SlideShare uma empresa Scribd logo
1 de 100
Baixar para ler offline
Auditoria em
Tecnologia da
Informação
Por André Campos
• Especialista em Segurança da Informação (UNESA)
• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)
• MCSO – Módulo Security Office
• Auditor Líder BS 7799 – Det Norske Veritas
• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.
AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com segurança da informação.
O uso é permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos
autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.
AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Crédito das imagens
Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando
Riscos”.
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de
lucro.
AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Bibliografia
Sistemas de segurança da informação – Controlando Riscos;
Campos, André; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
• Ativo de informação
• Ameaça
• Vulnerabilidade
• Incidente
• Probabilidade
• Impacto
• Risco
• Incidente
5AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Ativo de informação
A informação é elemento essencial para todos os
processos de negócio da organização, sendo,
portanto, um bem ou ativo de grande valor.
DADOS INFORMAÇÃO CONHECIMENTO
6AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Propriedades de segurança da informação
INTEGRIDADE
DISPONIBILIDADE
CONFIDENCIALIDADE
A segurança da
informação é garantida
pela preservação de
três aspectos
essenciais:
confidencialidade,
integridade, e
disponibilidade (CID).
7AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Confidencialidade
O princípio da
confidencialidade é
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso à informação.
8AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Integridade
O princípio da
integridade é
respeitado quando a
informação acessada
está completa, sem
alterações e, portanto,
confiável.
9AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Disponibilidade
O princípio da
disponibilidade é
respeitado quando a
informação está
acessível, por pessoas
autorizadas, sempre
que necessário.
10AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Vulnerabilidade
São as fraquezas
presentes nos ativos de
informação, que podem
causar, intencionalmente
ou não, a quebra de um
ou mais dos três
princípios de segurança
da informação:
confidencialidade,
integridade, e
disponibilidade.
11AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Ameaça
A ameaça é um agente
externo ao ativo de
informação, que
aproveitando-se das
vulnerabilidades deste
ativo, poderá quebrar a
confidencialidade,
integridade ou
disponibilidade da
informação suportada ou
utilizada por este ativo.
12AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Probabilidade
A probabilidade é a
chance de uma falha de
segurança ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negócio e o
grau das ameaças que
possam explorar estas
vulnerabilidades.
13AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Impacto
O impacto de um
incidente são as
potenciais
conseqüências que este
incidente possa causar
ao negócio da
organização.
14AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
O risco é a relação entre a probabilidade e o
impacto. É a base para a identificação dos
pontos que demandam por investimentos em
segurança da informação.
15AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conceitos básicos de SI
Incidente de Segurança da Informação
16AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Quando uma ameaça
explora vulnerabilidades
de um ativo de
informação, violando
uma de suas
características de
segurança (CID), temos
o incidente de
segurança da
informação. Este
incidente tem uma
chance de acontecer, e
se acontecer gera um
determinado impacto ou
prejuízo.
Incidente de segurança
Negócio da organização
Informação
Ativos de informação
VulnerabilidadesAmeaças
Confidencialidade
Integridade
Disponibilidade
Grau
vulnerabilidade
Grau ameaça
PROBABILIDADE IMPACTO
Como implementar um sistema de segurança
Conhecer os conceitos
sobre segurança da
informação não significa
necessariamente saber
garantir esta segurança.
Muitos têm experimentado
esta sensação quando
elaboram seus planos de
segurança e acabam não
atingindo os resultados
desejados.
17AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
Um gerente de segurança da
informação de verdade trabalha com
fatos, com resultados de análise e
exames da organização em questão.
A partir destes resultados ele
estabelece um conjunto de ações
coordenadas no sentido de garantir a
segurança da informação; um
conjunto de ações, um conjunto de
mecanismos integrados entre si, de
fato, um sistema de segurança da
informação.
18AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
A implantação de um
sistema de segurança da
informação não é uma
tarefa trivial.
O modelo proposto pela
Qualidade (família ISO) é
o caminho adequado
superar este desafio.
Este modelo é baseado
no conceito de melhoria
contínua (PDCA).
Planejar
(PLAN)
Implementar
(DO)
Monitorar
(CHECK)
Melhorar
(ACT)
19AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
A primeira fase é de planejamento (PLAN). Nesta fase, é
definido o escopo e abrangência esperada para o sistema
de segurança da informação, e realizada a análise de risco,
e feito o planejamento para o tratamento do risco.
D e finiç ã o
d o e sc o p o
A n á lise
d o risc o
Pla n e ja m e nto d e
tra ta m e nto d o risc o
20AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
Escopo
ORGANIZAÇÃO
Vendas
Recursos Humanos
Produção
Tecnologia da
Informação
Escopo inicial.
Escopo ampliado.
Escopo final.
Nem sempre é fácil
implantar o sistema em
toda a organização. Por
isso, definir escopos
sucessivamente
maiores talvez seja o
caminho para se chegar
ao objetivo final:
segurança da
informação em toda a
organização.
21AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
Análise de risco
Manter
serviços de
rede
Firewall
Tecnologia da
informação
Servidor de
arquivos
Servidor de
correio
Invasor
interno
Variação
de
energia
Vírus
Invasor
externo
Bloqueio
portas TCP
Nobreak
Sistema
antivírus
Controle
de acesso
físico
M
édio
Alto
Médio
Depois do escopo definido, é a
hora de pensar que controles
implementar.
Para otimizar esta decisão é
imprescindível realizar a análise
de risco. Ela apontará para as
prioridades dentro do escopo.
A análise deve ser feita
considerando as seguintes
dimensões: processos,
tecnológica, ambiental, e
pessoas.
22AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
23AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Análise de risco
Como implementar um sistema de segurança
Análise de risco
Os processos,
tecnologias, ambientes e
pessoas são, de fato,
ativos de informação; ou
categorizações destes
ativos.
As pessoas ocupam uma
posição central entre
estas categorias, pois
sua importância é maior
do que a das outras.
24AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
O que fazer com o risco?
Com o risco já identificado, é
importante decidir o que fazer
com ele. É possível:
• Evitar
• Controlar
• Transferir
• Aceitar
Isto fica claro na declaração
de aplicabilidade.
25AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
Declaração de aplicabilidade
26AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Como implementar um sistema de segurança
Implementando o sistema
Após a etapa de planejamento, o próximo passo é executar
o planejado. Isto envolve o planejamento da fase de
implementação, a execução e o controle da implementação,
e por fim, o encerramento da implementação.
Planejar a
implementação
Implementar
Encerrar a
implementação
Controlar a
implementação
27AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Monitorando o sistema de segurança
28AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Monitorar
controles
Reavaliar
sistema
Reavaliar
riscos
Realizar
auditorias
Realizar
registros
O monitoramento ou
controle do sistema
implica em avaliar
sistematicamente se os
controles implementados
estão atendendo as
expectativas originais.
Para tanto, os processos
ao lado precisam ser
executados com
regularidade.
Controles de segurança da informação
A implementação de um
sistema de segurança da
informação se dá pela
instalação de controles
específicos nas mais
diversas áreas da
organização, sempre
pensando nas dimensões
de processos,
tecnologias, ambientes e
pessoas.
29AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Controles de segurança da informação
30AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
•Política (PSI)
•Estrutura organizacional
•Controle de acesso
•Pessoas
•Segurança física
•Segurança lógica
•Operação de sistemas
•Desenvolvimento de
sistemas
•Continuidade do negócio
•Incidentes de segurança
•Aspectos legais
Política de segurança
da informação
31AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Controles de segurança da informação
Política
DIRETRIZESNORMASPROCEDIMENTOS
D1
N2 N3N1
P4 P5P3P2P1 P6 P7
A política de
segurança da
informação (PSI)
deve estar alinhada
com os objetivos de
negócio da
organização.
Ela é estruturada em
diretrizes, normas e
procedimentos.
32AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Controles de segurança da informação
Política
33AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Estabelecer o
método de
trabalho
Avaliar as
questões de
negócio, legais e
contratuais
Definir contexto
estratégico
e de risco
Construir a
política
Aprovar a
política
Divulgar a
política
Legislação
Regulamento interno
Contratos
Definições gerais
Objetivos e metas
Diretrizes
Responsabilidades
Definições de registro de incidente
Frequência de revisão
Critérios de risco
Risco aceitável
A elaboração e implantação
de uma política de segurança
é sem si mesmo um projeto a
ser gerido.
Os passos essenciais são
demonstrados na figura ao
lado.
O governo federal está
obrigado por decreto a possuir
e respeitar uma política de
segurança, conforme Decreto
3.505 de 13 de junho de 2000.
Controles de segurança da informação
34AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Ser
simples
Definir
responsabilidades
Definir
metas
Definir
penalidades
Ser
consistente
Ser
objetiva
ACESSÍVEL
CONHECIDA
APROVADA
DINÂMICA
EXEQUÍVEL
FATORESINTERNOSFATORESEXTERNOS
Política
A política possui
características, ou
