Testes de Invasão
Como ajudam a alcançar a conformidade
filipe@clavis.com.br
@filipevillar
filipevillar
Diretor Comercial
Diretor de Auditorias
Segurança da Informação desde 2006...
segurança da informação
não está relacionada à atividade fim
nasce na área de TI
não é bem vista
não tem a força necessári...
eventos
anteriores
eventos
anteriores
imposição
de negócio
C Confidencialidade
I Integridade
D Disponibilidade
A Autenticidade
I Irretratabilidade
C Confidencialidade
I
D
A
I
acesso somente às
entidades legítimas
C
I Integridade
D
A
I
a informação mantenha
as características
C
I
D Disponibilidade
A
I
esteja sempre disponível
para o uso legítimo
C
I
D
A Autenticidade
I
a informação é proveniente
da fonte anunciada
C
I
D
A
I Irretratabilidade
impossibilidade de negar
a autoria
Objetivos dos Padrões
Interoperabilidade Requisitos mínimos de segurança
ineficiência, indisponibilidade, quebra de sigilo...
Objetivos dos PadrõesPadrões
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléi...
leis e normas
resoluções e regulamentações
boas práticas de mercado
leis e normas
133 itens de controle
apresenta os requisitos de auditoria da família ISO27000
A.10.3.2 – Aceitação de sistemas
A.12.5.2 -...
Padrões
Internacionais
Padrões
Internacionais
SOx
PCI DSS
CFR
HIPAA
The Sarbanes-Oxley Act
The Sarbanes-Oxley Act
Michael G. Oxley
Republicano
Paul SARBANES
Democrata
The Sarbanes-Oxley Act
Sec.
302
transfere para a alta administração
a responsabilidade por garantir a
confiabilidade, acur...
PCI - DSS
Indústria de Carões de Pagamento - Padrão de Segurança de Dados
Redação baseada na ISO27001
Composta por 12 requerimentos de controle
Está em sua v.2
Realizar testes de penetração externos e
internos pelo menos uma vez por ano e após
qualquer upgrade ou modificação signif...
CFR - FDA
Reduzir a quantidade de papel
Aumentar a eficiência dos processos
Reduzir os custos
21 Code of Federal Regulatio...
CFR - FDA
21 Code of Federal Regulations (CFR) part 11
When any change (even a small change) is made to the software, the ...
HIPAA - Health Insurance
Portability and Accountability Act
Garantir a confidencialidade, integridade e disponibilidade de...
HIPAA - Health Insurance
Portability and Accountability Act
Provedores de serviços de
dados
Sistema de medicamentos
com de...
HIPAA - Health Insurance
Portability and Accountability Act
dados cadastrais
prontuários
históricos médicos
diagnósticos
r...
HIPAA - Health Insurance
Portability and Accountability Act
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
...
HIPAA - Health Insurance
Portability and Accountability Act
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
...
cenário brasileiro
RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
requisitos de um programa de
certificação para sistemas de registro
eletrôn...
RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
Troca de Informação de Saúde Suplementar – TISS
resoluções a respeito de
pr...
premissas
políticas
especificações técnicas
Foco na
interoperabilidade
Considera aspectos
de segurança
Ênfase em protocolos
e algoritmos (pouca
visão sistêmica)
Não o...
BACEN
BMFBOVESPA
Programa de Qualificação Operacional
Qualidade de serviços oferecidos por
operadoras
Requisitos “grosseir...
Qual estratégia adotar?
implementar processos
implementar controles
auditar
a auditoria tradicional não garante que
todos os procedimentos sejam sempre
seguidos
...testes de invasão operam com
a "fotografia" completa dos
sistemas
Auditorias são baseadas
em amostras...
Teste de
Invasão
Ponto de vista do atacante real
Medida concreta de segurança
Foco nos aspectos técnicos/tecnológicos
Diag...
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Re...
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Te...
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Te...
Leis, normas, padrões e resoluções
requisitos mínimos
senso comum
direcionamento
mensurados
acompanhados
verificados
contr...
Obrigado!
HTTP://CLAV.IS/SLIDESHARE
HTTP://CLAV.IS/TWITTER
HTTP://CLAV.IS/FACEBOOK
HTTP://CLAV.IS/YOUTUBE
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Próximos SlideShares
Carregando em…5
×

