SlideShare uma empresa Scribd logo
Auditoria em
Tecnologia da
Informação
Por André Campos
• Especialista em Segurança da Informação (UNESA)
• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)
• MCSO – Módulo Security Office
• Auditor Líder BS 7799 – Det Norske Veritas
• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.




                   AUDITORIA EM
                  TECNOLOGIA DA   Professor
                   INFORMAÇÃO   André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com segurança da informação.

O uso é permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos
autorais, ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.
                   AUDITORIA EM
                  TECNOLOGIA DA   Professor
                   INFORMAÇÃO   André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Crédito das imagens
Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando
Riscos”.
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de
lucro.
                    AUDITORIA EM
                   TECNOLOGIA DA   Professor
                    INFORMAÇÃO   André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
Bibliografia
Sistemas de segurança da informação – Controlando Riscos;
Campos, André; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
                AUDITORIA EM
               TECNOLOGIA DA   Professor
                INFORMAÇÃO   André Campos
Conceitos básicos de SI


                                         • Ativo de informação
                                         • Ameaça
                                         • Vulnerabilidade
                                         • Incidente
                                         • Probabilidade
                                         • Impacto
                                         • Risco
                                         • Incidente
             AUDITORIA EM
                            Professor
                                                                 5
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                            Ativo de informação


    A informação é elemento essencial para todos os
    processos de negócio da organização, sendo,
    portanto, um bem ou ativo de grande valor.



                  DADOS                  INFORMAÇÃO   CONHECIMENTO




             AUDITORIA EM
                            Professor
                                                                     6
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

        Propriedades de segurança da informação


    A segurança da




                                                      E
    informação é garantida




                                                    AD




                                                                       IN
                                                     ID




                                                                          TEG
    pela preservação de




                                                  AL




                                                                             RID
                                                CI
    três aspectos




                                              EN




                                                                             AD
                                             ID
    essenciais:




                                                                                E
                                          NF
                                         CO
    confidencialidade,
    integridade, e
    disponibilidade (CID).
                                                          DISPONIBILIDADE



             AUDITORIA EM
                            Professor
                                                                                    7
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                              Confidencialidade



                                         O princípio da
                                         confidencialidade é
                                         respeitado quando
                                         apenas as pessoas
                                         explicitamente
                                         autorizadas podem ter
                                         acesso à informação.


             AUDITORIA EM
                            Professor
                                                                 8
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                         Integridade



                                                  O princípio da
                                                  integridade é
                                                  respeitado quando a
                                                  informação acessada
                                                  está completa, sem
                                                  alterações e, portanto,
                                                  confiável.


             AUDITORIA EM
                            Professor
                                                                            9
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                 Disponibilidade



                                           O princípio da
                                           disponibilidade é
                                           respeitado quando a
                                           informação está
                                           acessível, por pessoas
                                           autorizadas, sempre
                                           que necessário.


             AUDITORIA EM
                            Professor
                                                                    10
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                 Vulnerabilidade

                                           São as fraquezas
                                           presentes nos ativos de
                                           informação, que podem
                                           causar, intencionalmente
                                           ou não, a quebra de um
                                           ou mais dos três
                                           princípios de segurança
                                           da informação:
                                           confidencialidade,
                                           integridade, e
                                           disponibilidade.
             AUDITORIA EM
                            Professor
                                                                      11
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                         Ameaça

                                              A ameaça é um agente
                                              externo ao ativo de
                                              informação, que
                                              aproveitando-se das
                                              vulnerabilidades deste
                                              ativo, poderá quebrar a
                                              confidencialidade,
                                              integridade ou
                                              disponibilidade da
                                              informação suportada ou
                                              utilizada por este ativo.
             AUDITORIA EM
                            Professor
                                                                          12
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                   Probabilidade

                                             A probabilidade é a
                                             chance de uma falha de
                                             segurança ocorrer
                                             levando-se em conta o
                                             grau das
                                             vulnerabilidades
                                             presentes nos ativos que
                                             sustentam o negócio e o
                                             grau das ameaças que
                                             possam explorar estas
                                             vulnerabilidades.
             AUDITORIA EM
                            Professor
                                                                        13
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                         Impacto



                                                   O impacto de um
                                                   incidente são as
                                                   potenciais
                                                   conseqüências que este
                                                   incidente possa causar
                                                   ao negócio da
                                                   organização.



             AUDITORIA EM
                            Professor
                                                                            14
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

                                         Risco



              RISCO=IMPACTO*PROBABILIDADE


       O risco é a relação entre a probabilidade e o
       impacto. É a base para a identificação dos
       pontos que demandam por investimentos em
       segurança da informação.



             AUDITORIA EM
                            Professor
                                                       15
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conceitos básicos de SI

             Incidente de Segurança da Informação
Quando uma ameaça
explora vulnerabilidades                                         Negócio da organização

de um ativo de
                                                                                                    Confidencialidade
informação, violando
                                    Incidente de segurança
uma de suas                                                              Informação                   Integridade

características de                                                                                   Disponibilidade
                                                                     Ativos de informação
segurança (CID), temos                  Ameaças                        Vulnerabilidades
o incidente de
segurança da
                                                                             Grau
informação. Este                       Grau ameaça
                                                                        vulnerabilidade

incidente tem uma
chance de acontecer, e
                                                     PROBABILIDADE                        IMPACTO
se acontecer gera um
determinado impacto ou
prejuízo.
                AUDITORIA EM
                               Professor
                                                                                                                 16
               TECNOLOGIA DA
                INFORMAÇÃO   André Campos
Como implementar um sistema de segurança


                                        Conhecer os conceitos
                                        sobre segurança da
                                        informação não significa
                                        necessariamente saber
                                        garantir esta segurança.

                                        Muitos têm experimentado
                                        esta sensação quando
                                        elaboram seus planos de
                                        segurança e acabam não
                                        atingindo os resultados
                                        desejados.
            AUDITORIA EM
                           Professor
                                                                   17
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

                                        Um gerente de segurança da
                                        informação de verdade trabalha com
                                        fatos, com resultados de análise e
                                        exames da organização em questão.

                                        A partir destes resultados ele
                                        estabelece um conjunto de ações
                                        coordenadas no sentido de garantir a
                                        segurança da informação; um
                                        conjunto de ações, um conjunto de
                                        mecanismos integrados entre si, de
                                        fato, um sistema de segurança da
                                        informação.
            AUDITORIA EM
                           Professor
                                                                          18
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Como implementar um sistema de segurança


 A implantação de um
 sistema de segurança da                             Planejar
 informação não é uma                                 (PLAN)

 tarefa trivial.