fatores, internos e
externos, que
precisam ser
respeitados por
ocasião de sua
elaboração e
implantação.
Estrutura
organizacional
35AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Estrutura organizacional
Escritório de segurança
ESCRITÓRIO DE
SEGURANÇA DA
INFORMACÃO
COMITÊ
COORDENADOR
Security Officer
IMPLEMENTAÇÃO
AUDITORIA
INTERNA
Deve haver uma área designada
na organização para cuidar da
segurança da informação em
tempo integral.
O escritório de segurança
gerencia o sistema de
segurança e faz a interlocução
entre o fórum de segurança e o
comitê gestor de segurança.
36AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Estrutura organizacional
Fórum de segurança
D ir e t o r d e R e c u r s o s H u m a n o s
D ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã o
D ir e t o r d e V e n d a s
D ir e t o r d e P r o d u ç ã o
D ir e t o r d e L o g ís t ic a
R e p r e s e n t a ç ã o e x e c u t i v a
ORGANIZAÇÀO
F Ó R U M D E
S E G U R A N Ç A D A
I N F O R M A Ç Ã O
O fórum de segurança da informação é quem decide, em última análise,
sobre a implantação ou não dos controles de segurança da informação.
Este fórum, em geral, é a própria diretoria da organização, ou uma
comissão por ela indicada.
37AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Estrutura organizacional
Comitê gestor
O comitê gestor de
segurança da informação é
uma estrutura matricial
formada por representantes
das áreas mais relevantes
da organização.
Este grupo ajuda a detectar
necessidades e a implantar
os controles.
A coordenação do grupo,
em geral, é do Gerente de
Segurança.
38AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Classificação da
informação
39AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Classificação da informação
As informações possuem
valor e usos diferenciados, e
portanto, precisam de graus
diferenciados de proteção.
Cada tipo de proteção possui
seu próprio custo, e classificar
a informação é um esforço
para evitar o desperdício de
investimento ao se tentar
proteger toda a informação.
40AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Classificação da informação
41AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A informação deve ser classificada em nível
corporativo, e não por aplicação ou
departamento. Os principais benefícios são:
• CID é fortalecido pelos controles
implementados em toda a organização;
• O investimento em proteção é otimizado;
• A qualidade das decisões é aumentada, já
que as informações são mais confiáveis;
• A organização controla melhor suas
informações e pode fazer uma re-análise
periódica de seus processos e informações.
Classificação da informação
Para começar, algumas perguntas:
Existe um patrocinador para o projeto
de classificação?
O que você está tentando proteger, e
do quê?
Existe algum requerimento regulatório
a ser considerado? (Decreto 4.554/2003)
O negócio entende sua
responsabilidade sobre a informação?
Existem recursos disponíveis para o
projeto?
42AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Classificação da informação
A política de segurança da informação
deve contemplar as políticas de
classificação. Alguns critérios essenciais
precisam ser definidos nesta política:
• As definições para cada uma das
classificações;
• Os critérios de segurança para cada
classificação, tanto em termos de dados
quanto em termos de software;
• As responsabilidades e obrigações de
cada grupo de indivíduos responsável pela
implementação da classificação e por seu
uso.
43AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Classificação da informação
Ainda, a política precisa estabelecer as
seguintes regras:
• A informação é um bem e precisa ser
protegido;
• Os gerentes são proprietários da
informação;
• A área de TI é custodiante da
informação;
• Obrigações e responsabilidades para os
proprietários da informação;
• Propor um conjunto mínimo de controles
que devem ser estabelecidos.
44AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das pessoas
45AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão de pessoas
46AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
As pessoas são o elemento
central de um sistema de
segurança da informação.
Os incidentes de segurança da
informação sempre envolve
pessoas, quer no lado das
vulnerabilidades exploradas,
quer no lado das ameaças que
exploram estas
vulnerabilidades.
Pessoas são suscetíveis à
ataques de engenharia social.
Gestão de pessoas
A engenharia social é a
forma de ataque mais
comum para este tipo de
ativo.
Engenharia social é o
processo de mudar o
comportamento das
pessoas de modo que suas
ações sejam previsíveis,
objetivando obter acesso a
informações e sistemas não
autorizados.
47AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão de pessoas
Um ataque de engenharia
social é realizado em três
fases:
1 – Levantamento de
informações;
2 – Seleção do alvo;
3 – Execução do ataque.
48AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão de pessoas
Devem ser criadas políticas
para aplicação antes do
contrato de pessoal.
• Papéis e
responsabilidades;
• Seleção;
• Termos e condições de
contratação.
49AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão de pessoas
Políticas para aplicação durante contrato de pessoal.
• Responsabilidades da Direção;
• Conscientização e treinamento;
• Processo disciplinar.
50AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão de pessoas
E políticas para aplicação no
encerramento do contrato de
pessoal.
• Encerramento de
atividades;
• Devolução de ativos;
• Retirada dos direitos de
acesso.
51AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Segurança física
52AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Segurança física
53AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
As políticas de segurança
física devem proteger os
ativos de informação que
sustentam os negócios da
organização.
Atualmente a informação
está distribuída fisicamente
em equipamentos móveis,
tais como laptops, celulares,
PDAs, memory keys,
estações de trabalho,
impressoras, telefones,
FAXs, entre outros.
Segurança física
54AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A segurança física precisa garantir a
segurança da informação para todos
estes ativos.
Esta segurança deve ser aplicada
para as seguintes categorias de
ativos:
• Sistemas estáticos, que são
instalações em estruturas fixadas no
espaço;
• Sistemas móveis, que são aqueles
instalados em veículos ou
mecanismos móveis;
• Sistemas portáteis, que são
aqueles que podem ser operados
em qualquer lugar.
Segurança física
55AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Diversas ameaças que podem
explorar vulnerabilidades físicas,
tais como:
Naturais – Enchentes,
tempestades, erupções
vulcânicas, temperaturas
extremas, alta umidade...
Sistemas de apoio – Comunicação
interrompida, falta de energia,
estouro em tubulações...
Humanas – Explosões, invasões
físicas, sabotagens, contaminação
química...
Eventos políticos – Ataque
terrorista, espionagem, greves...
Segurança física
A segurança
física requer
que a área
seja
protegida, e
uma forma
simples de
enxergar a
segurança
física é
definindo
perímetro de
segurança, ou
camadas de
acesso.
Sala dos computadores
servidores
Suporte operacional
Atendimento
ao cliente
Recepção
1 2
3
4Porta, e
equipamento
para
digitação de
senha e
leitura de
impressão
digital
Porta, e
equipamento
para
digitação de
senha
Porta
Porta e
recepcionista
56AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Segurança física
57AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
As seguintes políticas de segurança física
devem ser consideradas:
• Controle de entrada física;
• Segurança em escritórios, salas e
instalações;
• Proteção contra ameaças externas e
naturais;
• Proteção das áreas críticas;
• Acesso de pessoas externas;
• Instalação e proteção dos equipamentos;
• Equipamentos fora da organização;
• Estrutura de rede;
• Manutenção dos equipamentos;
• Reutilização e alienação de equipamentos;
• Remoção de propriedade.
Gestão das operações
de TI
58AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
59AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
As operações de TI
envolve o controle sobre
o hardware, mídias,
gestão de privilégios,
rede, segurança Internet,
métodos de transmissão
de informações, entre
outros.
O objetivo é garantir o
CID em todas estas
operações.
Políticas devem ser
criadas para este fim.
Gestão das operações de TI
As responsabilidades
operacionais devem ser
atribuídas, e
procedimentos precisam
ser escritos, aprovados e
publicados.
60AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
Os serviços operacionais
de tecnologia da
informação prestados
por terceiros precisam
ser regulados e
devidamente
gerenciados.
61AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
A necessidade de
sistemas precisa ser
planejada de acordo com
as necessidades
demonstradas nos
processos de negócio.
Estes sistemas devem
passar por avaliação e
homologação antes da
entrada definitiva em
operação.
62AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
Uma política de cópia de
segurança (backup) deve
ser estabelecida.
As operações de backup
precisam ser
gerenciadas.
63AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
A segurança das
operações em rede é um
importante fator a ser
considerado na política
de segurança da
informação.
64AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
Uma política para
manuseio de mídias
deve ser elaborada.
Questões tais como o
gerenciamento, o
descarte, procedimentos
para tratamento da
informação, e a
segurança para os
documentos de sistema,
são importantes nesta
política.
65AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
A troca de informações
deve ser considerada.
Questões importantes
são: estabelecer
procedimentos para
troca de informações,
mídias em trânsito,
mensagens eletrônicas,
sistemas de informações
do negócio, entre outros.
66AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão das operações de TI
67AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Por fim, é importante considerar
o monitoramento de todas as
operações em TI.
Para tanto, devem existir
registros de auditoria,
monitoramento do uso dos
sistemas, proteção das
informações de registro (log),
registro de log tanto de operador
quanto de administrador, registro