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

1.086 visualizações

Publicada em

Palestra: Testes de Invasão ajudam a alcançar a conformidade – PCI-DSS, SOX, ISO 27001 entre outras – Filipe Villar, Diretor de Auditorias.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.086
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
68
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

  1. 1. Testes de Invasão Como ajudam a alcançar a conformidade
  2. 2. filipe@clavis.com.br @filipevillar filipevillar Diretor Comercial Diretor de Auditorias Segurança da Informação desde 2006 Responsável técnico em diversos projetos de GRC Responsável pelas atividades de auditoria interna Coordenador de Segurança da Informação na ANS GRC, auditoria de segurança e continuidade de negócios
  3. 3. segurança da informação não está relacionada à atividade fim nasce na área de TI não é bem vista não tem a força necessária em geral
  4. 4. eventos anteriores
  5. 5. eventos anteriores imposição de negócio
  6. 6. C Confidencialidade I Integridade D Disponibilidade A Autenticidade I Irretratabilidade
  7. 7. C Confidencialidade I D A I acesso somente às entidades legítimas
  8. 8. C I Integridade D A I a informação mantenha as características
  9. 9. C I D Disponibilidade A I esteja sempre disponível para o uso legítimo
  10. 10. C I D A Autenticidade I a informação é proveniente da fonte anunciada
  11. 11. C I D A I Irretratabilidade impossibilidade de negar a autoria
  12. 12. Objetivos dos Padrões Interoperabilidade Requisitos mínimos de segurança ineficiência, indisponibilidade, quebra de sigilo, fraude, danos à imagem
  13. 13. Objetivos dos PadrõesPadrões
  14. 14. ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVMSUSEP ISO/IEC27005 BS25999 TISS Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 TISS Basiléia IIResoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis TISS SOX CVM SUSEP ISO/IEC27005 BS25999 Basiléia II Resoluções Normativas Decretos e leis ISO31000 SOX CVM SUSEP
  15. 15. leis e normas resoluções e regulamentações boas práticas de mercado
  16. 16. leis e normas
  17. 17. 133 itens de controle apresenta os requisitos de auditoria da família ISO27000 A.10.3.2 – Aceitação de sistemas A.12.5.2 - Análise crítica técnica das aplicações após mudanças no sistema operacional A.10.3 - Planejamento e aceitação dos sistemas A.10.5 - Segurança em processos de desenvolvimento e de suporte
  18. 18. Padrões Internacionais
  19. 19. Padrões Internacionais SOx PCI DSS CFR HIPAA
  20. 20. The Sarbanes-Oxley Act
  21. 21. The Sarbanes-Oxley Act Michael G. Oxley Republicano Paul SARBANES Democrata
  22. 22. The Sarbanes-Oxley Act Sec. 302 transfere para a alta administração a responsabilidade por garantir a confiabilidade, acurácia e completude das informações constantes em seus relatórios financeiros trata de controles internos e auditorias externas Sec. 404
  23. 23. PCI - DSS Indústria de Carões de Pagamento - Padrão de Segurança de Dados
  24. 24. Redação baseada na ISO27001 Composta por 12 requerimentos de controle Está em sua v.2
  25. 25. Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente) Req.11.3
  26. 26. CFR - FDA Reduzir a quantidade de papel Aumentar a eficiência dos processos Reduzir os custos 21 Code of Federal Regulations (CFR) part 11 • Forma de armazenamento • Tempo de guarda de dados • Assinatura digital • Uso de criptografia Código Federal de Regulação
  27. 27. CFR - FDA 21 Code of Federal Regulations (CFR) part 11 When any change (even a small change) is made to the software, the validation status of the software needs to be re-established. Whenever software is changed, a validation analysis should be conducted not just for validation of the individual change, but also to determine the extent and impact of that change on the entire software system. 4.7. SOFTWARE VALIDATION AFTER A CHANGE http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm Código Federal de Regulação
