O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.
3. Controles de TIPage 3
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Ficarmos longe de problemas
Aumento dos casos
de exposição
Novas
brechas de
potencial
ataque
Consequências
catastróficas para a
reputação
Maiores perdas
financeiras por
vazamento de
informações
Novas
regulamentações
globais sobre
privacidade
Aumento de
ameaças e ataques
Objetivos
4. Controles de TIPage 4
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Temos que fazer isso…
Mas como fazer bem feito?
Ficarmos longe de problemas Fazer melhor o nosso trabalho
Aumento dos casos
de exposição
Novas
brechas de
potencial
ataque
Consequências
catastróficas para a
reputação
Maiores perdas
financeiras por
vazamento de
informações
Novas
regulamentações
globais sobre
privacidade
Uso efetivo da
tecnologia
Atividades
coordenadas de
gerenciamento de
riscos
Aumento de
ameaças e ataques
Políticas de
segurança
melhoradas
Compliance com
base no
custo/benefício
Controles
racionalizados e
otimizados
Proteger melhor os
ativos e
informações chave
Objetivos
5. Controles de TIPage 5
Segurança de TI em 2011
Tendências
► Man in the browser (MITB)
► Segurança de arquivos
► Smartphones
► Co-evolução de Cloud e hacking
► Atacante interno
► Redes sociais
► Convergência de regulações
► Segurança proativa
► Segurança como parte dos processos de
negócio
► Hacktivismo de infraestruturas críticas
Demandas
► Endpoint security
► Controle de acesso reforçado
► Proteção contra malware
► Criptografia de mídias
► Conscientização de usuários
► Security at Cloud (IaaS, SaaS and PaaS)
► Proteção de dados em trânsito e em repouso
► Continuidade de negócios (disponibilidade,
integridade, recuperação)
► Gestão de contratos
► Segurança de Infraestrutura Crítica
► Segurança de redes de automação
► Prevenção de Stuxnet-like
Tendências e demandas
6. Controles de TIPage 6
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
7. Controles de TIPage 7
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
8. Controles de TIPage 8
Definições
► Ações
► Proteger ativos
► Informações
► Equipamentos
► Instalações
► Pessoal
► Evitar/reduzir perdas de
produtividade
► Auxiliar na redução de prejuízos
► Alinhada com o negócio
► Suficiente
► Confortável
► Dentro do melhor custo/benefício
Segurança da Informação
Confidencialidade
Compartilhamento apenas
com pessoas autorizadas
Disponibilidade
Acessibilidade quando
necessária, por aqueles
que têm direito
Integridade
Informação autêntica,
completa e confiável
9. Controles de TIPage 10
Ameaças
• Enchentes, tornados,
deslizamentos,
terremotos, tempestades
elétricas
Naturais
• Intencionais (vírus,
cavalos de troia,
operação inapropriada)
• Não intencionais (falta de
habilidade do usuário,
falhas de configuração)
Humanas
• Falta de energia, falha no
sistema de climatizaçãoAmbientais
► Antigamente...
► Ataques destrutivos: Chernobyl, Sexta-
feira 13 e Madonna
► Motivação dos atacantes: demonstrar
habilidades
► Hoje...
► Ataques multi-estágio, silenciosos:
construção de botnets
► Foco em aplicações e controle remoto
► Motivação dos atacantes: dinheiro
► Principal alvo: usuários
63 % clicam “OK” sem ler a mensagem
(IDG Now, 25 de setembro de 2008)
10. Controles de TIPage 11
Como estas ameaças podem nos impactar?