em log das falhas, e mecanismo
de sincronização dos relógios
das máquinas.
Controle de acesso
lógico
68AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Controle de acesso lógico
69AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
É preciso elaborar uma
política de controle de
acesso, que apontará
para os requisitos de
negócio e para as regras
de controle de acesso.
Na idade média já existia
o conceito de controle de
acesso, quando uma
senha ou frase secreta
era a chave para entrar
em um determinado
recinto.
Controle de acesso lógico
O conceito de controle
de acesso baseia-se em
dois princípios:
1 – Separação de
responsabilidades;
2 – Privilégios mínimos.
70AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Controle de acesso lógico
71AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
O conceito de separação
de responsabilidades
implica na separação de
um determinado processo
de modo que cada parte
possa ser realizada por
uma pessoa diferente.
Isto obriga os
colaboradores a interagir
para concluir um
determinado processo,
diminuindo as chances de
fraudes.
Controle de acesso lógico
72AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
O conceito de privilégio
mínimo implica na concessão
apenas dos privilégios
mínimos necessários para
que uma pessoa realize suas
atividades.
Isto evita o conhecimento de
outras possibilidades, que
eventualmente poderiam levar
a incidentes de segurança da
informação. Há um termo em
inglês para este conceito:
“need-to-know”.
Controle de acesso lógico
73AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A política de controle de acesso deve
abranger pelo menos os seguintes
temas:
1 – Definição dos requisitos de negócio
para controle de acesso;
2 – Gerenciamento dos acessos pelos
usuários;
3 – Definição das responsabilidades
dos usuários;
4 – Controle de acesso à rede;
5 – Controle de acesso ao sistema
operacional;
6 – Controle de acesso aos sistemas
de informação;
7 – Computação móvel e trabalho
remoto.
Desenvolvimento e
aquisição de sistemas
74AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Aquisição, desenvolvimento e manutenção de sistemas
75AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A segurança dos dados e
informações em sistemas é um
dos mais importantes objetivos de
um sistema de segurança da
informação.
Os procedimentos de
desenvolvimento destes sistemas
são uma questão vital para a
segurança, para a manutenção
do CID das informações.
A política de desenvolvimento de
sistemas é o mecanismos para
garantir estes resultados.
Aquisição, desenvolvimento e manutenção de sistemas
A aquisição de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
A utilização de códigos abertos
disponibilizados por comunidades
é um dos perigos muitas vezes
ignorados.
A política de sistemas precisa
garantir a diminuição destas
vulnerabilidades.
76AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Aquisição, desenvolvimento e manutenção de sistemas
O desenvolvimento e manutenção
de sistemas também contém
diversas vulnerabilidades.
Se não houver uma política
explicita que oriente este
desenvolvimento,
vulnerabilidades poderão ser
introduzidas no levantamento de
requisitos, na construção do
projeto, e na implantação do
sistema.
77AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Aquisição, desenvolvimento e manutenção de sistemas
78AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A política de sistemas de informação
deve se preocupar com os seguintes
assuntos:
1 - Definição dos requisitos de
segurança para sistemas;
2 – Processamento correto nas
aplicações;
3 – Controles criptográficos;
4 - Segurança dos arquivos de
sistema;
5 – Segurança nos processos de
desenvolvimento e manutenção;
6 – Gestão das vulnerabilidades
técnicas.
Gestão de incidentes
de segurança
79AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão dos incidentes de segurança da informação
Apesar de todos os
controles
implementados,
eventualmente ocorrerão
incidentes de segurança
da informação.
Estes incidentes podem
ser uma indicação de
que alguns dos controles
não estão sendo
eficazes, e este é um
bom motivo para
reavaliar os mesmos.
80AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Gestão dos incidentes de segurança da informação
A política de segurança
da informação deve se
preocupar com pelo
menos os seguintes
assuntos sobre gestão
de incidentes:
1 – Notificação e registro
dos incidentes;
2 – Tratamento dos
incidentes e melhoria
contínua.
81AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade
de negócio
82AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
O plano de continuidade de negócio
é de fato uma política para que os
negócios da organização não sejam
interrompidos por incidentes de
segurança da informação.
Isto significa que esta política deve
garantir a existência de
procedimentos de preparação, teste,
e manutenção de ações específicas
para proteger os processos críticos
do negócio.
Um PCN é constituído de 5 fases.
83AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
1 - Iniciação e
gestão do
projeto.
Nesta fase são
estabelecidos o
gerente e a equipe
do projeto, que
elaboram o plano
deste projeto.
84AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
2 - Análise de
impacto para o
negócio.
Nesta fase são
identificados os
tempos críticos dos
processos essenciais
da organização, e
determinados os
tempos máximos de
tolerância de parada
para estes processos
(downtime).
85AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
3 – Estratégias de
recuperação.
Nesta fase são identificadas
e selecionadas as
alternativas adequadas de
recuperação para cada tipo
de incidente, respeitando os
tempos definidos na etapa
anterior (análise de impacto
para o negócio).
86AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
4 – Elaboração dos
planos.
Nesta fase são construídos
os documentos, os planos
de continuidade
propriamente ditos. Estes
documentos são resultados
da análise de impacto para
o negócio, e estratégias de
recuperação.
87AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Plano de continuidade do negócio (PCN)
5 – Teste, manutenção e
treinamento.
Nesta fase são
estabelecidos os processos
para teste das estratégias
de recuperação,
manutenção do PCN, e
garantia de que os
envolvidos estão cientes de
suas responsabilidades e
devidamente treinados nas
estratégias de recuperação.
88AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os
aspectos legais
89AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
90AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Todo o sistema de
segurança da informação,
com todos os seus
controles, deve estar em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e
com as eventuais
regulamentações internas
da organização, bem como
com as orientações de
normatização e
regulamentação do
mercado.
Conformidade com os aspectos legais
A política de segurança
precisa garantir que seja
avaliada a legislação
vigente, que existam
mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi
cometido, e que estes
procedimentos possibilitem
a preservação e coleta das
evidências incriminatórias.
91AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
Os principais incidentes que
podem ter implicações legais:
1 – Viroses e códigos
maliciosos;
2 – Erro humano;
3 – Ataques terroristas;
4 – Acesso não autorizado;
5 – Desastres naturais;
6 – Mau funcionamento de
hardware e software;
7 – Serviços indisponíveis.
92AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
93AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Mas como os crimes podem
envolver computadores?
Crime apoiado por
computador. Fraudes,
pornografia infantil, etc.
Crime específico de
computador. DOS, sniffers,
roubo de senhas, etc.
Crimes em que o computador
é um mero elemento. Lista de
clientes de traficantes, etc.
Vejamos alguns incidentes históricos...
Conformidade com os aspectos legais
Equity Funding. Considerado
o primeiro crime grande
envolvendo computadores. A
organização usou seus
computadores para criar
falsos registros e outros
instrumentos para aumentar o
valor da organização no
mercado.
Os auditores, que checavam
todas as evidencias nos
computadores ao invés de
avaliar as transações reais,
foram enganados por muito
tempo.
94AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
412 Gang. Em 1982 um
grupo auto-intitulado
“412 Gang” ganhou fama
nacional nos Estados
Unidos quando derrubou
o servidor de banco de
dados do “Memorial
Sloan Kettering Cancer
Center”, e depois invadiu
os computadores de uma
organização militar
chamada “Los Alamos”,
no Novo México.
95AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
Kevin Mitnick. Sem dúvida,
trata-se do mais famoso e
reconhecido hacker de todos
os tempos. Foi o mestre na arte
da engenharia social, técnica
que empregou extensivamente
para obter acesso a muitos
sistemas de computores.
Hoje ele presta serviços de
segurança da informação, e
seu site é o
www.kevinmitnick.com.
96AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
97AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
A política de segurança deve
garantir procedimentos para
identificação e adequação à
legislação vigente.
Isto inclui os direitos de
propriedade intelectual, a
proteção aos registros
organizacionais, a proteção de
dados e privacidade de
informações pessoais, a
prevenção de mau uso dos
recursos de processamento da
informação, e a regulamentação
dos controles de criptografia.
Conformidade com os aspectos legais
Conformidade entre as
políticas de segurança
da informação e
também a
conformidade técnica.
Isto significa que
devem ser
consideradas as
políticas e normas de
segurança, e a
avaliação técnica
destas normas.
98AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Conformidade com os aspectos legais
E finalmente as
questões referentes à
auditoria.
A política deve garantir
que existam controles
de auditoria, e
proteção às
ferramentas de
auditoria, o que
garantirá a
confiabilidade destas
ferramentas.
99AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
• Especialista em Segurança da Informação (UNESA)
• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)
• MCSO – Módulo Security Office
• Auditor Líder BS 7799 – Det Norske Veritas
• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.
AUDITORIA EM
TECNOLOGIA DA
INFORMAÇÃO
Professor
André Campos

