SlideShare uma empresa Scribd logo

ISO 17799 e segurança da informação

Transferir como PPTX, PDF
ceife
ceife

Apresentado na faculdade Ftec de Porto Alegre/RS em 2018

Software
1 de 55
ISO 17799 :2005 SEMESTRE: 01/2018 - GA INSTITUIÇÃO: FTEC - PORTO ALEGRE Qualidade e Auditoria de Tecnologia da Informação PROFESSOR: LUCIANO BIASI CARLOS MAYER PAGLIARINI FELIPE DA CONCEIÇÃO SILVA GABRIEL CORREIA GONÇALVES MARCOS SALIN MICHELLE ZALTRON
BS 7799 Foi criada e dividida em 3 partes: BS 7799-1: 1995; – Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação; BS 7799-3: 2005; – Análise e Gerenciamento de Riscos; BS 7799-2: 1999; – Sistema de Gerenciamento da Segurança da Informação;
ISO/IEC 17799 A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1; • Em 2005 foi revisada pela ISO e IEC;
Família ISO 27000 ISO 27001 Principal conceito Requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI
HISTÓRICO 95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 BS 7799 pt 1 Nova BS 7799 ISO 17799:2000 ISO 27002: 2013 ISO 17799: 2005 ISO 27002:2005 BS 7799 pt 2 Nova BS 7799 ISO 27001:2005 ISO 27001: 2013
Explicações prévias CONTROLES ✘ Medidas ✘ Ações OBJETIVOS DA CATEGORIA ✘ Motivação DIRETRIZES ✘ Descrição
SEÇÃO 12 Aquisição, desenvolvimento e manutenção de sistemas
Beneficios ✘ Conscientização sobre segurança da informação; ✘ Controle de ativos e informações sensíveis; ✘ Oportunidade de identificar e corrigir pontos fracos;
CATEGORIAS SEÇÃO 12 1 Requisitos 2 Processamento 3 Criptografia 6 Vulnerabilidades 5 Desenvolvimento e suporte 4 Arquivos
1. Requisitos
“Objetivo: Garantir que segurança é parte integrante de sistemas de informação.
Análise e Especificação dos Requisitos de Segurança ✘ Criação de controles automáticos e manuais ✘ Avaliação do valor dos ativos de informação para o negócio ✘ Identificação dos controles de segurança antes do desenvolvimento e/ou implementação ✘ Análise de produtos comprados ✘ Consideração do uso de produtos de terceiros
2. Processamento
“Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações.
Validação dos dados de entrada ✘ Limitação do campo (tipo tamanho); ✘ Verificação periódica; https://www.regextester.com/
Controle do processamento interno ✘ Minimizar riscos; ✘ Verificações;
Controle do processamento interno MINIMIZAR RISCOS ✘ Verificações para garantir que os programas: ○ Sejam rodado na ordem correta; ○ Terminem em caso de falha; ✘ Proteção contra buffer overflow;
Controle do processamento interno VERIFICAÇÕES ✘ Validação de dados; ✘ Validação de autenticidade; ✘ Verificação do tempo correto da aplicação;
“Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de processamento ou por atos deliberados. Controle do processamento interno
Integridade de mensagens ✘ Autenticação de mensagens através de criptografia;
Validação de dados de saída ✘ Verificar plausibilidade; ✘ Verificação periódica;
“Tipicamente, sistemas [...] tendo sido efetuadas as validações apropriadas [...] as saídas estarão sempre corretas. Contudo [...] podem ainda produzir dados de saída incorretos sob certas circunstâncias. Validação de dados de saída
3. Criptografia
“Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos
Política para o uso de controles criptográficos ✘ Abordagem gerencial ✘ Identificação do nível requerido de proteção ✘ Uso de criptografia em dispositivos móveis ✘ Gerenciamento de chaves e recuperação de informações cifradas ✘ Definição de papéis e responsabilidades, no gerenciamento e controle das chaves ✘ Definição de um padrão
Gerenciamento de chaves ✘ Gerar chaves para diferentes aplicações ✘ Gerar e obter certificados de chaves públicas ✘ Distribuir chaves para os usuários devidos ✘ Armazenar chaves e forma de como se obtém acesso a ela ✘ Mudar ou atualizar chaves se assim for necessário ✘ Revogar chaves, caso elas tenham sido comprometidas ✘ Recuperar chaves perdidas ou corrompidas ✘ Manter registros e auditoria das atividades relacionadas ao gerenciamento das chaves
Exemplo prático ✘ Padronização ISO/IEC 7816 (métodos de acesso, segurança) ✘ Uso da tecnologia mifare ✘ Transmissão RFID ✘ Criptografia de autenticação 3DES
4. Arquivos
“Objetivo: Garantir a segurança de arquivos de sistema..
Controle de arquivos ✘ Verificar a atualização do software operacional por administradores; ✘ Verificação sistemas operacionais e aplicativos somente sejam implementados após testes; ✘ Verificação de uma estratégia de retorno às condições anteriores ✘ Manter versões antigas dos softwares arquivadas e devidamente documentadas
“Um exemplo são as versões estáveis dos linux que sempre avisam quando as atualizações podem implicar em algum tipo de risco para segurança do sistema, diferente do que acontece quando é a versão estável.
Proteção dos dados para teste de sistema Controle ✘ os procedimentos de controle de acesso, aplicáveis aos aplicativos de sistema em ambiente operacional, sejam também aplicados aos aplicativos de sistema em ambiente de teste; ✘ seja obtida autorização cada vez que for utilizada uma cópia da informação operacional para uso de um aplicativo em teste; ✘ a informação operacional seja apagada do aplicativo em teste imediatamente após completar o teste; ✘ a cópia e o uso de informação operacional sejam registrados de forma a prover uma trilha para auditoria.