Impactos
Imagem e
consumidor
• Referência da
Marca
• Reputação
• Confiança
Financeiros
• Queda de
ações
• Redução de
vendas
• Pagamentos de
multas
Produtividade
• Navegação
improdutiva
• SPAM
• Sistemas
desligados
• Muitos
chamados de
Help desk
Conformidade
• Falha no
atendimento de
leis e normas
• Quebra de
contratos
12. Controles de TIPage 13
Casos da Vida Real
► Ford tem projeto (B402) e plano
estratégico divulgados (2005)
► Supostamente gravados em um CD
► Projeto cancelado (R$ 800 mi)
► Vazamento da prova do ENEM (2009)
► Pessoal envolvido com a impressão
► Prejuízo de R$ 40 mi
► Hacker trocou senha e pediu R$ 350 mil
(2008)
► Órgão federal
► 24 horas sem operar, 3.000 pessoas sem
acesso
► “Mortos-vivos” da previdência (atual)
► Inconsistência na atualização/verificação
dos óbitos
► R$ 1,67 bi em fraudes
13. Controles de TIPage 14
Riscos
► Dicionários
► Risco: “possibilidade de perda”
► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar,
e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou
outras medidas de segurança”
► (ISC)²
► Gerenciamento de Risco: “a aprendizagem de conviver com a
possibilidade de que eventos futuros podem ser prejudiciais”, e o
“gerenciamento de risco reduz riscos pelo reconhecimento e controle de
ameaças e vulnerabilidades”
Conceitos
15. Controles de TIPage 16
Riscos
Aplicação de controles
Vulnerabildade
Ameaça
Impacto
Ativo
Controle
bloqueia
elimina
reduz
16. Controles de TIPage 17
Riscos
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
Posicionamento
Riscos
Probabilidade
Impacto
17. Controles de TIPage 18
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
18. Controles de TIPage 19
Controles
► As demandas de segurança são
definidas a partir dos:
► Objetivos de negócio
► Riscos
► Compromissos normativos,
contratuais e legais
Definindo as demandas de segurança
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
19. Controles de TIPage 20
Controles
► Diretivas e objetivos de controle
► Definição de macro processos
► Alinhamento com as demandas de
segurança com o auxílio de
documentos como:
► CobiT
► ISO 27000
► ISO 20000 (ITIL)
► ISO 15408 (Common Criteria)
► Exemplo de texto:
► “Os sistemas da informação
precisam ser mantidos íntegros”
Políticas e Gestão
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
20. Controles de TIPage 21
Aplicação de Controles
► Definições técnicas e operacionais
► Tem como referência:
► Documentos do NIST
► Guias OWASP, OSA
► Guias de configurações de
fabricantes
► Exemplo de texto:
► “Os sistemas da informação
precisam utilizar antivírus,
configurado da maneira xyz”
Implantação
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
21. Controles de TIPage 22
Controles
► A auditoria revisa os controles e
permite a melhoria contínua de
processos, serviços e da segurança
► Referências
► Planos de auditoria do ISACA
► Exemplo de texto:
► “Os sistemas estão mantendo sua
integridade?”
► “Vamos analisar os logs e os
padrões de configuração do
antivírus”
Validação
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
22. Controles de TIPage 23
Controles
► A segurança de sistemas e das
informações é obtida com a
implantação de controles, que podem
ser distribuídos em três categorias:
► Gerenciais
► Técnicos
► Controles estabelecidos por sistemas
► Operacionais
► Controles realizados por seres humanos
► Natureza dos controles
► Preventivos
► Detectivos
► Corretivos
• Gerenciamento de riscos
• Governança
Gerenciais
• Controle de acesso
• Proteção de dados
• Proteção de
comunicações
Técnicos
• Conscientização
• Continuidade
• Gestão de configurações
e mudanças
Operacionais
23. Controles de TIPage 24
AmbientedeSegurançadeTI
ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
26. Controles de TIPage 27
Nuvem
ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
27. Controles de TIPage 28
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
28. Controles de TIPage 29
Auditoria
► Financeiras
► Operacionais
► Integradas
► Administrativas
► Sobre Sistemas da Informação
► Especializadas/ Atestação
► Forenses
Preparação do relatório
Alinhamento dos resultados
Interpretação de resultados
Execução
Planejamento pré-auditoria
Definição do escopo
Definição dos objetivos
Definição do tema
Tipos e etapas
29. Controles de TIPage 30
Auditoria
Concluir a auditoria
Alinhar expectativas Estabelecer recomendações
Realizar testes substantivos
Testes detalhados Orientação para as boas práticas
Realizar testes de conformidade
Definir controles-chaves Testes de aderência às políticas e procedimentos
Entender os controles internos
Ambiente Procedimentos Riscos Auto-avaliações
Obter informações e planejar
Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos
Orientação aos riscos
30. Controles de TIPage 31
Control Self Assessment
0. Identificar
processos e
objetivos
1. Identificar e
avaliar riscos
2. Identificar e
avaliar controles
3. Desenvolver
questionários
4. Coletar e
analisar
respostas
Panorama e Benefícios
6. Ações
5. Treinamento e conscientização
• Detecção antecipada de riscos
• Melhoria dos controles internos
• Redução de custos em controles
• Melhoria da pontuação de auditoria
31. Controles de TIPage 32
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
32. Controles de TIPage 33
Discussão
► A segurança é um processo contínuo
► Planejar, Fazer, Verificar, Agir
► Os objetivos do negócio e seus riscos devem ser os balizadores para a
definição de controles que serão:
► Formalizados em políticas
► Implantados em sistemas e processos
► Verificados pela auditoria
33. Controles de TIPage 34
Discussão
Demandas
de
Segurança
Auditoria
Implantação
Políticas e
Gestão
Posicionamento
Riscos
Probabilidade
Impacto