Mais conteúdo relacionado

Mais procurados

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaCentus Consultoria
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 

Mais procurados (18)

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Palestra
PalestraPalestra
Palestra
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 

Destaque

GTI/ERP 07/12 Apresentação da Disciplina
GTI/ERP 07/12 Apresentação da DisciplinaGTI/ERP 07/12 Apresentação da Disciplina
GTI/ERP 07/12 Apresentação da DisciplinaFelipe Pereira
 
Revolução industrial 2010
Revolução industrial 2010Revolução industrial 2010
Revolução industrial 2010BriefCase
 
Aula 01 sociologia do trabalho
Aula 01 sociologia do trabalhoAula 01 sociologia do trabalho
Aula 01 sociologia do trabalhoDaniel Alves
 
A revolução técnico científica
A revolução técnico científicaA revolução técnico científica
A revolução técnico científicaCharlles Moreira
 

Destaque (6)

GTI/ERP 07/12 Apresentação da Disciplina
GTI/ERP 07/12 Apresentação da DisciplinaGTI/ERP 07/12 Apresentação da Disciplina
GTI/ERP 07/12 Apresentação da Disciplina
 
Cultura e tecnologia quem manda em quem?
Cultura e tecnologia quem manda em quem?Cultura e tecnologia quem manda em quem?
Cultura e tecnologia quem manda em quem?
 