 O modelo proposto pela
                                          Melhorar               Implementar
 Qualidade (família ISO) é                 (ACT)                    (DO)

 o caminho adequado
 superar este desafio.
 Este modelo é baseado
 no conceito de melhoria                             Monitorar
                                                     (CHECK)
 contínua (PDCA).

              AUDITORIA EM
                             Professor
                                                                               19
             TECNOLOGIA DA
              INFORMAÇÃO   André Campos
Como implementar um sistema de segurança



 A primeira fase é de planejamento (PLAN). Nesta fase, é
 definido o escopo e abrangência esperada para o sistema
 de segurança da informação, e realizada a análise de risco,
 e feito o planejamento para o tratamento do risco.



              D e fin iç ã o               A n á lis e     P la n e ja m e n to d e
             d o e sc o p o                d o ris c o   tra ta m e n to d o ris c o




               AUDITORIA EM
                              Professor
                                                                                       20
              TECNOLOGIA DA
               INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Escopo

 Nem sempre é fácil                                         ORGANIZAÇÃO


 implantar o sistema em
 toda a organização. Por                     Vendas                           Produção


 isso, definir escopos
 sucessivamente                          Recursos Humanos
                                                                          Tecnologia da
                                                                           Informação

 maiores talvez seja o
 caminho para se chegar
 ao objetivo final:
                                                                                           Escopo inicial.
 segurança da                                                                 Escopo ampliado.

 informação em toda a                                         Escopo final.

 organização.
             AUDITORIA EM
                            Professor
                                                                                                             21
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Análise de risco
 Depois do escopo definido, é a
 hora de pensar que controles
                                             Tecnologia da
 implementar.                                 informação

                                                                                      Bloqueio    Invasor
                                                                        Firewall     portas TCP   interno
 Para otimizar esta decisão é




                                                                io
                                                              éd
                                                             M
                                                                                      Controle
 imprescindível realizar a análise             Manter
                                                                       Servidor de
                                                                                     de acesso
                                                                                                  Invasor
                                                                                                  externo
                                             serviços de     Médio                     físico
 de risco. Ela apontará para as                 rede
                                                                        arquivos

                                                                                      Sistema
 prioridades dentro do escopo.                                                        antivírus
                                                                                                    Vírus




                                                               Al
                                                                       Servidor de




                                                                  to
                                                                         correio                  Variação
                                                                                     Nobreak         de
 A análise deve ser feita                                                                          energia

 considerando as seguintes
 dimensões: processos,
 tecnológica, ambiental, e
 pessoas.
                 AUDITORIA EM
                                Professor
                                                                                                             22
                TECNOLOGIA DA
                 INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Análise de risco




             AUDITORIA EM
                            Professor
                                           23
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Análise de risco

    Os processos,
    tecnologias, ambientes e
    pessoas são, de fato,
    ativos de informação; ou
    categorizações destes
    ativos.

    As pessoas ocupam uma
    posição central entre
    estas categorias, pois
    sua importância é maior
    do que a das outras.
             AUDITORIA EM
                            Professor
                                           24
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

O que fazer com o risco?


                                        Com o risco já identificado, é
                                        importante decidir o que fazer
                                        com ele. É possível:

                                        • Evitar
                                        • Controlar
                                        • Transferir
                                        • Aceitar

                                        Isto fica claro na declaração
                                        de aplicabilidade.
            AUDITORIA EM
                           Professor
                                                                        25
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Declaração de aplicabilidade




             AUDITORIA EM
                            Professor
                                           26
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Como implementar um sistema de segurança

Implementando o sistema

 Após a etapa de planejamento, o próximo passo é executar
 o planejado. Isto envolve o planejamento da fase de
 implementação, a execução e o controle da implementação,
 e por fim, o encerramento da implementação.


           Planejar a                                   Encerrar a
                                        Implementar
         implementação                                implementação




                                      Controlar a
                                    implementação




            AUDITORIA EM
                           Professor
                                                                      27
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Monitorando o sistema de segurança


 O monitoramento ou                      Realizar
                                         registros
 controle do sistema
 implica em avaliar
 sistematicamente se os
                                         Monitorar
 controles implementados                 controles
 estão atendendo as                                   Reavaliar
 expectativas originais.                               sistema
                                          Realizar
 Para tanto, os processos                auditorias
 ao lado precisam ser
 executados com
 regularidade.                           Reavaliar
                                           riscos
             AUDITORIA EM
                            Professor
                                                                  28
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controles de segurança da informação



 A implementação de um
 sistema de segurança da
 informação se dá pela
 instalação de controles
 específicos nas mais
 diversas áreas da
 organização, sempre
 pensando nas dimensões
 de processos,
 tecnologias, ambientes e
 pessoas.

             AUDITORIA EM
                            Professor
                                         29
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controles de segurança da informação

                                         •Política (PSI)
                                         •Estrutura organizacional
                                         •Controle de acesso
                                         •Pessoas
                                         •Segurança física
                                         •Segurança lógica
                                         •Operação de sistemas
                                         •Desenvolvimento de
                                         sistemas
                                         •Continuidade do negócio
                                         •Incidentes de segurança
             AUDITORIA EM
                                         •Aspectos legais            30
            TECNOLOGIA DA   Professor
             INFORMAÇÃO   André Campos
Política de segurança
    da informação


    AUDITORIA EM
                   Professor
                                31
   TECNOLOGIA DA
    INFORMAÇÃO   André Campos
Controles de segurança da informação

Política

 A política de




                                         DIRETRIZES
 segurança da                                                           D1
 informação (PSI)
 deve estar alinhada
 com os objetivos de

                                         NORMAS
 negócio da                                                        N1   N2    N3


 organização.                            PROCEDIMENTOS




 Ela é estruturada em                                    P1   P2   P3   P4   P5    P6   P7
 diretrizes, normas e
 procedimentos.