“No ambiente de teste existem algumas ferramentas que auxiliam nessa etapa e posteriormente para o ambiente de homologação e produção as diretrizes para implementação citadas acima são facilmente implementadas quando se tem ferramentas para tal. Um exemplo clássico é o controle de versões do e homologação da ferramenta GIT também do linux, que tem diversas opções segurança.
Controle de acesso ao código-fonte de programa ✘ Convém que os procedimentos de controle de acesso sejam os mesmos do ambiente de produção; ✘ Convém que seja obtida autorização; ✘ Convém se sejam registrados qualquer procedimento adotado.
“Um exemplo seria os desenvolvedores de uma aplicação/sistema tem acesso somente às pastas e arquivos do projeto em que estão inseridos, assim acontece também em um ambiente de hospedagem compartilhada, desenvolvedor/usuário somente tem acesso em sua pasta no servidor não sendo possível a sua navegação nas pastas de outros projetos/pastas de outros clientes/usuários. Restringindo o seu acesso nos códigos-fonte dos projetos/aplicações por terceiros.
5. Desenvolvimento e suporte
“Objetivo: Manter a segurança de sistemas de aplicações e da informação.
“Os gerentes responsáveis pelas aplicações: ✘ também devem ser responsáveis pela segurança dos ambientes ✘ assegurar que as requisições de implementação/mudanças sejam analisadas criticamente
Procedimentos para Controle de Mudanças ✘ Controlar utilizando procedimentos formais de controle de mudanças ○ Nas solicitações de implementação/mudanças ○ Em aquisição de novos sistemas ou grandes mudanças em sistemas existentes
Procedimentos para Controle de Mudanças ✘ Registro dos níveis acordados de autorização ✘ Aprovação formal e aceitação das mudanças ✘ Controle de versão ✘ Implementação em horários apropriados ✘ Atualização da documentação do sistema e operacional ✘ Teste de novos softwares em um ambiente separado dos ambientes de produção e de desenvolvimento
Análise Crítica Técnica APÓS Mudanças no Sistema Operacional ✘ Analisar e testar as aplicações críticas de negócios para garantir que não haverá nenhum impacto ○ Manutenção dos controles atuais ○ Existência de suporte ○ Comunicação prévia ○ Execução no plano de continuidade de negócio
Restrições sobre mudanças em pacotes de software ✘ Não incentivadas e limitadas às mudanças necessárias, que todas as mudanças sejam estritamente controladas. ○ Comprometimento de controle embutidos ○ Garantia do fornecedor - manutenção padrão ○ Impacto manutenções futuras após mudança ○ Manter software original, aplicar as mudanças numa cópia ○ Reaplicar mudanças testadas em atualizações futuras
Vazamento de informações ✘ Mascarar comportamento e comunicação (evitar que deduzem informações); ✘ Utilizar softwares reconhecidos pela segurança (ISO 15408); ✘ Monitoramento de usuários e do sistema;
Desenvolvimento terceirizado de software ✘ Licenciamento, propriedade do código e propriedade intelectual; ✘ Certificar a qualidade; ✘ Direitos de acesso para auditoria; ✘ Testes antes da instalação;
6. Vulnerabilidades
“Objetivo: Reduzir riscos da exploração de vulnerabilidades técnicas conhecidas.
Controle de vulnerabilidades técnicas - Controle ✘ Informações obtidas em tempo hábil; ✘ Avaliação de exposição da organização em relação às vulnerabilidades; ✘ Avaliação de medidas a serem tomadas;
Controle de vulnerabilidades técnicas - diretrizes ✘ Inventário completo e atualizado dos ativos; ✘ Informação específica para apoio à gestão de vulnerabilidades; ✘ Tomada de ações no devido tempo;
Controle de vulnerabilidades técnicas - adicionais ✘ Considerado crítico para as organizações; ✘ Subfunção da gestão de mudanças;
EMPRESAS CERTIFICADAS
Plusoft - crm "A certificação aumenta a confiança dos clientes e amplia nossa visibilidade internacional. O reconhecimento faz com que os clientes fiquem ainda mais seguros e tranquilos na hora de escolher a Plusoft, inclusive sob o ponto de vista de segurança dos dados", diz Anderson Crispim, Information Security Officer da Plusoft.
Nuvem da Totvs “A obtenção do selo reforça os investimentos e inovações direcionados para a nova nuvem e a Plataforma MultiCloud, lançadas recentemente. Essa certificação traz uma série de benefícios aos nossos clientes, além de nos colocar em um seleto grupo de empresas brasileiras, demonstrando nosso compromisso com a segurança da informação e possibilitando a expansão da nossa atuação em nuvem”, comenta Weber Canova, vice-presidente de inovação e tecnologia da Totvs.
That’s all!
REFERÊNCIAS ✘ https://www.baguete.com.br/noticias/02/03/2018/seguranca-plusoft-e-iso-27001 ✘ https://www.baguete.com.br/noticias/07/11/2017/nuvem-da-totvs-recebe-iso-27001 ✘ http://www.ebah.com.br/content/ABAAAfdgcAK/norma-iso-17799-seguranca-informacao ✘ http://cirt.net ✘ ISO 17799:2005