Revolução industrial 2010
Revolução industrial 2010Revolução industrial 2010
Revolução industrial 2010
 
Tecnologia Da Informaçao
Tecnologia Da InformaçaoTecnologia Da Informaçao
Tecnologia Da Informaçao
 
Aula 01 sociologia do trabalho
Aula 01 sociologia do trabalhoAula 01 sociologia do trabalho
Aula 01 sociologia do trabalho
 
A revolução técnico científica
A revolução técnico científicaA revolução técnico científica
A revolução técnico científica
 

Semelhante a Auditoria em tecnologia da informação

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação   sys value - v2013.2Oferta de sensibilização à segurança da informação   sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2vicente nunes
 
Introdução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxIntrodução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxJadna Almeida
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024paulohunter8636
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar  - Wednesday, September 16, 2015Be Aware Symantec Webinar  - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 

Semelhante a Auditoria em tecnologia da informação (20)

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação   sys value - v2013.2Oferta de sensibilização à segurança da informação   sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2
 
Introdução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxIntrodução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptx
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
Administraçao de sistemas aula 2
Administraçao de sistemas  aula 2Administraçao de sistemas  aula 2
Administraçao de sistemas aula 2
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar  - Wednesday, September 16, 2015Be Aware Symantec Webinar  - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 