             AUDITORIA EM
                            Professor
                                                                                             32
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controles de segurança da informação

Política                                                                                          Definições gerais

                                                                                                  Objetivos e metas

 A elaboração e implantação                        Estabelecer o                                       Diretrizes
                                                    método de
 de uma política de segurança                         trabalho                                   Responsabilidades

 é sem si mesmo um projeto a                                        Avaliar as
                                                                                          Definições de registro de incidente


 ser gerido.                                                       questões de
                                                                 negócio, legais e
                                                                                                Frequência de revisão

                                                                   contratuais

 Os passos essenciais são                                                   Definir contexto                        Critérios de risco
                                                                              estratégico
 demonstrados na figura ao                     Legislação                      e de risco                           Risco aceitável

 lado.                                     Regulamento interno

                                                Contratos
                                                                                         Construir a
                                                                                          política
 O governo federal está
 obrigado por decreto a possuir
                                                                                                       Aprovar a
 e respeitar uma política de                                                                            política
 segurança, conforme Decreto
 3.505 de 13 de junho de 2000.
                                                                                                                     Divulgar a
                                                                                                                      política
               AUDITORIA EM
                              Professor
                                                                                                                                         33
              TECNOLOGIA DA
               INFORMAÇÃO   André Campos
Controles de segurança da informação

                                                                                  Ser
Política                                                                        simples




                                          FATORES INTERNOS
   A política possui                                            Ser                               Ser
                                                              objetiva                         consistente
   características, ou
   fatores, internos e                                         Definir                          Definir
   externos, que                                             penalidades                        metas
   precisam ser
   respeitados por                                                              Definir
                                                                           responsabilidades
   ocasião de sua
   elaboração e                           FATORES EXTERNOS
                                                                               ACESSÍVEL
   implantação.                                                               CONHECIDA

                                                                              APROVADA

                                                                               DINÂMICA
                                                                                                             34
                                                                               EXEQUÍVEL
              AUDITORIA EM
             TECNOLOGIA DA   Professor
              INFORMAÇÃO   André Campos
Estrutura
organizacional


 AUDITORIA EM
                Professor
                             35
TECNOLOGIA DA
 INFORMAÇÃO   André Campos
Estrutura organizacional

Escritório de segurança                                Deve haver uma área designada
                                                       na organização para cuidar da
                                                       segurança da informação em
                                                       tempo integral.

                                                       O escritório de segurança
                                       ESCRITÓRIO DE   gerencia o sistema de
  Security Officer                     SEGURANÇA DA    segurança e faz a interlocução
                                        INFORMACÃO
                                                       entre o fórum de segurança e o
                                                       comitê gestor de segurança.




     COMITÊ                                                     AUDITORIA
                                      IMPLEMENTAÇÃO
  COORDENADOR                                                    INTERNA




                      AUDITORIA EM
                                     Professor
                                                                                        36
                     TECNOLOGIA DA
                      INFORMAÇÃO   André Campos
Estrutura organizacional

Fórum de segurança

                                   R e p r e s e n ta ç ã o e x e c u tiv a

                    D ir e t o r d e R e c u r s o s H u m a n o s
      ORGANIZAÇÀO




                    D ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã o
                                                                                    FÓ RU M D E
                    D ir e t o r d e V e n d a s                                SEG U RA N Ç A D A
                                                                                 IN F O R M A Ç Ã O
                    D ir e t o r d e P r o d u ç ã o

                    D ir e t o r d e L o g ís t ic a



O fórum de segurança da informação é quem decide, em última análise,
sobre a implantação ou não dos controles de segurança da informação.
Este fórum, em geral, é a própria diretoria da organização, ou uma
comissão por ela indicada.



                     AUDITORIA EM
                                    Professor
                                                                                                      37
                    TECNOLOGIA DA
                     INFORMAÇÃO   André Campos
Estrutura organizacional

Comitê gestor

                                         O comitê gestor de
                                         segurança da informação é
                                         uma estrutura matricial
                                         formada por representantes
                                         das áreas mais relevantes
                                         da organização.

                                         Este grupo ajuda a detectar
                                         necessidades e a implantar
                                         os controles.

                                         A coordenação do grupo,
                                         em geral, é do Gerente de
                                         Segurança.
             AUDITORIA EM
                            Professor
                                                                       38
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Classificação da
  informação


  AUDITORIA EM
                 Professor
                              39
 TECNOLOGIA DA
  INFORMAÇÃO   André Campos
Classificação da informação



                                         As informações possuem
                                         valor e usos diferenciados, e
                                         portanto, precisam de graus
                                         diferenciados de proteção.

                                         Cada tipo de proteção possui
                                         seu próprio custo, e classificar
                                         a informação é um esforço
                                         para evitar o desperdício de
                                         investimento ao se tentar
                                         proteger toda a informação.

             AUDITORIA EM
                            Professor
                                                                            40
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Classificação da informação


A informação deve ser classificada em nível
corporativo, e não por aplicação ou
departamento. Os principais benefícios são:

• CID é fortalecido pelos controles
implementados em toda a organização;

• O investimento em proteção é otimizado;

• A qualidade das decisões é aumentada, já
que as informações são mais confiáveis;

• A organização controla melhor suas
informações e pode fazer uma re-análise
periódica de seus processos e informações.

                 AUDITORIA EM
                                Professor
                                              41
                TECNOLOGIA DA
                 INFORMAÇÃO   André Campos
Classificação da informação

  Para começar, algumas perguntas:
  Existe um patrocinador para o projeto
  de classificação?
  O que você está tentando proteger, e
  do quê?
  Existe algum requerimento regulatório
  a ser considerado? (Decreto 4.554/2003)
  O negócio entende sua
  responsabilidade sobre a informação?
  Existem recursos disponíveis para o
  projeto?
              AUDITORIA EM
                             Professor
                                            42
             TECNOLOGIA DA
              INFORMAÇÃO   André Campos
Classificação da informação

A política de segurança da informação
deve contemplar as políticas de
classificação. Alguns critérios essenciais
precisam ser definidos nesta política:
• As definições para cada uma das
classificações;
• Os critérios de segurança para cada
classificação, tanto em termos de dados
quanto em termos de software;
• As responsabilidades e obrigações de
cada grupo de indivíduos responsável pela
implementação da classificação e por seu
uso.
               AUDITORIA EM
                              Professor
                                             43
              TECNOLOGIA DA
               INFORMAÇÃO   André Campos
Classificação da informação

Ainda, a política precisa estabelecer as
seguintes regras:
• A informação é um bem e precisa ser
protegido;
• Os gerentes são proprietários da
informação;
• A área de TI é custodiante da
informação;
• Obrigações e responsabilidades para os
proprietários da informação;
• Propor um conjunto mínimo de controles
que devem ser estabelecidos.
               AUDITORIA EM
                              Professor
                                           44
              TECNOLOGIA DA
               INFORMAÇÃO   André Campos
Gestão das pessoas


   AUDITORIA EM
                  Professor
                               45
  TECNOLOGIA DA
   INFORMAÇÃO   André Campos
Gestão de pessoas

                                        As pessoas são o elemento
                                        central de um sistema de
                                        segurança da informação.

                                        Os incidentes de segurança da
                                        informação sempre envolve
                                        pessoas, quer no lado das
                                        vulnerabilidades   exploradas,
                                        quer no lado das ameaças que
                                        exploram                 estas
                                        vulnerabilidades.

                                        Pessoas são suscetíveis à
                                        ataques de engenharia social.
            AUDITORIA EM
                           Professor
                                                                    46
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Gestão de pessoas


                                        A engenharia social é a
                                        forma de ataque mais
                                        comum para este tipo de
                                        ativo.

