Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Painel 3 - 10 Forum de Auditoria de Sistemas - Lucas Daflon - Marcus Vinicius - Petrobras

    Enviado por

    EsdrasArthur
    0 visualizações13 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    0 visualizações13 páginas

    Painel 3 - 10 Forum de Auditoria de Sistemas - Lucas Daflon - Marcus Vinicius - Petrobras

    Enviado por

    EsdrasArthur

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 13

    Case de auditoria na nuvem

    Azure da Petrobras

    10º Fórum de Auditoria de Sistemas

    Lucas Daflon Scoralick


    Marcus Vinicius de Morais Batista
    Data: 26/11/2021
    PÚBLICA
    Agenda ou Sumário

    1. Histórico do teletrabalho e utilização de nuvem

    2. Referências normativas

    3. Visão geral da arquitetura Petrobras/Azure

    4. Dicas para análise

    5. Lições aprendidas

    PÚBLICA
    Breve histórico do
    teletrabalho e
    utilização de nuvem

    PÚBLICA
    Histórico do teletrabalho e utilização de nuvem

    Linha do tempo
    — 2020

    2020 A Auditoria Interna foi


    instada a realizar a
    2015 No início do ano avaliação dos
    ainda não havia controles de
    A TI já realizava previsão de estender segurança para as
    estudos para os o teletrabalho para soluções de acesso
    ambientes de nuvem toda força de remoto e ambiente
    corporativa e híbrida trabalho de nuvem

    2018 2020 2021


    Foi iniciada a Em março, com o “Escalável, segura e
    experiência de advento da cloud-first” foi
    teletrabalho com pandemia, todos incluído como
    alguns empregados, foram colocados em direcionador
    de algumas poucas teletrabalho estratégico no PDTIC
    áreas 2021/2025.

    PÚBLICA
    Referências normativas

    PÚBLICA
    Referências normativas

    Principais referências de mercado utilizadas


    1. ISACA Cloud Computing Management Audit Program (https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoH1EAK)


    2. ISACA Azure Audit Program (https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoGTEA0)
    3. Norma Complementar 14/IN01/DSIC/SCS/GSIPR de 2018 (https://repositorio.cgu.gov.br/handle/1/42764)
    4. NIST SP 800-53 de 2020 (https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)
    5. CIS Controls 7.1 de 2019 (https://www.cisecurity.org/controls/v8/)
    6. CIS Microsoft Azure Foundations 1.0 de 2018 (https://www.cisecurity.org/benchmark/azure/)
    7. CSA Cloud Controls Matrix 3.0.1 de 2019 (https://cloudsecurityalliance.org/research/cloud-controls-matrix/)
    8. ISO/IEC 27002 de 2013 (https://www.abntcatalogo.com.br/norma.aspx?Q=Q0l4Qy9lSjZqVno3bXZ1M2kwMC9tS0tjcERYd3JMNThKQ25QVkNFa3hPcz0=)
    9. Documentação da Azure (https://docs.microsoft.com/pt-br/azure/?product=featured)
    10. Padrões normativos internos
    PÚBLICA
    Visão geral da
    arquitetura

    PÚBLICA
    Cenário

    Arquitetura

    ttp://margaritomancy.pinrezepte.site/online/microsoft-azure-pci-compliance.php PÚBLICA
    Aprendizados da
    Auditoria

    PÚBLICA
    Aprendizados da Auditoria

    Dicas para análise


    1. Utilizar a documentação da Microsoft, que é muito rica. Algumas orientações só são


    possíveis de serem implementadas com a contratação de produtos mais “poderosos”, o que
    pode incrementar significativamente o custo.
    2. Garantir que Firewall e WAF estejam habilitados. Focar na avaliação da totalidade, ou seja,
    se todos os gateways de aplicativos relevantes possuem políticas relacionadas.
    3. Rodar scan para verificar a segurança global do site. Documentação Microsoft recomenda
    SSL Labs (https://www.ssllabs.com/ssltest/).
    4. Avaliar recomendações e status de segurança da Central de Segurança da Azure.

    PÚBLICA
    Aprendizados da Auditoria

    Dicas para análise


    5. Avaliar configurações das regras de acesso condicional. Observar se a política da


    organização está sendo atendida. O MFA (múltiplo fator de autenticação) deve estar
    habilitado para acessos feitos de fora da empresa.
    6. Avaliar questões sobre criptografia dos dados. Está habilitada a criptografia de todos os
    dados? Há dados com grau de confidencialidade que justifique utilizar chaves criptográficas
    e algoritmos de criptografia próprios? Como é a gestão das chaves criptográficas?
    7. Se for empresa pública, avaliar aderência a NC 14 do GSI sobre o tratamento da informação
    em ambiente de nuvem. A norma impõe requisitos contratuais, incluindo orientações de
    que os dados em nuvem devem residir em território brasileiro.

    PÚBLICA
    Aprendizados da Auditoria

    Lições aprendidas

    1. Ler as principais normas técnicas do mercado e a documentação da Azure. Existem muitos


    treinamentos disponíveis (sugestão para início: AZ-900).
    2. Realizar reuniões com os auditados para esclarecimento de dúvidas e coletas de evidência
    assistida.
    3. Solicitar acesso com perfil de consulta (somente leitura) ao ambiente de nuvem para
    extrair as evidências.
    4. Fomentar a sinergia entre as áreas de segurança e as áreas de tecnologia.

    PÚBLICA
    Contatos

    Lucas Daflon Scoralick


    lucas.daflon@petrobras.com.br

    Marcus Vinicius de Morais Batista


    vinicius.morais@petrobras.com.br

    PÚBLICA

    Você também pode gostar