Recomendados

Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesMarcelo Martins
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Auditoria de Processos
Auditoria de ProcessosAuditoria de Processos
Auditoria de ProcessosRafael Esnarriaga
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2GrupoAlves - professor
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 

Recomendados

Gestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesGestão de Patches e Vulnerabilidades
Gestão de Patches e VulnerabilidadesMarcelo Martins
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Auditoria de Processos
Auditoria de ProcessosAuditoria de Processos
Auditoria de ProcessosRafael Esnarriaga
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2GrupoAlves - professor
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Norpack - Um Caso de Sucesso
Norpack - Um Caso de SucessoNorpack - Um Caso de Sucesso
Norpack - Um Caso de Sucessosapaixao
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Introdução ao Conceito de Safety Case
Introdução ao Conceito de Safety CaseIntrodução ao Conceito de Safety Case
Introdução ao Conceito de Safety CaseFernando Moraes
 
Minicurso de Controles Internos
Minicurso de Controles InternosMinicurso de Controles Internos
Minicurso de Controles InternosDominus Auditoria
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaatsPortal_do_Estudante_aud
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Como aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles InternosComo aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles InternosCompanyWeb
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2MIGUEL_VILACA
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasSecretaria de Estado da Tributação do RN
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Shield Consulting
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 

Mais conteúdo relacionado

Mais procurados

Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Norpack - Um Caso de Sucesso
Norpack - Um Caso de SucessoNorpack - Um Caso de Sucesso
Norpack - Um Caso de Sucessosapaixao
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Introdução ao Conceito de Safety Case
Introdução ao Conceito de Safety CaseIntrodução ao Conceito de Safety Case
Introdução ao Conceito de Safety CaseFernando Moraes
 
Minicurso de Controles Internos
Minicurso de Controles InternosMinicurso de Controles Internos
Minicurso de Controles InternosDominus Auditoria
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Como aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles InternosComo aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles InternosCompanyWeb
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2MIGUEL_VILACA
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Shield Consulting
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 

Mais procurados (20)

Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
 
Norpack - Um Caso de Sucesso
Norpack - Um Caso de SucessoNorpack - Um Caso de Sucesso
Norpack - Um Caso de Sucesso
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Introdução ao Conceito de Safety Case
Introdução ao Conceito de Safety CaseIntrodução ao Conceito de Safety Case
Introdução ao Conceito de Safety Case
 