                                        Engenharia social é o
                                        processo de mudar o
                                        comportamento          das
                                        pessoas de modo que suas
                                        ações sejam previsíveis,
                                        objetivando obter acesso a
                                        informações e sistemas não
                                        autorizados.
            AUDITORIA EM
                           Professor
                                                                     47
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Gestão de pessoas



                                        Um ataque de engenharia
                                        social é realizado em três
                                        fases:

                                        1 – Levantamento          de
                                        informações;

                                        2 – Seleção do alvo;

                                        3 – Execução do ataque.


            AUDITORIA EM
                           Professor
                                                                       48
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Gestão de pessoas



                                        Devem ser criadas políticas
                                        para aplicação antes do
                                        contrato de pessoal.

                                        • Papéis e
                                        responsabilidades;

                                        • Seleção;

                                        • Termos e condições de
                                        contratação.

            AUDITORIA EM
                           Professor
                                                                  49
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Gestão de pessoas


    Políticas para aplicação durante contrato de pessoal.

    • Responsabilidades da Direção;

    • Conscientização e treinamento;

    • Processo disciplinar.




             AUDITORIA EM
                            Professor
                                                            50
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão de pessoas



                                        E políticas para aplicação no
                                        encerramento do contrato de
                                        pessoal.

                                        • Encerramento de
                                        atividades;

                                        • Devolução de ativos;

                                        • Retirada dos direitos de
                                        acesso.

            AUDITORIA EM
                           Professor
                                                                     51
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Segurança física


  AUDITORIA EM
                 Professor
                              52
 TECNOLOGIA DA
  INFORMAÇÃO   André Campos
Segurança física

                                         As políticas de segurança
                                         física devem proteger os
                                         ativos de informação que
                                         sustentam os negócios da
                                         organização.

                                         Atualmente a informação
                                         está distribuída fisicamente
                                         em equipamentos móveis,
                                         tais como laptops, celulares,
                                         PDAs, memory keys,
                                         estações de trabalho,
                                         impressoras, telefones,
                                         FAXs, entre outros.
             AUDITORIA EM
                            Professor
                                                                     53
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Segurança física

                                         A segurança física precisa garantir a
                                         segurança da informação para todos
                                         estes ativos.
                                         Esta segurança deve ser aplicada
                                         para as seguintes categorias de
                                         ativos:
                                         • Sistemas estáticos, que são
                                         instalações em estruturas fixadas no
                                         espaço;
                                         • Sistemas móveis, que são aqueles
                                         instalados em veículos ou
                                         mecanismos móveis;
                                         • Sistemas portáteis, que são
                                         aqueles que podem ser operados
             AUDITORIA EM                em qualquer lugar.                  54
            TECNOLOGIA DA   Professor
             INFORMAÇÃO   André Campos
Segurança física
                                         Diversas ameaças que podem
                                         explorar vulnerabilidades físicas,
                                         tais como:
                                         Naturais – Enchentes,
                                         tempestades, erupções
                                         vulcânicas, temperaturas
                                         extremas, alta umidade...
                                         Sistemas de apoio – Comunicação
                                         interrompida, falta de energia,
                                         estouro em tubulações...
                                         Humanas – Explosões, invasões
                                         físicas, sabotagens, contaminação
                                         química...
                                         Eventos políticos – Ataque
                                         terrorista, espionagem, greves...
             AUDITORIA EM
                            Professor
                                                                              55
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Segurança física

                                                                          A segurança
      Porta, e                                         4                  física requer
   equipamento             Sala dos computadores
        para                     servidores                               que a área
   digitação de
      senha e
     leitura de
                                                             Porta, e     seja
                                                           equipamento
    impressão
       digital
                                                               para
                                                           digitação de
                                                                          protegida, e
                              Suporte operacional
                                                       3      senha
                                                                          uma forma
                                                                          simples de
                                                                          enxergar a
       Porta                                                              segurança
                                                                          física é
                                         Atendimento
                   Recepção
                                          ao cliente                      definindo
                          1                            2
                                                                          perímetro de
                                                                          segurança, ou
      Porta e
   recepcionista                                                          camadas de
                                                                          acesso.
                      AUDITORIA EM
                                     Professor
                                                                                          56
                     TECNOLOGIA DA
                      INFORMAÇÃO   André Campos
Segurança física

                                         As seguintes políticas de segurança física
                                         devem ser consideradas:
                                         • Controle de entrada física;
                                         • Segurança em escritórios, salas e
                                         instalações;
                                         • Proteção contra ameaças externas e
                                         naturais;
                                         • Proteção das áreas críticas;
                                         • Acesso de pessoas externas;
                                         • Instalação e proteção dos equipamentos;
                                         • Equipamentos fora da organização;
                                         • Estrutura de rede;
                                         • Manutenção dos equipamentos;
                                         • Reutilização e alienação de equipamentos;
             AUDITORIA EM                • Remoção de propriedade.                    57
            TECNOLOGIA DA   Professor
             INFORMAÇÃO   André Campos
Gestão das operações
        de TI

    AUDITORIA EM
                   Professor
                                58
   TECNOLOGIA DA
    INFORMAÇÃO   André Campos
Gestão das operações de TI

                                         As operações de TI
                                         envolve o controle sobre
                                         o hardware, mídias,
                                         gestão de privilégios,
                                         rede, segurança Internet,
                                         métodos de transmissão
                                         de informações, entre
                                         outros.

                                         O objetivo é garantir o
                                         CID em todas estas
                                         operações.

                                         Políticas devem ser
             AUDITORIA EM
            TECNOLOGIA DA   Professor
                                         criadas para este fim.    59
             INFORMAÇÃO   André Campos
Gestão das operações de TI




                                         As responsabilidades
                                         operacionais devem ser
                                         atribuídas, e
                                         procedimentos precisam
                                         ser escritos, aprovados e
                                         publicados.




             AUDITORIA EM
                            Professor
                                                                     60
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI




                                         Os serviços operacionais
                                         de tecnologia da
                                         informação prestados
                                         por terceiros precisam
                                         ser regulados e
                                         devidamente
                                         gerenciados.




             AUDITORIA EM
                            Professor
                                                                    61
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI


                                         A necessidade de
                                         sistemas precisa ser
                                         planejada de acordo com
                                         as necessidades
                                         demonstradas nos
                                         processos de negócio.

                                         Estes sistemas devem
                                         passar por avaliação e
                                         homologação antes da
                                         entrada definitiva em
                                         operação.

             AUDITORIA EM
                            Professor
                                                                   62
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI




                                         Uma política de cópia de
                                         segurança (backup) deve
                                         ser estabelecida.

                                         As operações de backup
                                         precisam ser
                                         gerenciadas.