Auditoria em tecnologia da informação

  • 1. Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) • Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ) • MCSO – Módulo Security Office • Auditor Líder BS 7799 – Det Norske Veritas • Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 2. Auditoria em Tecnologia da Informação Por André Campos Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com segurança da informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 3. Auditoria em Tecnologia da Informação Por André Campos Crédito das imagens Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com. Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi aplicada sobre elas. Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando Riscos”. Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 4. Auditoria em Tecnologia da Informação Por André Campos Bibliografia Sistemas de segurança da informação – Controlando Riscos; Campos, André; Editora Visual Books, 2005. Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti, John / Hare, Chris; Editora Auerbach, 2004. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 5. Conceitos básicos de SI • Ativo de informação • Ameaça • Vulnerabilidade • Incidente • Probabilidade • Impacto • Risco • Incidente 5AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 6. Conceitos básicos de SI Ativo de informação A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor. DADOS INFORMAÇÃO CONHECIMENTO 6AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 7. Conceitos básicos de SI Propriedades de segurança da informação INTEGRIDADE DISPONIBILIDADE CONFIDENCIALIDADE A segurança da informação é garantida pela preservação de três aspectos essenciais: confidencialidade, integridade, e disponibilidade (CID). 7AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 8. Conceitos básicos de SI Confidencialidade O princípio da confidencialidade é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação. 8AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 9. Conceitos básicos de SI Integridade O princípio da integridade é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável. 9AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 10. Conceitos básicos de SI Disponibilidade O princípio da disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário. 10AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 11. Conceitos básicos de SI Vulnerabilidade São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação: confidencialidade, integridade, e disponibilidade. 11AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 12. Conceitos básicos de SI Ameaça A ameaça é um agente externo ao ativo de informação, que aproveitando-se das vulnerabilidades deste ativo, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por este ativo. 12AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 13. Conceitos básicos de SI Probabilidade A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades. 13AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 14. Conceitos básicos de SI Impacto O impacto de um incidente são as potenciais conseqüências que este incidente possa causar ao negócio da organização. 14AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 15. Conceitos básicos de SI Risco RISCO=IMPACTO*PROBABILIDADE O risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação. 15AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 16. Conceitos básicos de SI Incidente de Segurança da Informação 16AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Quando uma ameaça explora vulnerabilidades de um ativo de informação, violando uma de suas características de segurança (CID), temos o incidente de segurança da informação. Este incidente tem uma chance de acontecer, e se acontecer gera um determinado impacto ou prejuízo. Incidente de segurança Negócio da organização Informação Ativos de informação VulnerabilidadesAmeaças Confidencialidade Integridade Disponibilidade Grau vulnerabilidade Grau ameaça PROBABILIDADE IMPACTO
  • 17. Como implementar um sistema de segurança Conhecer os conceitos sobre segurança da informação não significa necessariamente saber garantir esta segurança. Muitos têm experimentado esta sensação quando elaboram seus planos de segurança e acabam não atingindo os resultados desejados. 17AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 18. Como implementar um sistema de segurança Um gerente de segurança da informação de verdade trabalha com fatos, com resultados de análise e exames da organização em questão. A partir destes resultados ele estabelece um conjunto de ações coordenadas no sentido de garantir a segurança da informação; um conjunto de ações, um conjunto de mecanismos integrados entre si, de fato, um sistema de segurança da informação. 18AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 19. Como implementar um sistema de segurança A implantação de um sistema de segurança da informação não é uma tarefa trivial. O modelo proposto pela Qualidade (família ISO) é o caminho adequado superar este desafio. Este modelo é baseado no conceito de melhoria contínua (PDCA). Planejar (PLAN) Implementar (DO) Monitorar (CHECK) Melhorar (ACT) 19AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 20. Como implementar um sistema de segurança A primeira fase é de planejamento (PLAN). Nesta fase, é definido o escopo e abrangência esperada para o sistema de segurança da informação, e realizada a análise de risco, e feito o planejamento para o tratamento do risco. D e finiç ã o d o e sc o p o A n á lise d o risc o Pla n e ja m e nto d e tra ta m e nto d o risc o 20AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 21. Como implementar um sistema de segurança Escopo ORGANIZAÇÃO Vendas Recursos Humanos Produção Tecnologia da Informação Escopo inicial. Escopo ampliado. Escopo final. Nem sempre é fácil implantar o sistema em toda a organização. Por isso, definir escopos sucessivamente maiores talvez seja o caminho para se chegar ao objetivo final: segurança da informação em toda a organização. 21AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 22. Como implementar um sistema de segurança Análise de risco Manter serviços de rede Firewall Tecnologia da informação Servidor de arquivos Servidor de correio Invasor interno Variação de energia Vírus Invasor externo Bloqueio portas TCP Nobreak Sistema antivírus Controle de acesso físico M édio Alto Médio Depois do escopo definido, é a hora de pensar que controles implementar. Para otimizar esta decisão é imprescindível realizar a análise de risco. Ela apontará para as prioridades dentro do escopo. A análise deve ser feita considerando as seguintes dimensões: processos, tecnológica, ambiental, e pessoas. 22AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 23. Como implementar um sistema de segurança 23AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Análise de risco
  • 24. Como implementar um sistema de segurança Análise de risco Os processos, tecnologias, ambientes e pessoas são, de fato, ativos de informação; ou categorizações destes ativos. As pessoas ocupam uma posição central entre estas categorias, pois sua importância é maior do que a das outras. 24AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 25. Como implementar um sistema de segurança O que fazer com o risco? Com o risco já identificado, é importante decidir o que fazer com ele. É possível: • Evitar • Controlar • Transferir • Aceitar Isto fica claro na declaração de aplicabilidade. 25AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 26. Como implementar um sistema de segurança Declaração de aplicabilidade 26AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 27. Como implementar um sistema de segurança Implementando o sistema Após a etapa de planejamento, o próximo passo é executar o planejado. Isto envolve o planejamento da fase de implementação, a execução e o controle da implementação, e por fim, o encerramento da implementação. Planejar a implementação Implementar Encerrar a implementação Controlar a implementação 27AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 28. Monitorando o sistema de segurança 28AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Monitorar controles Reavaliar sistema Reavaliar riscos Realizar auditorias Realizar registros O monitoramento ou controle do sistema implica em avaliar sistematicamente se os controles implementados estão atendendo as expectativas originais. Para tanto, os processos ao lado precisam ser executados com regularidade.
  • 29. Controles de segurança da informação A implementação de um sistema de segurança da informação se dá pela instalação de controles específicos nas mais diversas áreas da organização, sempre pensando nas dimensões de processos, tecnologias, ambientes e pessoas. 29AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 30. Controles de segurança da informação 30AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos •Política (PSI) •Estrutura organizacional •Controle de acesso •Pessoas •Segurança física •Segurança lógica •Operação de sistemas •Desenvolvimento de sistemas •Continuidade do negócio •Incidentes de segurança •Aspectos legais
  • 31. Política de segurança da informação 31AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 32. Controles de segurança da informação Política DIRETRIZESNORMASPROCEDIMENTOS D1 N2 N3N1 P4 P5P3P2P1 P6 P7 A política de segurança da informação (PSI) deve estar alinhada com os objetivos de negócio da organização. Ela é estruturada em diretrizes, normas e procedimentos. 32AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 33. Controles de segurança da informação Política 33AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Estabelecer o método de trabalho Avaliar as questões de negócio, legais e contratuais Definir contexto estratégico e de risco Construir a política Aprovar a política Divulgar a política Legislação Regulamento interno Contratos Definições gerais Objetivos e metas Diretrizes Responsabilidades Definições de registro de incidente Frequência de revisão Critérios de risco Risco aceitável A elaboração e implantação de uma política de segurança é sem si mesmo um projeto a ser gerido. Os passos essenciais são demonstrados na figura ao lado. O governo federal está obrigado por decreto a possuir e respeitar uma política de segurança, conforme Decreto 3.505 de 13 de junho de 2000.
  • 34. Controles de segurança da informação 34AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Ser simples Definir responsabilidades Definir metas Definir penalidades Ser consistente Ser objetiva ACESSÍVEL CONHECIDA APROVADA DINÂMICA EXEQUÍVEL FATORESINTERNOSFATORESEXTERNOS Política A política possui características, ou fatores, internos e externos, que precisam ser respeitados por ocasião de sua elaboração e implantação.
