Controles de segurança da informação

443 visualizações

Publicada em

Como estabelecer governança sobre os riscos através da definição de políticas, implantação de controles e auditoria.
Slides apresentados em palestra no Infnet em 2011.

Publicada em: Negócios
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
443
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
20
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Controles de segurança da informação

  1. 1. Controles de Segurança de TI Thiago Branquinho, CISA, CRISC Junho de 2011
  2. 2. Controles de TIPage 2 Por que falar sobre segurança?
  3. 3. Controles de TIPage 3 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Ficarmos longe de problemas Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Aumento de ameaças e ataques Objetivos
  4. 4. Controles de TIPage 4 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Temos que fazer isso… Mas como fazer bem feito? Ficarmos longe de problemas Fazer melhor o nosso trabalho Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Uso efetivo da tecnologia Atividades coordenadas de gerenciamento de riscos Aumento de ameaças e ataques Políticas de segurança melhoradas Compliance com base no custo/benefício Controles racionalizados e otimizados Proteger melhor os ativos e informações chave Objetivos
  5. 5. Controles de TIPage 5 Segurança de TI em 2011 Tendências ► Man in the browser (MITB) ► Segurança de arquivos ► Smartphones ► Co-evolução de Cloud e hacking ► Atacante interno ► Redes sociais ► Convergência de regulações ► Segurança proativa ► Segurança como parte dos processos de negócio ► Hacktivismo de infraestruturas críticas Demandas ► Endpoint security ► Controle de acesso reforçado ► Proteção contra malware ► Criptografia de mídias ► Conscientização de usuários ► Security at Cloud (IaaS, SaaS and PaaS) ► Proteção de dados em trânsito e em repouso ► Continuidade de negócios (disponibilidade, integridade, recuperação) ► Gestão de contratos ► Segurança de Infraestrutura Crítica ► Segurança de redes de automação ► Prevenção de Stuxnet-like Tendências e demandas
  6. 6. Controles de TIPage 6 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  7. 7. Controles de TIPage 7 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  8. 8. Controles de TIPage 8 Definições ► Ações ► Proteger ativos ► Informações ► Equipamentos ► Instalações ► Pessoal ► Evitar/reduzir perdas de produtividade ► Auxiliar na redução de prejuízos ► Alinhada com o negócio ► Suficiente ► Confortável ► Dentro do melhor custo/benefício Segurança da Informação Confidencialidade Compartilhamento apenas com pessoas autorizadas Disponibilidade Acessibilidade quando necessária, por aqueles que têm direito Integridade Informação autêntica, completa e confiável
  9. 9. Controles de TIPage 10 Ameaças • Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas Naturais • Intencionais (vírus, cavalos de troia, operação inapropriada) • Não intencionais (falta de habilidade do usuário, falhas de configuração) Humanas • Falta de energia, falha no sistema de climatizaçãoAmbientais ► Antigamente... ► Ataques destrutivos: Chernobyl, Sexta- feira 13 e Madonna ► Motivação dos atacantes: demonstrar habilidades ► Hoje... ► Ataques multi-estágio, silenciosos: construção de botnets ► Foco em aplicações e controle remoto ► Motivação dos atacantes: dinheiro ► Principal alvo: usuários 63 % clicam “OK” sem ler a mensagem (IDG Now, 25 de setembro de 2008)
  10. 10. Controles de TIPage 11 Como estas ameaças podem nos impactar? Impactos Imagem e consumidor • Referência da Marca • Reputação • Confiança Financeiros • Queda de ações • Redução de vendas • Pagamentos de multas Produtividade • Navegação improdutiva • SPAM • Sistemas desligados • Muitos chamados de Help desk Conformidade • Falha no atendimento de leis e normas • Quebra de contratos
  11. 11. Controles de TIPage 12 Casos da Vida Real Fonte: EXAME.com
  12. 12. Controles de TIPage 13 Casos da Vida Real ► Ford tem projeto (B402) e plano estratégico divulgados (2005) ► Supostamente gravados em um CD ► Projeto cancelado (R$ 800 mi) ► Vazamento da prova do ENEM (2009) ► Pessoal envolvido com a impressão ► Prejuízo de R$ 40 mi ► Hacker trocou senha e pediu R$ 350 mil (2008) ► Órgão federal ► 24 horas sem operar, 3.000 pessoas sem acesso ► “Mortos-vivos” da previdência (atual) ► Inconsistência na atualização/verificação dos óbitos ► R$ 1,67 bi em fraudes
  13. 13. Controles de TIPage 14 Riscos ► Dicionários ► Risco: “possibilidade de perda” ► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança” ► (ISC)² ► Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades” Conceitos