  28. 28. HIPAA - Health Insurance Portability and Accountability Act Garantir a confidencialidade, integridade e disponibilidade de informações médicas protegidas eletronicamente que ele cria, recebe, mantém ou transmite; Proteja-se contra quaisquer ameaças razoavelmente esperadas e os riscos para a segurança ou a integridade de informações médicas protegidas eletronicamente e Proteja-se contra os usos razoavelmente previstos ou divulgação de tais informações que não sejam permitidos pela Regra de Privacidade. Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  29. 29. HIPAA - Health Insurance Portability and Accountability Act Provedores de serviços de dados Sistema de medicamentos com desconto (farmácia legal) Planos de saúde Profissionais de atendimento de saúde informação Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  30. 30. HIPAA - Health Insurance Portability and Accountability Act dados cadastrais prontuários históricos médicos diagnósticos resultados de exames outros.... Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
  31. 31. HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade NIST SP 800-66
  32. 32. HIPAA - Health Insurance Portability and Accountability Act Lei de Portabilidade de Seguro de Saúde e de Responsabilidade Sec. 164.308(a)(8) Conduct Evaluations Collect and document all needed information. Collection methods may include the use of interviews, surveys, and outputs of automated tools, such as access control auditing tools, system logs, and results of penetration testing Conduct penetration testing (where trusted insiders attempt to compromise system security for the sole purpose of testing the effectiveness of security controls), if reasonable and appropriate.
  33. 33. cenário brasileiro
  34. 34. RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 requisitos de um programa de certificação para sistemas de registro eletrônico em saúde. Controle de sessão de usuário Autorização e controle de acesso Comunicação remota Segurança de Dados Auditoria
  35. 35. RESOLUÇÃO CFM Nº 1.821, DE 11 DE JULHO DE 2007 Troca de Informação de Saúde Suplementar – TISS resoluções a respeito de prontuário do paciente validade aos documentos eletrônicos no País cadastros nacionais em Saúde padrão TISS para troca de informações
  36. 36. premissas políticas especificações técnicas
  37. 37. Foco na interoperabilidade Considera aspectos de segurança Ênfase em protocolos e algoritmos (pouca visão sistêmica) Não obrigatório para todos, exceto APF
  38. 38. BACEN BMFBOVESPA Programa de Qualificação Operacional Qualidade de serviços oferecidos por operadoras Requisitos “grosseiros” de segurança Portaria 3380 Segurança operacional
  39. 39. Qual estratégia adotar?
  40. 40. implementar processos implementar controles auditar
  41. 41. a auditoria tradicional não garante que todos os procedimentos sejam sempre seguidos
  42. 42. ...testes de invasão operam com a "fotografia" completa dos sistemas Auditorias são baseadas em amostras...
  43. 43. Teste de Invasão Ponto de vista do atacante real Medida concreta de segurança Foco nos aspectos técnicos/tecnológicos Diagnóstico de “momento” Metodologia mais flexível/adaptável
  44. 44. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente)
  45. 45. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Perform a periodic technical and nontechnical evaluation, based initially upon the standards implemented under this rule and subsequently, in response to environmental or operational changes affecting the security of electronic protected health information, which establishes the extent to which an entity’s security policies and procedures meet the requirements of this subpart
  46. 46. Teste de Invasão Testes de invasão são obrigatórios em alguns casos E os atuais padrões de segurança PCI DSS, req. 11.3 Testes de invasão são frequentemente citados HIPAA Security Rule Teste de invasão estão, quase sempre, evidenciando que um processo não foi seguido ou um requisito não foi atendido.
  47. 47. Leis, normas, padrões e resoluções requisitos mínimos senso comum direcionamento mensurados acompanhados verificados controles
  48. 48. Obrigado! HTTP://CLAV.IS/SLIDESHARE HTTP://CLAV.IS/TWITTER HTTP://CLAV.IS/FACEBOOK HTTP://CLAV.IS/YOUTUBE

×