  • 36. Estrutura organizacional Escritório de segurança ESCRITÓRIO DE SEGURANÇA DA INFORMACÃO COMITÊ COORDENADOR Security Officer IMPLEMENTAÇÃO AUDITORIA INTERNA Deve haver uma área designada na organização para cuidar da segurança da informação em tempo integral. O escritório de segurança gerencia o sistema de segurança e faz a interlocução entre o fórum de segurança e o comitê gestor de segurança. 36AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 37. Estrutura organizacional Fórum de segurança D ir e t o r d e R e c u r s o s H u m a n o s D ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã o D ir e t o r d e V e n d a s D ir e t o r d e P r o d u ç ã o D ir e t o r d e L o g ís t ic a R e p r e s e n t a ç ã o e x e c u t i v a ORGANIZAÇÀO F Ó R U M D E S E G U R A N Ç A D A I N F O R M A Ç Ã O O fórum de segurança da informação é quem decide, em última análise, sobre a implantação ou não dos controles de segurança da informação. Este fórum, em geral, é a própria diretoria da organização, ou uma comissão por ela indicada. 37AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 38. Estrutura organizacional Comitê gestor O comitê gestor de segurança da informação é uma estrutura matricial formada por representantes das áreas mais relevantes da organização. Este grupo ajuda a detectar necessidades e a implantar os controles. A coordenação do grupo, em geral, é do Gerente de Segurança. 38AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 39. Classificação da informação 39AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 40. Classificação da informação As informações possuem valor e usos diferenciados, e portanto, precisam de graus diferenciados de proteção. Cada tipo de proteção possui seu próprio custo, e classificar a informação é um esforço para evitar o desperdício de investimento ao se tentar proteger toda a informação. 40AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 41. Classificação da informação 41AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A informação deve ser classificada em nível corporativo, e não por aplicação ou departamento. Os principais benefícios são: • CID é fortalecido pelos controles implementados em toda a organização; • O investimento em proteção é otimizado; • A qualidade das decisões é aumentada, já que as informações são mais confiáveis; • A organização controla melhor suas informações e pode fazer uma re-análise periódica de seus processos e informações.
  • 42. Classificação da informação Para começar, algumas perguntas: Existe um patrocinador para o projeto de classificação? O que você está tentando proteger, e do quê? Existe algum requerimento regulatório a ser considerado? (Decreto 4.554/2003) O negócio entende sua responsabilidade sobre a informação? Existem recursos disponíveis para o projeto? 42AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 43. Classificação da informação A política de segurança da informação deve contemplar as políticas de classificação. Alguns critérios essenciais precisam ser definidos nesta política: • As definições para cada uma das classificações; • Os critérios de segurança para cada classificação, tanto em termos de dados quanto em termos de software; • As responsabilidades e obrigações de cada grupo de indivíduos responsável pela implementação da classificação e por seu uso. 43AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 44. Classificação da informação Ainda, a política precisa estabelecer as seguintes regras: • A informação é um bem e precisa ser protegido; • Os gerentes são proprietários da informação; • A área de TI é custodiante da informação; • Obrigações e responsabilidades para os proprietários da informação; • Propor um conjunto mínimo de controles que devem ser estabelecidos. 44AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 45. Gestão das pessoas 45AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 46. Gestão de pessoas 46AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As pessoas são o elemento central de um sistema de segurança da informação. Os incidentes de segurança da informação sempre envolve pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaças que exploram estas vulnerabilidades. Pessoas são suscetíveis à ataques de engenharia social.
  • 47. Gestão de pessoas A engenharia social é a forma de ataque mais comum para este tipo de ativo. Engenharia social é o processo de mudar o comportamento das pessoas de modo que suas ações sejam previsíveis, objetivando obter acesso a informações e sistemas não autorizados. 47AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 48. Gestão de pessoas Um ataque de engenharia social é realizado em três fases: 1 – Levantamento de informações; 2 – Seleção do alvo; 3 – Execução do ataque. 48AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 49. Gestão de pessoas Devem ser criadas políticas para aplicação antes do contrato de pessoal. • Papéis e responsabilidades; • Seleção; • Termos e condições de contratação. 49AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 50. Gestão de pessoas Políticas para aplicação durante contrato de pessoal. • Responsabilidades da Direção; • Conscientização e treinamento; • Processo disciplinar. 50AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 51. Gestão de pessoas E políticas para aplicação no encerramento do contrato de pessoal. • Encerramento de atividades; • Devolução de ativos; • Retirada dos direitos de acesso. 51AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 52. Segurança física 52AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 53. Segurança física 53AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As políticas de segurança física devem proteger os ativos de informação que sustentam os negócios da organização. Atualmente a informação está distribuída fisicamente em equipamentos móveis, tais como laptops, celulares, PDAs, memory keys, estações de trabalho, impressoras, telefones, FAXs, entre outros.
  • 54. Segurança física 54AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança física precisa garantir a segurança da informação para todos estes ativos. Esta segurança deve ser aplicada para as seguintes categorias de ativos: • Sistemas estáticos, que são instalações em estruturas fixadas no espaço; • Sistemas móveis, que são aqueles instalados em veículos ou mecanismos móveis; • Sistemas portáteis, que são aqueles que podem ser operados em qualquer lugar.
  • 55. Segurança física 55AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Diversas ameaças que podem explorar vulnerabilidades físicas, tais como: Naturais – Enchentes, tempestades, erupções vulcânicas, temperaturas extremas, alta umidade... Sistemas de apoio – Comunicação interrompida, falta de energia, estouro em tubulações... Humanas – Explosões, invasões físicas, sabotagens, contaminação química... Eventos políticos – Ataque terrorista, espionagem, greves...
  • 56. Segurança física A segurança física requer que a área seja protegida, e uma forma simples de enxergar a segurança física é definindo perímetro de segurança, ou camadas de acesso. Sala dos computadores servidores Suporte operacional Atendimento ao cliente Recepção 1 2 3 4Porta, e equipamento para digitação de senha e leitura de impressão digital Porta, e equipamento para digitação de senha Porta Porta e recepcionista 56AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 57. Segurança física 57AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As seguintes políticas de segurança física devem ser consideradas: • Controle de entrada física; • Segurança em escritórios, salas e instalações; • Proteção contra ameaças externas e naturais; • Proteção das áreas críticas; • Acesso de pessoas externas; • Instalação e proteção dos equipamentos; • Equipamentos fora da organização; • Estrutura de rede; • Manutenção dos equipamentos; • Reutilização e alienação de equipamentos; • Remoção de propriedade.
  • 58. Gestão das operações de TI 58AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 59. Gestão das operações de TI 59AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos As operações de TI envolve o controle sobre o hardware, mídias, gestão de privilégios, rede, segurança Internet, métodos de transmissão de informações, entre outros. O objetivo é garantir o CID em todas estas operações. Políticas devem ser criadas para este fim.
  • 60. Gestão das operações de TI As responsabilidades operacionais devem ser atribuídas, e procedimentos precisam ser escritos, aprovados e publicados. 60AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 61. Gestão das operações de TI Os serviços operacionais de tecnologia da informação prestados por terceiros precisam ser regulados e devidamente gerenciados. 61AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 62. Gestão das operações de TI A necessidade de sistemas precisa ser planejada de acordo com as necessidades demonstradas nos processos de negócio. Estes sistemas devem passar por avaliação e homologação antes da entrada definitiva em operação. 62AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 63. Gestão das operações de TI Uma política de cópia de segurança (backup) deve ser estabelecida. As operações de backup precisam ser gerenciadas. 63AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 64. Gestão das operações de TI A segurança das operações em rede é um importante fator a ser considerado na política de segurança da informação. 64AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 65. Gestão das operações de TI Uma política para manuseio de mídias deve ser elaborada. Questões tais como o gerenciamento, o descarte, procedimentos para tratamento da informação, e a segurança para os documentos de sistema, são importantes nesta política. 65AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 66. Gestão das operações de TI A troca de informações deve ser considerada. Questões importantes são: estabelecer procedimentos para troca de informações, mídias em trânsito, mensagens eletrônicas, sistemas de informações do negócio, entre outros. 66AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 67. Gestão das operações de TI 67AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Por fim, é importante considerar o monitoramento de todas as operações em TI. Para tanto, devem existir registros de auditoria, monitoramento do uso dos sistemas, proteção das informações de registro (log), registro de log tanto de operador quanto de administrador, registro em log das falhas, e mecanismo de sincronização dos relógios das máquinas.