Minicurso de Controles Internos
Minicurso de Controles InternosMinicurso de Controles Internos
Minicurso de Controles Internos
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Como aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles InternosComo aplicar o COSO para SOX e Controles Internos
Como aplicar o COSO para SOX e Controles Internos
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de Sistemas
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...[White paper] detectando problemas em redes industriais através de monitorame...
[White paper] detectando problemas em redes industriais através de monitorame...
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 

Semelhante a ISO 17799 e segurança da informação

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis Científica
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis Científica
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINFAllyson Barros
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...SegInfo
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 

Semelhante a ISO 17799 e segurança da informação (20)

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software Livre
 
Qualidade e Teste de Software
Qualidade e Teste de SoftwareQualidade e Teste de Software
Qualidade e Teste de Software
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IV
 
Katálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IVKatálysis - Webshow - Automação Laboratorial IV
Katálysis - Webshow - Automação Laboratorial IV
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Software Seguro
Software SeguroSoftware Seguro
Software Seguro
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINF
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 

ISO 17799 e segurança da informação

  • 1. ISO 17799 :2005 SEMESTRE: 01/2018 - GA INSTITUIÇÃO: FTEC - PORTO ALEGRE Qualidade e Auditoria de Tecnologia da Informação PROFESSOR: LUCIANO BIASI CARLOS MAYER PAGLIARINI FELIPE DA CONCEIÇÃO SILVA GABRIEL CORREIA GONÇALVES MARCOS SALIN MICHELLE ZALTRON
  • 2. BS 7799 Foi criada e dividida em 3 partes: BS 7799-1: 1995; – Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação; BS 7799-3: 2005; – Análise e Gerenciamento de Riscos; BS 7799-2: 1999; – Sistema de Gerenciamento da Segurança da Informação;
  • 3. ISO/IEC 17799 A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1; • Em 2005 foi revisada pela ISO e IEC;
  • 4. Família ISO 27000 ISO 27001 Principal conceito Requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI
  • 5. HISTÓRICO 95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 BS 7799 pt 1 Nova BS 7799 ISO 17799:2000 ISO 27002: 2013 ISO 17799: 2005 ISO 27002:2005 BS 7799 pt 2 Nova BS 7799 ISO 27001:2005 ISO 27001: 2013
  • 6.
  • 7. Explicações prévias CONTROLES ✘ Medidas ✘ Ações OBJETIVOS DA CATEGORIA ✘ Motivação DIRETRIZES ✘ Descrição
  • 8. SEÇÃO 12 Aquisição, desenvolvimento e manutenção de sistemas
  • 9. Beneficios ✘ Conscientização sobre segurança da informação; ✘ Controle de ativos e informações sensíveis; ✘ Oportunidade de identificar e corrigir pontos fracos;
  • 12. “Objetivo: Garantir que segurança é parte integrante de sistemas de informação.
  • 13. Análise e Especificação dos Requisitos de Segurança ✘ Criação de controles automáticos e manuais ✘ Avaliação do valor dos ativos de informação para o negócio ✘ Identificação dos controles de segurança antes do desenvolvimento e/ou implementação ✘ Análise de produtos comprados ✘ Consideração do uso de produtos de terceiros
  • 15. “Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações.
  • 16. Validação dos dados de entrada ✘ Limitação do campo (tipo tamanho); ✘ Verificação periódica; https://www.regextester.com/
  • 17. Controle do processamento interno ✘ Minimizar riscos; ✘ Verificações;
  • 18. Controle do processamento interno MINIMIZAR RISCOS ✘ Verificações para garantir que os programas: ○ Sejam rodado na ordem correta; ○ Terminem em caso de falha; ✘ Proteção contra buffer overflow;
  • 19. Controle do processamento interno VERIFICAÇÕES ✘ Validação de dados; ✘ Validação de autenticidade; ✘ Verificação do tempo correto da aplicação;
  • 20. “Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de processamento ou por atos deliberados. Controle do processamento interno
  • 21. Integridade de mensagens ✘ Autenticação de mensagens através de criptografia;
  • 22. Validação de dados de saída ✘ Verificar plausibilidade; ✘ Verificação periódica;
  • 23. “Tipicamente, sistemas [...] tendo sido efetuadas as validações apropriadas [...] as saídas estarão sempre corretas. Contudo [...] podem ainda produzir dados de saída incorretos sob certas circunstâncias. Validação de dados de saída
  • 25. “Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos
  • 26. Política para o uso de controles criptográficos ✘ Abordagem gerencial ✘ Identificação do nível requerido de proteção ✘ Uso de criptografia em dispositivos móveis ✘ Gerenciamento de chaves e recuperação de informações cifradas ✘ Definição de papéis e responsabilidades, no gerenciamento e controle das chaves ✘ Definição de um padrão
  • 27. Gerenciamento de chaves ✘ Gerar chaves para diferentes aplicações ✘ Gerar e obter certificados de chaves públicas ✘ Distribuir chaves para os usuários devidos ✘ Armazenar chaves e forma de como se obtém acesso a ela ✘ Mudar ou atualizar chaves se assim for necessário ✘ Revogar chaves, caso elas tenham sido comprometidas ✘ Recuperar chaves perdidas ou corrompidas ✘ Manter registros e auditoria das atividades relacionadas ao gerenciamento das chaves
  • 28. Exemplo prático ✘ Padronização ISO/IEC 7816 (métodos de acesso, segurança) ✘ Uso da tecnologia mifare ✘ Transmissão RFID ✘ Criptografia de autenticação 3DES
  • 30. “Objetivo: Garantir a segurança de arquivos de sistema..