  14. 14. Controles de TIPage 15 Riscos Composição Vulnerabildade Ameaça Impacto Ativo explora causando Risco exposição Probabilidade Impacto
  15. 15. Controles de TIPage 16 Riscos Aplicação de controles Vulnerabildade Ameaça Impacto Ativo Controle bloqueia elimina reduz
  16. 16. Controles de TIPage 17 Riscos Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  17. 17. Controles de TIPage 18 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  18. 18. Controles de TIPage 19 Controles ► As demandas de segurança são definidas a partir dos: ► Objetivos de negócio ► Riscos ► Compromissos normativos, contratuais e legais Definindo as demandas de segurança Demandas de Segurança Auditoria Implantação Políticas e Gestão
  19. 19. Controles de TIPage 20 Controles ► Diretivas e objetivos de controle ► Definição de macro processos ► Alinhamento com as demandas de segurança com o auxílio de documentos como: ► CobiT ► ISO 27000 ► ISO 20000 (ITIL) ► ISO 15408 (Common Criteria) ► Exemplo de texto: ► “Os sistemas da informação precisam ser mantidos íntegros” Políticas e Gestão Demandas de Segurança Auditoria Implantação Políticas e Gestão
  20. 20. Controles de TIPage 21 Aplicação de Controles ► Definições técnicas e operacionais ► Tem como referência: ► Documentos do NIST ► Guias OWASP, OSA ► Guias de configurações de fabricantes ► Exemplo de texto: ► “Os sistemas da informação precisam utilizar antivírus, configurado da maneira xyz” Implantação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  21. 21. Controles de TIPage 22 Controles ► A auditoria revisa os controles e permite a melhoria contínua de processos, serviços e da segurança ► Referências ► Planos de auditoria do ISACA ► Exemplo de texto: ► “Os sistemas estão mantendo sua integridade?” ► “Vamos analisar os logs e os padrões de configuração do antivírus” Validação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  22. 22. Controles de TIPage 23 Controles ► A segurança de sistemas e das informações é obtida com a implantação de controles, que podem ser distribuídos em três categorias: ► Gerenciais ► Técnicos ► Controles estabelecidos por sistemas ► Operacionais ► Controles realizados por seres humanos ► Natureza dos controles ► Preventivos ► Detectivos ► Corretivos • Gerenciamento de riscos • Governança Gerenciais • Controle de acesso • Proteção de dados • Proteção de comunicações Técnicos • Conscientização • Continuidade • Gestão de configurações e mudanças Operacionais
  23. 23. Controles de TIPage 24 AmbientedeSegurançadeTI ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  24. 24. Controles de TIPage 25 Genérico
  25. 25. Controles de TIPage 26 Dados
  26. 26. Controles de TIPage 27 Nuvem ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  27. 27. Controles de TIPage 28 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  28. 28. Controles de TIPage 29 Auditoria ► Financeiras ► Operacionais ► Integradas ► Administrativas ► Sobre Sistemas da Informação ► Especializadas/ Atestação ► Forenses Preparação do relatório Alinhamento dos resultados Interpretação de resultados Execução Planejamento pré-auditoria Definição do escopo Definição dos objetivos Definição do tema Tipos e etapas
  29. 29. Controles de TIPage 30 Auditoria Concluir a auditoria Alinhar expectativas Estabelecer recomendações Realizar testes substantivos Testes detalhados Orientação para as boas práticas Realizar testes de conformidade Definir controles-chaves Testes de aderência às políticas e procedimentos Entender os controles internos Ambiente Procedimentos Riscos Auto-avaliações Obter informações e planejar Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos Orientação aos riscos
  30. 30. Controles de TIPage 31 Control Self Assessment 0. Identificar processos e objetivos 1. Identificar e avaliar riscos 2. Identificar e avaliar controles 3. Desenvolver questionários 4. Coletar e analisar respostas Panorama e Benefícios 6. Ações 5. Treinamento e conscientização • Detecção antecipada de riscos • Melhoria dos controles internos • Redução de custos em controles • Melhoria da pontuação de auditoria
  31. 31. Controles de TIPage 32 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  32. 32. Controles de TIPage 33 Discussão ► A segurança é um processo contínuo ► Planejar, Fazer, Verificar, Agir ► Os objetivos do negócio e seus riscos devem ser os balizadores para a definição de controles que serão: ► Formalizados em políticas ► Implantados em sistemas e processos ► Verificados pela auditoria
  33. 33. Controles de TIPage 34 Discussão Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  34. 34. Obrigado! Thiago Branquinho, CISA, CRISC thiago@branq.net

×