750 likes | 962 Views
Auditoria de Segurança da Informação. Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão. Conceitos Básicos. Qual a importância da informação? O uso das informações evoluiu nas organizações?. Conceitos Básicos. Qual a importância da informação?
E N D
Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação
Conceitos Básicos • Qual a importância da informação? • O uso das informações evoluiu nas organizações?
Conceitos Básicos • Qual a importância da informação? • Financeira; Estratégica; Operacional, etc... • Antigamente... • Centralizados e não automático; • Depois... • Automatização dos processos;
Conceitos Básicos • Atualmente... • Tecnologia da informação; • Informação de alto nível; • Alta conectividade; • Aplicações conectadas: • B2B; • B2C; • Comércio eletrônico; • ERPs;
Conceitos Básicos • Fundamental para os processos e negócios da empresa; • Clientes, fornecedores, parceiros e governos conectados; • Este cenário traz risco para as empresas. • Quais riscos?
Conceitos Básicos • As empresas têm grande atenção aos seus ativos físicos e financeiros; • E não protegem os ativos de informação; • Ativos da informação: • A própria informação; • Meio de armazenamento; • Todo processo e manipulação;
Conceitos Básicos • Então é preciso criar medida para proteção dos ativos da informação; • Segurança da Informação: • Área responsável pela proteção dos ativo da informação; • Acesso não autorizado; • Alterações indevidas; • Indisponibilidade.
Conceitos Básicos • Três propriedades da segurança da informação: • Confidencialidade; • Integridade; • Disponibilidade;
Conceitos Básicos • Confidencialidade: • Protege o conteúdo; • Apenas lê quem tem direito; • Protege por grau de sigilo;
Conceitos Básicos • Integridade: • Modificação durante o trânsito; • Informação não pode ser alterada; • Informação igual a original; • Apenas quem tem direito pode modificar;
Conceitos Básicos • Disponibilidade: • A informação deve estar disponível; • Quando quem tem direito deseja acessar; • Exceto em situações previstas, como manutenção.
Conceitos Básicos • Gestão Corporativa de Segurança: • Considera o negócio da empresa como um todo; • Incluí mais dois conceitos: • Autenticidade; • Legalidade;
Conceitos Básicos • Autenticidade: • Identificação dos elementos da transação; • Acesso através da identificação; • Comunicação, transações eletrônicas, documentos, etc.
Conceitos Básicos • Legalidade: • Valor legal da informação; • Análise de cláusulas contratuais; • Concordância com a legislação.
Conceitos Básicos – Outros • Autorização; • Auditoria; • Relevância do ativo; • Relevância do Processo; • Criticidade; • Irretratabilidade;
Conceitos Básicos • Autorização: • Concessão de permissão; • Acesso a informações ou aplicações; • Em um processo de troca de informações; • Depende da identificação e autenticação;
Conceitos Básicos • Relevância do Ativo: • Grau de importância de uma informação; • Quando os processos dependem da informação; • Quando a organização depende da informação;
Conceitos Básicos • Relevância do Processo: • Grau de importância do processo; • Objetivos da organização dependem dele; • Sobrevivência da organização depende do processo;
Conceitos Básicos • Criticidade: • Gravidade do impacto no negócio; • Ausência de um ativo da informação; • Perda ou redução de funcionalidade; • Uso indevido ou não autorizado de ativos da informação.
Conceitos Básicos • Irretratabilidade: • Sinônimo de não-repúdio; • Informação possuí a identificação do emissor; • A identificação autentica o autor; • Autor não pode negar a geração da informação.
Ameaças e Ataques • Ameaças: • Agentes ou condições; • Causam incidentes que comprometem as informações; • Exploram vulnerabilidades; • Perda de confidencialidade, integridade e disponibilidade; • Causam impacto nos negócios da organização.