  • 31. Controle de arquivos ✘ Verificar a atualização do software operacional por administradores; ✘ Verificação sistemas operacionais e aplicativos somente sejam implementados após testes; ✘ Verificação de uma estratégia de retorno às condições anteriores ✘ Manter versões antigas dos softwares arquivadas e devidamente documentadas
  • 32. “Um exemplo são as versões estáveis dos linux que sempre avisam quando as atualizações podem implicar em algum tipo de risco para segurança do sistema, diferente do que acontece quando é a versão estável.
  • 33. Proteção dos dados para teste de sistema Controle ✘ os procedimentos de controle de acesso, aplicáveis aos aplicativos de sistema em ambiente operacional, sejam também aplicados aos aplicativos de sistema em ambiente de teste; ✘ seja obtida autorização cada vez que for utilizada uma cópia da informação operacional para uso de um aplicativo em teste; ✘ a informação operacional seja apagada do aplicativo em teste imediatamente após completar o teste; ✘ a cópia e o uso de informação operacional sejam registrados de forma a prover uma trilha para auditoria.
  • 34. “No ambiente de teste existem algumas ferramentas que auxiliam nessa etapa e posteriormente para o ambiente de homologação e produção as diretrizes para implementação citadas acima são facilmente implementadas quando se tem ferramentas para tal. Um exemplo clássico é o controle de versões do e homologação da ferramenta GIT também do linux, que tem diversas opções segurança.
  • 35. Controle de acesso ao código-fonte de programa ✘ Convém que os procedimentos de controle de acesso sejam os mesmos do ambiente de produção; ✘ Convém que seja obtida autorização; ✘ Convém se sejam registrados qualquer procedimento adotado.
  • 36. “Um exemplo seria os desenvolvedores de uma aplicação/sistema tem acesso somente às pastas e arquivos do projeto em que estão inseridos, assim acontece também em um ambiente de hospedagem compartilhada, desenvolvedor/usuário somente tem acesso em sua pasta no servidor não sendo possível a sua navegação nas pastas de outros projetos/pastas de outros clientes/usuários. Restringindo o seu acesso nos códigos-fonte dos projetos/aplicações por terceiros.
  • 38. “Objetivo: Manter a segurança de sistemas de aplicações e da informação.
  • 39. “Os gerentes responsáveis pelas aplicações: ✘ também devem ser responsáveis pela segurança dos ambientes ✘ assegurar que as requisições de implementação/mudanças sejam analisadas criticamente
  • 40. Procedimentos para Controle de Mudanças ✘ Controlar utilizando procedimentos formais de controle de mudanças ○ Nas solicitações de implementação/mudanças ○ Em aquisição de novos sistemas ou grandes mudanças em sistemas existentes
  • 41. Procedimentos para Controle de Mudanças ✘ Registro dos níveis acordados de autorização ✘ Aprovação formal e aceitação das mudanças ✘ Controle de versão ✘ Implementação em horários apropriados ✘ Atualização da documentação do sistema e operacional ✘ Teste de novos softwares em um ambiente separado dos ambientes de produção e de desenvolvimento
  • 42. Análise Crítica Técnica APÓS Mudanças no Sistema Operacional ✘ Analisar e testar as aplicações críticas de negócios para garantir que não haverá nenhum impacto ○ Manutenção dos controles atuais ○ Existência de suporte ○ Comunicação prévia ○ Execução no plano de continuidade de negócio
  • 43. Restrições sobre mudanças em pacotes de software ✘ Não incentivadas e limitadas às mudanças necessárias, que todas as mudanças sejam estritamente controladas. ○ Comprometimento de controle embutidos ○ Garantia do fornecedor - manutenção padrão ○ Impacto manutenções futuras após mudança ○ Manter software original, aplicar as mudanças numa cópia ○ Reaplicar mudanças testadas em atualizações futuras
  • 44. Vazamento de informações ✘ Mascarar comportamento e comunicação (evitar que deduzem informações); ✘ Utilizar softwares reconhecidos pela segurança (ISO 15408); ✘ Monitoramento de usuários e do sistema;
  • 45. Desenvolvimento terceirizado de software ✘ Licenciamento, propriedade do código e propriedade intelectual; ✘ Certificar a qualidade; ✘ Direitos de acesso para auditoria; ✘ Testes antes da instalação;
  • 47. “Objetivo: Reduzir riscos da exploração de vulnerabilidades técnicas conhecidas.
  • 48. Controle de vulnerabilidades técnicas - Controle ✘ Informações obtidas em tempo hábil; ✘ Avaliação de exposição da organização em relação às vulnerabilidades; ✘ Avaliação de medidas a serem tomadas;
  • 49. Controle de vulnerabilidades técnicas - diretrizes ✘ Inventário completo e atualizado dos ativos; ✘ Informação específica para apoio à gestão de vulnerabilidades; ✘ Tomada de ações no devido tempo;
  • 50. Controle de vulnerabilidades técnicas - adicionais ✘ Considerado crítico para as organizações; ✘ Subfunção da gestão de mudanças;
  • 52. Plusoft - crm "A certificação aumenta a confiança dos clientes e amplia nossa visibilidade internacional. O reconhecimento faz com que os clientes fiquem ainda mais seguros e tranquilos na hora de escolher a Plusoft, inclusive sob o ponto de vista de segurança dos dados", diz Anderson Crispim, Information Security Officer da Plusoft.
  • 53. Nuvem da Totvs “A obtenção do selo reforça os investimentos e inovações direcionados para a nova nuvem e a Plataforma MultiCloud, lançadas recentemente. Essa certificação traz uma série de benefícios aos nossos clientes, além de nos colocar em um seleto grupo de empresas brasileiras, demonstrando nosso compromisso com a segurança da informação e possibilitando a expansão da nossa atuação em nuvem”, comenta Weber Canova, vice-presidente de inovação e tecnologia da Totvs.
  • 55. REFERÊNCIAS ✘ https://www.baguete.com.br/noticias/02/03/2018/seguranca-plusoft-e-iso-27001 ✘ https://www.baguete.com.br/noticias/07/11/2017/nuvem-da-totvs-recebe-iso-27001 ✘ http://www.ebah.com.br/content/ABAAAfdgcAK/norma-iso-17799-seguranca-informacao ✘ http://cirt.net ✘ ISO 17799:2005