             AUDITORIA EM
                            Professor
                                                                    63
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI




                                         A segurança das
                                         operações em rede é um
                                         importante fator a ser
                                         considerado na política
                                         de segurança da
                                         informação.




             AUDITORIA EM
                            Professor
                                                                   64
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI


                                         Uma política para
                                         manuseio de mídias
                                         deve ser elaborada.

                                         Questões tais como o
                                         gerenciamento, o
                                         descarte, procedimentos
                                         para tratamento da
                                         informação, e a
                                         segurança para os
                                         documentos de sistema,
                                         são importantes nesta
                                         política.
             AUDITORIA EM
                            Professor
                                                                   65
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI



                                         A troca de informações
                                         deve ser considerada.

                                         Questões importantes
                                         são: estabelecer
                                         procedimentos para
                                         troca de informações,
                                         mídias em trânsito,
                                         mensagens eletrônicas,
                                         sistemas de informações
                                         do negócio, entre outros.

             AUDITORIA EM
                            Professor
                                                                     66
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão das operações de TI


                                         Por fim, é importante considerar
                                         o monitoramento de todas as
                                         operações em TI.

                                         Para tanto, devem existir
                                         registros de auditoria,
                                         monitoramento do uso dos
                                         sistemas, proteção das
                                         informações de registro (log),
                                         registro de log tanto de operador
                                         quanto de administrador, registro
                                         em log das falhas, e mecanismo
                                         de sincronização dos relógios
                                         das máquinas.
             AUDITORIA EM
                            Professor
                                                                            67
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controle de acesso
      lógico


   AUDITORIA EM
                  Professor
                               68
  TECNOLOGIA DA
   INFORMAÇÃO   André Campos
Controle de acesso lógico


                                         É preciso elaborar uma
                                         política de controle de
                                         acesso, que apontará
                                         para os requisitos de
                                         negócio e para as regras
                                         de controle de acesso.

                                         Na idade média já existia
                                         o conceito de controle de
                                         acesso, quando uma
                                         senha ou frase secreta
                                         era a chave para entrar
                                         em um determinado
                                         recinto.
             AUDITORIA EM
                            Professor
                                                                69
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controle de acesso lógico




                                         O conceito de controle
                                         de acesso baseia-se em
                                         dois princípios:

                                         1 – Separação de
                                         responsabilidades;

                                         2 – Privilégios mínimos.



             AUDITORIA EM
                            Professor
                                                                    70
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controle de acesso lógico

                                         O conceito de separação
                                         de responsabilidades
                                         implica na separação de
                                         um determinado processo
                                         de modo que cada parte
                                         possa ser realizada por
                                         uma pessoa diferente.

                                         Isto obriga os
                                         colaboradores a interagir
                                         para concluir um
                                         determinado processo,
                                         diminuindo as chances de
                                         fraudes.
             AUDITORIA EM
                            Professor
                                                                     71
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controle de acesso lógico

                                         O conceito de privilégio
                                         mínimo implica na concessão
                                         apenas dos privilégios
                                         mínimos necessários para
                                         que uma pessoa realize suas
                                         atividades.

                                         Isto evita o conhecimento de
                                         outras possibilidades, que
                                         eventualmente poderiam levar
                                         a incidentes de segurança da
                                         informação. Há um termo em
                                         inglês para este conceito:
                                         “need-to-know”.
             AUDITORIA EM
                            Professor
                                                                       72
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Controle de acesso lógico

                                         A política de controle de acesso deve
                                         abranger pelo menos os seguintes
                                         temas:
                                         1 – Definição dos requisitos de negócio
                                         para controle de acesso;
                                         2 – Gerenciamento dos acessos pelos
                                         usuários;
                                         3 – Definição das responsabilidades
                                         dos usuários;
                                         4 – Controle de acesso à rede;
                                         5 – Controle de acesso ao sistema
                                         operacional;
                                         6 – Controle de acesso aos sistemas
                                         de informação;
                                         7 – Computação móvel e trabalho
             AUDITORIA EM
                                         remoto.                              73
            TECNOLOGIA DA   Professor
             INFORMAÇÃO   André Campos
Desenvolvimento e
aquisição de sistemas


    AUDITORIA EM
                   Professor
                                74
   TECNOLOGIA DA
    INFORMAÇÃO   André Campos
Aquisição, desenvolvimento e manutenção de sistemas

                                        A segurança dos dados e
                                        informações em sistemas é um
                                        dos mais importantes objetivos de
                                        um sistema de segurança da
                                        informação.

                                        Os procedimentos de
                                        desenvolvimento destes sistemas
                                        são uma questão vital para a
                                        segurança, para a manutenção
                                        do CID das informações.

                                        A política de desenvolvimento de
                                        sistemas é o mecanismos para
            AUDITORIA EM
                                        garantir estes resultados.     75
           TECNOLOGIA DA   Professor
            INFORMAÇÃO   André Campos
Aquisição, desenvolvimento e manutenção de sistemas


                                        A aquisição de sistemas
                                        possibilita o surgimento de
                                        diversas vulnerabilidades.

                                        A utilização de códigos abertos
                                        disponibilizados por comunidades
                                        é um dos perigos muitas vezes
                                        ignorados.

                                        A política de sistemas precisa
                                        garantir a diminuição destas
                                        vulnerabilidades.

            AUDITORIA EM
                           Professor
                                                                         76
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Aquisição, desenvolvimento e manutenção de sistemas


                                        O desenvolvimento e manutenção
                                        de sistemas também contém
                                        diversas vulnerabilidades.

                                        Se não houver uma política
                                        explicita que oriente este
                                        desenvolvimento,
                                        vulnerabilidades poderão ser
                                        introduzidas no levantamento de
                                        requisitos, na construção do
                                        projeto, e na implantação do
                                        sistema.

            AUDITORIA EM
                           Professor
                                                                          77
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Aquisição, desenvolvimento e manutenção de sistemas

                                        A política de sistemas de informação
                                        deve se preocupar com os seguintes
                                        assuntos:
                                        1 - Definição dos requisitos de
                                        segurança para sistemas;
                                        2 – Processamento correto nas
                                        aplicações;
                                        3 – Controles criptográficos;
                                        4 - Segurança dos arquivos de
                                        sistema;
                                        5 – Segurança nos processos de
                                        desenvolvimento e manutenção;
                                        6 – Gestão das vulnerabilidades
            AUDITORIA EM
                           Professor
                                        técnicas.                              78
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Gestão de incidentes
   de segurança


    AUDITORIA EM
                   Professor
                                79
   TECNOLOGIA DA
    INFORMAÇÃO   André Campos
Gestão dos incidentes de segurança da informação

                                         Apesar de todos os
                                         controles
                                         implementados,
                                         eventualmente ocorrerão
                                         incidentes de segurança
                                         da informação.