Ameaças e Ataques • Ameaças externas ou internas; • As ameaças sempre existirão; • Independente dos controles de segurança; • As medidas podem eliminar as vulnerabilidades; • E neutralizar as ameaças;
Ameaças e Ataques • Classificação das ameaças: • Intencionais; • Acidentais; • Internas; • Externas;
Ameaças e Ataques • Ameaças exploram vulnerabilidade para realizar ataques. • Ataques: • Tentativa de quebras as propriedades de segurança; • Confidencialidade, integridade e disponibilidade; • Outras propriedades estudadas;
Definição de Controles • Políticas de Segurança; • Normas ISO; • Tipos de Políticas;
Definições • Conjunto de regras; • Determina como as informações são geridas; • Deve ser ampla e simples; • Revisão contínua; • Apoio da alta administração;
Definições • Define objetivos; • Define responsabilidades; • Define Penalidades;
Definições • BS7799: norma inglesa; • BS7799-1 = ISO 17799: código de boas práticas de segurança; • BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; • ISO 17799 e 27001 foram traduzidos pela ABNT.
Definição • CobiT: modelo de governança de TI; • 30% relacionado com segurança; • ISO 15408 (Common Criteria): • Define e avalia requisitos de segurança em sistemas; • Volume 1: Definições e Metodologia; • Volume 2: Requisitos de Segurança; • Volume 3: Metodologias de Avaliação;
ISO 27001 • Define um “Sistemas de Gestão da Segurança da Informação” • Usa o ciclo PDCA • Planejar (plain); • Fazer ou implementar (do); • Monitorar (check); • Melhorar (act);
ISO 27001 • Possui 11 seções: • Política de Segurança; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gerenciamento das Operações e Comunicações;
ISO 27001 • Possui 11 seções: • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança; • Gestão de Continuidade do Negócio; • Conformidade;
ISO 27001 • Norma encoraja: • Entendimento de requisitos de segurança; • Necessidade de uma política de segurança; • Implementação de controles; • Gerência de riscos; • Monitoração e revisão do SGSI; • Melhoria contínua;
Políticas Organizacionais • Aplicada a toda a organização; • Define objetivos; • Define responsabilidades; • Define escopo; • Cita leis e regulamentos;
Políticas Organizacionais • Observações: • Não existem modelos prontos de política; • Não existe política certa ou errada; • A política deve ser definida de acordo com cada organização;
Políticas Específicas • Trata que questões detalhas; • De um determinado setor; • Do uso de um determinado serviços; • Ex: e-mail: • Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de e-mail;
Políticas de Sistemas • Definem as configurações dos sistemas; • Ex.: Banco de Dados, Sistemas Operacionais; • De forma que os sistemas estejam de acordo com a política organizacional;
Plano de Contingência • É mais amplo que o plano de recuperação de desastres; • Plano global para manter os ativos em funcionamento; • São procedimentos pré-estabelecidos para o caso de ataques; • Muitas empresas não sobrevivem à perda de seus ativos;
Plano de Contingência • Preservação: tentar evitar a destruição dos ativos; • Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; • São 2 conceitos importantes para a continuidade;
Conceitos Básicos • Auditoria: • Coleta de evidências; • Busca a identificação de entidades; • Busca a origem, o destino e os meios de tráfego da informação.
Serviços e MecanismosAuditoria • Auditoria engloba análise: • das operações; • dos processos; • dos sistemas; • das responsabilidades; • Objetivo de verificar conformidade com normas, regras, políticas ou padrões;
Serviços e MecanismosAuditoria • Auditoria abrange: • Identificação de Controles; • Aplicação de Procedimentos de Auditoria; • Descoberta de Achados da Auditoria; • Geração de Papéis de Trabalho; • Recomendações de auditoria;
Serviços e MecanismosAuditoria • Identificação de Controles: • Fiscalização sobre atividades de pessoas, órgãos ou produtos; • Três tipos de controles: • Preventivo: prevenir ataques. Ex: Senhas; • Detectivo: detectar ataques. Ex: Relatório de acesso; • Corretivo: reduzir impactos. Ex: Plano de Continuidade;
Serviços e MecanismosAuditoria • Aplicação de Procedimentos: • Geralmente são Checklists; • Averiguação de procedimentos; • Para formação do opinião do auditor;
Serviços e MecanismosAuditoria • Achados da Auditoria: • Fatos observados pelo auditor; • Devem ser relevantes; • Devem ser baseados em evidências;
Serviços e MecanismosAuditoria • Papéis de Trabalho: • Registros que provam os fatos observados pelo auditor; • Documentos, tabelas, listas, etc; • Dão suporte ao relatório de auditoria; • Contêm verificações, testes, etc;