Notas do Editor

  1. aquisicao , desenvolvimentoe manutencao de sist de infor.
  2. Foi escrita pelo Departamento de Indústria e Comércio do Governo do Reino Unido.
  3. SGSI - Sistemas de Gestão de Segurança da Informação
  4. Teste de anotação
  5. Gerencial: quais as informações de negócio devem ser protegidas. Identificação: com base na avaliação de riscos, leva-se em consideração o tipo, a força e a qualidade do algoritmo de criptografia requerido. Dispositivos móveis: uso em celulares e PDA’s (palm, handheald). Gerenciamento de chaves: métodos para lidar com a proteção das chaves criptográficas, recuperação das informações cifradas, no caso de chaves perdidas ou danificadas. Papéis: Definir as responsabilidades da implementação da política e pelo gerenciamento das chaves (criação, revogação). Padrão: Padrão a ser adotado para a efetiva implementação em toda a organização.
  6. Gerar chaves Gerar e obter certificados Distribuir chaves Armazenar chaves Mudar ou atualizar chaves Revogar chaves Recuperar chaves Manter registro e auditoria
  7. Mifare: tecnologia smartcard (cartão inteligente) Rfid: transmissão via sinais de rádio 3DES (Triple DES)
  8. Vesões estáveis e não estáveis e até quando tem suporte.
  9. GIT, Subversion, tortoise
  10. Servidores WEB
  11. Marco 2018
  12. Nov 2017