581
— Categorias – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 582
— Categorias – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 583
— Categorias – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 584
— Categorias – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 585
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 586
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 587
– Avaliação do risco?
– Desenvolvimento e implementação de procedimentos eficazes de segurança?
– Monitoração da eficácia desses procedimentos?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 588
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 589
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 590
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 591
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 592
Aqueles participantes do curso que desejarem os exemplos de planos, por favor, pedimos que forneçam e-mail para o envio.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 593
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 594
— Auditoria contínua
< Permite aos auditores independentes prover avaliação formal sobre um
assunto específico utilizando uma série de relatórios de auditoria gerados
em um curto espaço de tempo da ocorrência dos eventos.
< Provê curto período entre a ocorrência do incidente e coleta de evidências
de forma mais simples
< Melhor monitoramento dos assuntos financeiros e tecnológicos
< Previne exposições negativas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 595
Exercício em grupo
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 596
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 597
Introdução
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 598
Introdução – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 599
— Ambiente Internet
< Contempla:
– Mapeamento da rede e dos serviços
– Análise remota de servidores (serviços e sistemas operacionais)
– Análise do perímetro de defesa
– Tentativas de exploração de vulnerabilidades conhecidas
– DoS e DDoS
– War Dialing
– Dentre outros
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 600
— Ambiente Interno
< Contempla:
– Topologia física e lógica
– Acessos físicos e lógicos aos sistemas
– Segurança física
– Segregação de ambientes
– Estrutura de comunicação interna
– Reconhecimento da rede, servidores e sistemas
– Possibilidade de análise local dos servidores
– Seleção e análise de segurança em servidores críticos
– Escalonamento de privilégios
– Verificação de acesso a informações críticas e confidenciais
– Políticas, processos e procedimentos de segurança implementados
– Tentativas de exploração de vulnerabilidades conhecidas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 601
— Aplicações
< Contempla:
– Mapeamento das funcionalidades da aplicação:
- Antes das interações entre cliente e servidor
- Descrição da arquitetura funcional da aplicação
- Levantamentos de interações com o ambiente de backoffice
– Validação dos mecanismos de autenticação
- Controles de autenticação e autorização
- Validação do processo de autenticação
- Análise dos controles existentes
- Mecanismos de criptografia
- Conformidade com a Política de Segurança
- Buffer overflow e injeção de códigos
- Interação e interfaces com outros sistemas
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 602
— Aplicações – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 603
Resultados Esperados
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 604
Dúvidas?
-- Fim da Etapa 9 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 605
Etapa 10
Forense Computacional
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 606
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 607
Introdução
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 608
Introdução – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 609
Introdução – (cont.)
— Mesmo que os crimes não sejam cometidos via Internet, eles podem
deixar rastros a serem utilizados como evidências nos tribunais
— Motivações para a perícia forense computacional
< Incidentes de segurança
< Fraudes financeiras
< Fraudes para fins políticos (ex. painel de votação do senado federal)
< Espionagem
< Uso indevido de recursos
< Violação de direito de propriedade intelectual
< Pornografia infantil
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 610
Introdução – (cont.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 611
Caracterização da
Perícia Forense Computacional
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 612
— Âmbito da investigação
< Extrajudicial
– Interna à uma organização privada
– Interna à uma organização pública (sindicância)
– Fiscalização (realizada por órgão de fiscalização)
– Policial
< Judicial
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 613
< Extrajudicial
– Detecção de um incidente
- Sistema de detecção de intrusão (IDS)
- Derivado de um processo de auditoria
- Derivado de análise de logs
- Identificação de eventos anômalos em processos corporativos
- Fraude
- Chantagem e etc.
– Suspeita de um incidente
- Violação de uma norma (legal, corporativa e etc.)
- Espionagem
- Suspeita de fraude e etc.
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 614
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 615
Características da
Perícia Forense Computacional
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 616
— Categorias de conhecimento
< Personalidade
– Comunicação (saber escutar; oratória; redação de relatórios e cartas)
– Apresentação (falar em público; desenvoltura para falar sobre o processo)
– Diplomacia (não constrangir os envolvidos no processo)
– Políticas e procedimentos (metodologia maleável para analisar cada caso)
– Trabalho em equipe (o processo de investigação é um projeto)
– Integridade (do profissional; evitar o vazamento de informações)
– Conhecer seus limites (buscar auxílio sempre que necessário)
– Administrar o estresse
– Solução de problemas (plena capacidade de solucionar situações críticas)
– Gerenciamento do tempo (evitar atrasos que podem causar insucesso)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 617
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 618
< Certificações
– CFE: Certified Fraud Examiner
– CIFI: Certified Information Forensics Investigator
– EnCE: Encase Certifier Examiner
– CFCE: Certified Forensic Computer Examiner
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 619
Perfil do criminoso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 620
Incidentes de segurança
— Incidente
< É uma atividade ou ação que danifica ou prejudica, em qualquer instância,
a confidencialidade, integridade e disponibilidade de determinado ativo de
informação.