                                         Estes incidentes podem
                                         ser uma indicação de
                                         que alguns dos controles
                                         não estão sendo
                                         eficazes, e este é um
                                         bom motivo para
                                         reavaliar os mesmos.
             AUDITORIA EM
                            Professor
                                                                    80
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Gestão dos incidentes de segurança da informação

                                         A política de segurança
                                         da informação deve se
                                         preocupar com pelo
                                         menos os seguintes
                                         assuntos sobre gestão
                                         de incidentes:

                                         1 – Notificação e registro
                                         dos incidentes;

                                         2 – Tratamento dos
                                         incidentes e melhoria
                                         contínua.
             AUDITORIA EM
                            Professor
                                                                      81
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade
     de negócio


     AUDITORIA EM
                    Professor
                                 82
    TECNOLOGIA DA
     INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)

                                         O plano de continuidade de negócio
                                         é de fato uma política para que os
                                         negócios da organização não sejam
                                         interrompidos por incidentes de
                                         segurança da informação.

                                         Isto significa que esta política deve
                                         garantir a existência de
                                         procedimentos de preparação, teste,
                                         e manutenção de ações específicas
                                         para proteger os processos críticos
                                         do negócio.

                                         Um PCN é constituído de 5 fases.
             AUDITORIA EM
                            Professor
                                                                            83
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)



                                         1 - Iniciação e
                                         gestão do
                                         projeto.

                                         Nesta fase são
                                         estabelecidos o
                                         gerente e a equipe
                                         do projeto, que
                                         elaboram o plano
                                         deste projeto.


             AUDITORIA EM
                            Professor
                                                              84
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)

                                         2 - Análise de
                                         impacto para o
                                         negócio.

                                         Nesta fase são
                                         identificados os
                                         tempos críticos dos
                                         processos essenciais
                                         da organização, e
                                         determinados os
                                         tempos máximos de
                                         tolerância de parada
                                         para estes processos
                                         (downtime).
             AUDITORIA EM
                            Professor
                                                                85
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)



                                         3 – Estratégias de
                                         recuperação.

                                         Nesta fase são identificadas
                                         e selecionadas as
                                         alternativas adequadas de
                                         recuperação para cada tipo
                                         de incidente, respeitando os
                                         tempos definidos na etapa
                                         anterior (análise de impacto
                                         para o negócio).

             AUDITORIA EM
                            Professor
                                                                        86
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)



                                         4 – Elaboração dos
                                         planos.

                                         Nesta fase são construídos
                                         os documentos, os planos
                                         de continuidade
                                         propriamente ditos. Estes
                                         documentos são resultados
                                         da análise de impacto para
                                         o negócio, e estratégias de
                                         recuperação.

             AUDITORIA EM
                            Professor
                                                                       87
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Plano de continuidade do negócio (PCN)


                                         5 – Teste, manutenção e
                                         treinamento.

                                         Nesta fase são
                                         estabelecidos os processos
                                         para teste das estratégias
                                         de recuperação,
                                         manutenção do PCN, e
                                         garantia de que os
                                         envolvidos estão cientes de
                                         suas responsabilidades e
                                         devidamente treinados nas
                                         estratégias de recuperação.
             AUDITORIA EM
                            Professor
                                                                       88
            TECNOLOGIA DA
             INFORMAÇÃO   André Campos
Conformidade com os
  aspectos legais


    AUDITORIA EM
                   Professor
                                89
   TECNOLOGIA DA
    INFORMAÇÃO   André Campos
Conformidade com os aspectos legais

                                        Todo o sistema de
                                        segurança da informação,
                                        com todos os seus
                                        controles, deve estar em
                                        plena harmonia e
                                        conformidade com as leis
                                        internacionais, nacionais,
                                        estaduais, municipais, e
                                        com as eventuais
                                        regulamentações internas
                                        da organização, bem como
                                        com as orientações de
                                        normatização e
                                        regulamentação do
            AUDITORIA EM
           TECNOLOGIA DA   Professor
                                        mercado.                   90
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais



                                        A política de segurança
                                        precisa garantir que seja
                                        avaliada a legislação
                                        vigente, que existam
                                        mecanismos para
                                        determinar se um crime
                                        envolvendo sistemas e
                                        computadores foi
                                        cometido, e que estes
                                        procedimentos possibilitem
                                        a preservação e coleta das
                                        evidências incriminatórias.
            AUDITORIA EM
                           Professor
                                                                  91
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais



                                        Os principais incidentes que
                                        podem ter implicações legais:
                                        1 – Viroses e códigos
                                        maliciosos;
                                        2 – Erro humano;
                                        3 – Ataques terroristas;
                                        4 – Acesso não autorizado;
                                        5 – Desastres naturais;
                                        6 – Mau funcionamento de
                                        hardware e software;
                                        7 – Serviços indisponíveis.

            AUDITORIA EM
                           Professor
                                                                    92
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais
                                        Mas como os crimes podem
                                        envolver computadores?

                                        Crime apoiado por
                                        computador. Fraudes,
                                        pornografia infantil, etc.

                                        Crime específico de
                                        computador. DOS, sniffers,
                                        roubo de senhas, etc.

                                        Crimes em que o computador
                                        é um mero elemento. Lista de
                                        clientes de traficantes, etc.
            AUDITORIA EM
           TECNOLOGIA DA   Professor
                                        Vejamos alguns incidentes históricos...
                                                                              93
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais

 Equity Funding. Considerado
 o primeiro crime grande
 envolvendo computadores. A
 organização usou seus
 computadores para criar
 falsos registros e outros
 instrumentos para aumentar o
 valor da organização no
 mercado.

 Os auditores, que checavam
 todas as evidencias nos
 computadores ao invés de
 avaliar as transações reais,
 foram enganados por muito
 tempo.

               AUDITORIA EM
                              Professor
                                           94
              TECNOLOGIA DA
               INFORMAÇÃO   André Campos
Conformidade com os aspectos legais


   412 Gang. Em 1982 um
   grupo auto-intitulado
   “412 Gang” ganhou fama
   nacional nos Estados
   Unidos quando derrubou
   o servidor de banco de
   dados do “Memorial
   Sloan Kettering Cancer
   Center”, e depois invadiu
   os computadores de uma
   organização militar
   chamada “Los Alamos”,
   no Novo México.
              AUDITORIA EM
                             Professor
                                          95
             TECNOLOGIA DA
              INFORMAÇÃO   André Campos
Conformidade com os aspectos legais


   Kevin Mitnick. Sem dúvida,
   trata-se do mais famoso e
   reconhecido hacker de todos
   os tempos. Foi o mestre na arte
   da engenharia social, técnica
   que empregou extensivamente
   para obter acesso a muitos
   sistemas de computores.