  • 68. Controle de acesso lógico 68AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 69. Controle de acesso lógico 69AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos É preciso elaborar uma política de controle de acesso, que apontará para os requisitos de negócio e para as regras de controle de acesso. Na idade média já existia o conceito de controle de acesso, quando uma senha ou frase secreta era a chave para entrar em um determinado recinto.
  • 70. Controle de acesso lógico O conceito de controle de acesso baseia-se em dois princípios: 1 – Separação de responsabilidades; 2 – Privilégios mínimos. 70AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 71. Controle de acesso lógico 71AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de separação de responsabilidades implica na separação de um determinado processo de modo que cada parte possa ser realizada por uma pessoa diferente. Isto obriga os colaboradores a interagir para concluir um determinado processo, diminuindo as chances de fraudes.
  • 72. Controle de acesso lógico 72AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos O conceito de privilégio mínimo implica na concessão apenas dos privilégios mínimos necessários para que uma pessoa realize suas atividades. Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam levar a incidentes de segurança da informação. Há um termo em inglês para este conceito: “need-to-know”.
  • 73. Controle de acesso lógico 73AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de controle de acesso deve abranger pelo menos os seguintes temas: 1 – Definição dos requisitos de negócio para controle de acesso; 2 – Gerenciamento dos acessos pelos usuários; 3 – Definição das responsabilidades dos usuários; 4 – Controle de acesso à rede; 5 – Controle de acesso ao sistema operacional; 6 – Controle de acesso aos sistemas de informação; 7 – Computação móvel e trabalho remoto.
  • 74. Desenvolvimento e aquisição de sistemas 74AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 75. Aquisição, desenvolvimento e manutenção de sistemas 75AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A segurança dos dados e informações em sistemas é um dos mais importantes objetivos de um sistema de segurança da informação. Os procedimentos de desenvolvimento destes sistemas são uma questão vital para a segurança, para a manutenção do CID das informações. A política de desenvolvimento de sistemas é o mecanismos para garantir estes resultados.
  • 76. Aquisição, desenvolvimento e manutenção de sistemas A aquisição de sistemas possibilita o surgimento de diversas vulnerabilidades. A utilização de códigos abertos disponibilizados por comunidades é um dos perigos muitas vezes ignorados. A política de sistemas precisa garantir a diminuição destas vulnerabilidades. 76AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 77. Aquisição, desenvolvimento e manutenção de sistemas O desenvolvimento e manutenção de sistemas também contém diversas vulnerabilidades. Se não houver uma política explicita que oriente este desenvolvimento, vulnerabilidades poderão ser introduzidas no levantamento de requisitos, na construção do projeto, e na implantação do sistema. 77AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 78. Aquisição, desenvolvimento e manutenção de sistemas 78AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de sistemas de informação deve se preocupar com os seguintes assuntos: 1 - Definição dos requisitos de segurança para sistemas; 2 – Processamento correto nas aplicações; 3 – Controles criptográficos; 4 - Segurança dos arquivos de sistema; 5 – Segurança nos processos de desenvolvimento e manutenção; 6 – Gestão das vulnerabilidades técnicas.
  • 79. Gestão de incidentes de segurança 79AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 80. Gestão dos incidentes de segurança da informação Apesar de todos os controles implementados, eventualmente ocorrerão incidentes de segurança da informação. Estes incidentes podem ser uma indicação de que alguns dos controles não estão sendo eficazes, e este é um bom motivo para reavaliar os mesmos. 80AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 81. Gestão dos incidentes de segurança da informação A política de segurança da informação deve se preocupar com pelo menos os seguintes assuntos sobre gestão de incidentes: 1 – Notificação e registro dos incidentes; 2 – Tratamento dos incidentes e melhoria contínua. 81AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 82. Plano de continuidade de negócio 82AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 83. Plano de continuidade do negócio (PCN) O plano de continuidade de negócio é de fato uma política para que os negócios da organização não sejam interrompidos por incidentes de segurança da informação. Isto significa que esta política deve garantir a existência de procedimentos de preparação, teste, e manutenção de ações específicas para proteger os processos críticos do negócio. Um PCN é constituído de 5 fases. 83AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 84. Plano de continuidade do negócio (PCN) 1 - Iniciação e gestão do projeto. Nesta fase são estabelecidos o gerente e a equipe do projeto, que elaboram o plano deste projeto. 84AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 85. Plano de continuidade do negócio (PCN) 2 - Análise de impacto para o negócio. Nesta fase são identificados os tempos críticos dos processos essenciais da organização, e determinados os tempos máximos de tolerância de parada para estes processos (downtime). 85AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 86. Plano de continuidade do negócio (PCN) 3 – Estratégias de recuperação. Nesta fase são identificadas e selecionadas as alternativas adequadas de recuperação para cada tipo de incidente, respeitando os tempos definidos na etapa anterior (análise de impacto para o negócio). 86AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 87. Plano de continuidade do negócio (PCN) 4 – Elaboração dos planos. Nesta fase são construídos os documentos, os planos de continuidade propriamente ditos. Estes documentos são resultados da análise de impacto para o negócio, e estratégias de recuperação. 87AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 88. Plano de continuidade do negócio (PCN) 5 – Teste, manutenção e treinamento. Nesta fase são estabelecidos os processos para teste das estratégias de recuperação, manutenção do PCN, e garantia de que os envolvidos estão cientes de suas responsabilidades e devidamente treinados nas estratégias de recuperação. 88AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 89. Conformidade com os aspectos legais 89AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 90. Conformidade com os aspectos legais 90AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Todo o sistema de segurança da informação, com todos os seus controles, deve estar em plena harmonia e conformidade com as leis internacionais, nacionais, estaduais, municipais, e com as eventuais regulamentações internas da organização, bem como com as orientações de normatização e regulamentação do mercado.
  • 91. Conformidade com os aspectos legais A política de segurança precisa garantir que seja avaliada a legislação vigente, que existam mecanismos para determinar se um crime envolvendo sistemas e computadores foi cometido, e que estes procedimentos possibilitem a preservação e coleta das evidências incriminatórias. 91AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 92. Conformidade com os aspectos legais Os principais incidentes que podem ter implicações legais: 1 – Viroses e códigos maliciosos; 2 – Erro humano; 3 – Ataques terroristas; 4 – Acesso não autorizado; 5 – Desastres naturais; 6 – Mau funcionamento de hardware e software; 7 – Serviços indisponíveis. 92AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 93. Conformidade com os aspectos legais 93AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos Mas como os crimes podem envolver computadores? Crime apoiado por computador. Fraudes, pornografia infantil, etc. Crime específico de computador. DOS, sniffers, roubo de senhas, etc. Crimes em que o computador é um mero elemento. Lista de clientes de traficantes, etc. Vejamos alguns incidentes históricos...
  • 94. Conformidade com os aspectos legais Equity Funding. Considerado o primeiro crime grande envolvendo computadores. A organização usou seus computadores para criar falsos registros e outros instrumentos para aumentar o valor da organização no mercado. Os auditores, que checavam todas as evidencias nos computadores ao invés de avaliar as transações reais, foram enganados por muito tempo. 94AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 95. Conformidade com os aspectos legais 412 Gang. Em 1982 um grupo auto-intitulado “412 Gang” ganhou fama nacional nos Estados Unidos quando derrubou o servidor de banco de dados do “Memorial Sloan Kettering Cancer Center”, e depois invadiu os computadores de uma organização militar chamada “Los Alamos”, no Novo México. 95AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 96. Conformidade com os aspectos legais Kevin Mitnick. Sem dúvida, trata-se do mais famoso e reconhecido hacker de todos os tempos. Foi o mestre na arte da engenharia social, técnica que empregou extensivamente para obter acesso a muitos sistemas de computores. Hoje ele presta serviços de segurança da informação, e seu site é o www.kevinmitnick.com. 96AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 97. Conformidade com os aspectos legais 97AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos A política de segurança deve garantir procedimentos para identificação e adequação à legislação vigente. Isto inclui os direitos de propriedade intelectual, a proteção aos registros organizacionais, a proteção de dados e privacidade de informações pessoais, a prevenção de mau uso dos recursos de processamento da informação, e a regulamentação dos controles de criptografia.
  • 98. Conformidade com os aspectos legais Conformidade entre as políticas de segurança da informação e também a conformidade técnica. Isto significa que devem ser consideradas as políticas e normas de segurança, e a avaliação técnica destas normas. 98AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 99. Conformidade com os aspectos legais E finalmente as questões referentes à auditoria. A política deve garantir que existam controles de auditoria, e proteção às ferramentas de auditoria, o que garantirá a confiabilidade destas ferramentas. 99AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos
  • 100. Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) • Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ) • MCSO – Módulo Security Office • Auditor Líder BS 7799 – Det Norske Veritas • Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO Professor André Campos