< Incidentes de fácil identificação
– Vírus e Trojan
< Incidentes de difícil investigação
– Invasão de sistemas
– Vazamento e roubo de informações
– Acessos não autorizados
– TCP/IP Spoofing
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 621
— Classificação do incidente
< Baixo
– Perda de senha
– Utilização de recursos para fins pessoais e/ou inadequadamente
< Médio
– Download ilícito
– Divulgação ou roubo de senhas
– Acesso não autorizado
< Alto
– Pedofilia
– Uso de software pirata
– Invasão
– Infecção por código malicioso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 622
— Resposta a incidentes
< Eficiente (ação rápida, planejada com resultados positivos)
< Centralizada (desde o reporte inicial até o fim dos trabalhos)
< Grupo de resposta (existência de um grupo de pessoas)
< Auditoria e alertas (necessária para identificar incidentes)
< Política de Segurança (bons procedimentos contribuem para o sucesso da
investigação e aplicação de penalidades)
< Treinamento e conscientização (ser humano = o elo mais fraco)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 623
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 624
Salvaguarda do ambiente
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 625
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 626
i. Formulação do plano
< Antever o que será encontrado e como agir para cada um dos ativos
< A correta identificação de hard-disks e quaisquer tipos de mídias é
fundamental para a coerência do plano
< Definir os papéis e responsabilidades dos participantes
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 627
ii. Abordagem
< Em alguns casos poderá ser necessário que um mandado seja utilizado,
ou a presença de um oficial de justiça
– Ex.: segurança em pessoas, segurança nacional e pornografia infantil (e-mails
de pedofilia, ameaças à pessoas e de bomba)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 628
iii. Documentação
< Pode ser de várias formas
– Gravação / narração dos eventos
– Fotografias do ambiente (layout) e ativos (tire ‘montes’ de fotografias)
– Print de telas dos computadores
– Condições de umidade e temperatura
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 629
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 630
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 631
Evidências
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 632
Evidências – (cont.)
— Tipos de evidências
< Arquivos digitais
< Logs de servidor, estações de trabalho, sistemas aplicativos, bancos de
dados
< Cookies
< Histórico e cache do browser
< Fotografias / vídeos
< Favoritos
< E-mail
< Dentre outros...
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 633
O Processo de Investigação
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 634
Processo de investigação
i. Início
ii. Desenvolvimento
iii. Finalização
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 635
i. Início
< Deliberar sobre os envolvidos no processo, tomando-se como base o tipo
de processo (litigioso ou não-litigioso): auditoria interna, recursos
humanos, security officer
< Como a investigação é um projeto, deve-se definir e estruturar:
– Recursos humanos
– Obrigações e objetivos
– Hierarquia de reporte
– Cronograma
– Precedentes
– Independência
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 636
ii. Desenvolvimento
< Organizar os passos a serem seguidos
< Identificar o incidente
< Salvaguardar o ambiente
< Coletar evidências
< Analisar o incidente
< Analisar os ativos
< Identificar e origem (se externa, buscar informações em ISPs, empresas
de telecom, ADSL, etc.)
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 637
iii. Finalização
< Gerar os relatórios e laudos que concluem o processo
< Relacionar as evidências analisadas e seu relacionamento com as
hipóteses
< Relatórios podem ser técnicos ou não
< Especificar o tipo e investigação: litigiosa ou não litigiosa
< Conteúdo do relatório
– Sumário executivo
– Objetivos
– Apresentação das hipóteses e das evidências
– Correlação das hipóteses e das evidências
– Conclusão
– Anexos
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 638
Aspectos legais
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 639
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 640
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 641
— Legislação
< PL 84/99
< Lei 9.983 de 14/07/2000
< Lei 10.764 de 12/11/2003
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 642
— Salvaguarda do ambiente
< MD5 Deep – win / linux (hash)
< CRCMd5
— Listagem de arquivos
< Filelist
— Análise de ativos
< Gravação de horário: Get Time
< Cópias: Symantec Ghost; SafeBack
< Ferramentas de Undelete: Get Free; Recover4All; R-Undelete
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 643
— Ferramentas anti-forensics
< Defilers Toolkit: Necrofile – Inodes; Kilmafile – Arquivos
< Disk scrub
— Outras
< Encase
< FIRE
< FLAG / Coroners - TCT
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 644
Exercício
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 645
Apresentação de caso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 646
Dúvidas?
-- Fim da Etapa 10 --
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 647
Finalização
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 648
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 649
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 650
Programa
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 651
Programa
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 652
Programa
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 653
Programa
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 654
Programa
1. Access Control
2. Administration
3. Audit and Monitoring
4. Cryptography
5. Data Communications
6. Malicious Code / Malware
7. Risk, Response and Recovery
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 655
Programa
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 656
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 657
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 658
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 659
Dúvidas?
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 660
Fim do Curso
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 661
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 662
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 663
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 665
Muito Obrigado!
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 666