   Hoje ele presta serviços de
   segurança da informação, e
   seu site é o
   www.kevinmitnick.com.
              AUDITORIA EM
                             Professor
                                          96
             TECNOLOGIA DA
              INFORMAÇÃO   André Campos
Conformidade com os aspectos legais

                                        A política de segurança deve
                                        garantir procedimentos para
                                        identificação e adequação à
                                        legislação vigente.

                                        Isto inclui os direitos de
                                        propriedade intelectual, a
                                        proteção aos registros
                                        organizacionais, a proteção de
                                        dados e privacidade de
                                        informações pessoais, a
                                        prevenção de mau uso dos
                                        recursos de processamento da
                                        informação, e a regulamentação
            AUDITORIA EM
                                        dos controles de criptografia. 97
           TECNOLOGIA DA   Professor
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais


                                        Conformidade entre as
                                        políticas de segurança
                                        da informação e
                                        também a
                                        conformidade técnica.

                                        Isto significa que
                                        devem ser
                                        consideradas as
                                        políticas e normas de
                                        segurança, e a
                                        avaliação técnica
                                        destas normas.
            AUDITORIA EM
                           Professor
                                                                 98
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Conformidade com os aspectos legais


                                        E finalmente as
                                        questões referentes à
                                        auditoria.

                                        A política deve garantir
                                        que existam controles
                                        de auditoria, e
                                        proteção às
                                        ferramentas de
                                        auditoria, o que
                                        garantirá a
                                        confiabilidade destas
                                        ferramentas.
            AUDITORIA EM
                           Professor
                                                                   99
           TECNOLOGIA DA
            INFORMAÇÃO   André Campos
Auditoria em
Tecnologia da
Informação
Por André Campos
• Especialista em Segurança da Informação (UNESA)
• Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ)
• MCSO – Módulo Security Office
• Auditor Líder BS 7799 – Det Norske Veritas
• Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”.




                   AUDITORIA EM
                  TECNOLOGIA DA   Professor
                   INFORMAÇÃO   André Campos

Mais conteúdo relacionado

Mais procurados

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
Gleiner Pelluzzi
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mauricio Uriona Maldonado PhD
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
Fernando Palma
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SI
Daniel Brandão
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
Felipe Morais
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
Luiz Arthur
 
Métricas de Software
Métricas de SoftwareMétricas de Software
Métricas de Software
elliando dias
 
SGBD
SGBDSGBD
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1
Fernando Palma
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Banco de Dados - Part01
Banco de Dados - Part01Banco de Dados - Part01
Banco de Dados - Part01
Rangel Javier
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
Fernando Palma
 

Mais procurados (20)

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SI
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Métricas de Software
Métricas de SoftwareMétricas de Software
Métricas de Software
 
SGBD
SGBDSGBD
SGBD
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
 
Banco de Dados - Part01
Banco de Dados - Part01Banco de Dados - Part01
Banco de Dados - Part01
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 

Destaque

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Apostila Tecnologia da Informação (TI)
Apostila Tecnologia da Informação (TI)Apostila Tecnologia da Informação (TI)
Apostila Tecnologia da Informação (TI)
Ricardo Terra
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Silvino Neto
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoria
Fabio Cristiano
 
Auditoria
AuditoriaAuditoria
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
Alves Albert
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
GrupoAlves - professor
 
Mod01 introdução
Mod01   introduçãoMod01   introdução
Mod01 introdução
Fernando Palma
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Aulas 9 e 10 - 7 Fundamentos de Auditoria
Aulas 9 e 10 - 7 Fundamentos de AuditoriaAulas 9 e 10 - 7 Fundamentos de Auditoria
Aulas 9 e 10 - 7 Fundamentos de Auditoria
Secretaria de Estado da Tributação do RN
 
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Secretaria de Estado da Tributação do RN
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
Jefferson Santana
 
Apresentação Corporativa da Innovarium Tecnologia
Apresentação Corporativa da Innovarium TecnologiaApresentação Corporativa da Innovarium Tecnologia
Apresentação Corporativa da Innovarium Tecnologia
Innovarium Sistemas
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Fabíola Fernandes
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
2 Auditoria - Noções Gerais
2   Auditoria - Noções Gerais2   Auditoria - Noções Gerais
2 Auditoria - Noções Gerais
Bolivar Motta
 
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
elliando dias
 

Destaque (20)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Apostila Tecnologia da Informação (TI)
Apostila Tecnologia da Informação (TI)Apostila Tecnologia da Informação (TI)
Apostila Tecnologia da Informação (TI)
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoria
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Mod01 introdução
Mod01   introduçãoMod01   introdução
Mod01 introdução
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Aulas 9 e 10 - 7 Fundamentos de Auditoria
Aulas 9 e 10 - 7 Fundamentos de AuditoriaAulas 9 e 10 - 7 Fundamentos de Auditoria
Aulas 9 e 10 - 7 Fundamentos de Auditoria
 
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Apresentação Corporativa da Innovarium Tecnologia
Apresentação Corporativa da Innovarium TecnologiaApresentação Corporativa da Innovarium Tecnologia
Apresentação Corporativa da Innovarium Tecnologia
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
2 Auditoria - Noções Gerais
2   Auditoria - Noções Gerais2   Auditoria - Noções Gerais
2 Auditoria - Noções Gerais
 
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
 

Semelhante a Auditoria em tecnologia da informação

Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Artur Nascimento
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
Esc Tiradentes
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
Diego Souza
 
Introdução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxIntrodução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptx
Jadna Almeida
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
Vicente Willians Nunes
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
vicente nunes
 
Administraçao de sistemas aula 2
Administraçao de sistemas  aula 2Administraçao de sistemas  aula 2
Administraçao de sistemas aula 2
Vicente Willians Nunes
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2
vicente nunes
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
Jairo Willian Pereira
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
Menis_IKE
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
Sthefanie Vieira
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 

Semelhante a Auditoria em tecnologia da informação (12)

Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Introdução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxIntrodução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptx
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
 
Administraçao de sistemas aula 2
Administraçao de sistemas  aula 2Administraçao de sistemas  aula 2
Administraçao de sistemas aula 2
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 

Mais de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
Fernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
Fernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
Fernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
Fernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
Fernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
Fernando Palma
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
Fernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
Fernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
Fernando Palma
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
Fernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
Fernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
Fernando Palma
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
Fernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
Fernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
Fernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
Fernando Palma
 
Internet Das Coisas Trabalho Acadêmico
Internet Das Coisas Trabalho AcadêmicoInternet Das Coisas Trabalho Acadêmico
Internet Das Coisas Trabalho Acadêmico
Fernando Palma
 

Mais de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 
Internet Das Coisas Trabalho Acadêmico
Internet Das Coisas Trabalho AcadêmicoInternet Das Coisas Trabalho Acadêmico
Internet Das Coisas Trabalho Acadêmico
 

Auditoria em tecnologia da informação

  • 1. Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) • Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ) • MCSO – Módulo Security Office • Auditor Líder BS 7799 – Det Norske Veritas • Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 2. Auditoria em Tecnologia da Informação Por André Campos Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com segurança da informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 3. Auditoria em Tecnologia da Informação Por André Campos Crédito das imagens Diversas figuras foram obtidas a partir do acesso público permitido pelo site www.images.com. Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alteração foi aplicada sobre elas. Algumas imagens foram obtidas da obra “Sistema de Segurança da Informação – Controlando Riscos”. Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 4. Auditoria em Tecnologia da Informação Por André Campos Bibliografia Sistemas de segurança da informação – Controlando Riscos; Campos, André; Editora Visual Books, 2005. Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti, John / Hare, Chris; Editora Auerbach, 2004. AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 5. Conceitos básicos de SI • Ativo de informação • Ameaça • Vulnerabilidade • Incidente • Probabilidade • Impacto • Risco • Incidente AUDITORIA EM Professor 5 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 6. Conceitos básicos de SI Ativo de informação A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor. DADOS INFORMAÇÃO CONHECIMENTO AUDITORIA EM Professor 6 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 7. Conceitos básicos de SI Propriedades de segurança da informação A segurança da E informação é garantida AD IN ID TEG pela preservação de AL RID CI três aspectos EN AD ID essenciais: E NF CO confidencialidade, integridade, e disponibilidade (CID). DISPONIBILIDADE AUDITORIA EM Professor 7 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 8. Conceitos básicos de SI Confidencialidade O princípio da confidencialidade é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação. AUDITORIA EM Professor 8 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 9. Conceitos básicos de SI Integridade O princípio da integridade é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável. AUDITORIA EM Professor 9 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 10. Conceitos básicos de SI Disponibilidade O princípio da disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário. AUDITORIA EM Professor 10 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 11. Conceitos básicos de SI Vulnerabilidade São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação: confidencialidade, integridade, e disponibilidade. AUDITORIA EM Professor 11 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 12. Conceitos básicos de SI Ameaça A ameaça é um agente externo ao ativo de informação, que aproveitando-se das vulnerabilidades deste ativo, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por este ativo. AUDITORIA EM Professor 12 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 13. Conceitos básicos de SI Probabilidade A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades. AUDITORIA EM Professor 13 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 14. Conceitos básicos de SI Impacto O impacto de um incidente são as potenciais conseqüências que este incidente possa causar ao negócio da organização. AUDITORIA EM Professor 14 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 15. Conceitos básicos de SI Risco RISCO=IMPACTO*PROBABILIDADE O risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação. AUDITORIA EM Professor 15 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 16. Conceitos básicos de SI Incidente de Segurança da Informação Quando uma ameaça explora vulnerabilidades Negócio da organização de um ativo de Confidencialidade informação, violando Incidente de segurança uma de suas Informação Integridade características de Disponibilidade Ativos de informação segurança (CID), temos Ameaças Vulnerabilidades o incidente de segurança da Grau informação. Este Grau ameaça vulnerabilidade incidente tem uma chance de acontecer, e PROBABILIDADE IMPACTO se acontecer gera um determinado impacto ou prejuízo. AUDITORIA EM Professor 16 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 17. Como implementar um sistema de segurança Conhecer os conceitos sobre segurança da informação não significa necessariamente saber garantir esta segurança. Muitos têm experimentado esta sensação quando elaboram seus planos de segurança e acabam não atingindo os resultados desejados. AUDITORIA EM Professor 17 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 18. Como implementar um sistema de segurança Um gerente de segurança da informação de verdade trabalha com fatos, com resultados de análise e exames da organização em questão. A partir destes resultados ele estabelece um conjunto de ações coordenadas no sentido de garantir a segurança da informação; um conjunto de ações, um conjunto de mecanismos integrados entre si, de fato, um sistema de segurança da informação. AUDITORIA EM Professor 18 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 19. Como implementar um sistema de segurança A implantação de um sistema de segurança da Planejar informação não é uma (PLAN) tarefa trivial. O modelo proposto pela Melhorar Implementar Qualidade (família ISO) é (ACT) (DO) o caminho adequado superar este desafio. Este modelo é baseado no conceito de melhoria Monitorar (CHECK) contínua (PDCA). AUDITORIA EM Professor 19 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 20. Como implementar um sistema de segurança A primeira fase é de planejamento (PLAN). Nesta fase, é definido o escopo e abrangência esperada para o sistema de segurança da informação, e realizada a análise de risco, e feito o planejamento para o tratamento do risco. D e fin iç ã o A n á lis e P la n e ja m e n to d e d o e sc o p o d o ris c o tra ta m e n to d o ris c o AUDITORIA EM Professor 20 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 21. Como implementar um sistema de segurança Escopo Nem sempre é fácil ORGANIZAÇÃO implantar o sistema em toda a organização. Por Vendas Produção isso, definir escopos sucessivamente Recursos Humanos Tecnologia da Informação maiores talvez seja o caminho para se chegar ao objetivo final: Escopo inicial. segurança da Escopo ampliado. informação em toda a Escopo final. organização. AUDITORIA EM Professor 21 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 22. Como implementar um sistema de segurança Análise de risco Depois do escopo definido, é a hora de pensar que controles Tecnologia da implementar. informação Bloqueio Invasor Firewall portas TCP interno Para otimizar esta decisão é io éd M Controle imprescindível realizar a análise Manter Servidor de de acesso Invasor externo serviços de Médio físico de risco. Ela apontará para as rede arquivos Sistema prioridades dentro do escopo. antivírus Vírus Al Servidor de to correio Variação Nobreak de A análise deve ser feita energia considerando as seguintes dimensões: processos, tecnológica, ambiental, e pessoas. AUDITORIA EM Professor 22 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 23. Como implementar um sistema de segurança Análise de risco AUDITORIA EM Professor 23 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 24. Como implementar um sistema de segurança Análise de risco Os processos, tecnologias, ambientes e pessoas são, de fato, ativos de informação; ou categorizações destes ativos. As pessoas ocupam uma posição central entre estas categorias, pois sua importância é maior do que a das outras. AUDITORIA EM Professor 24 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 25. Como implementar um sistema de segurança O que fazer com o risco? Com o risco já identificado, é importante decidir o que fazer com ele. É possível: • Evitar • Controlar • Transferir • Aceitar Isto fica claro na declaração de aplicabilidade. AUDITORIA EM Professor 25 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 26. Como implementar um sistema de segurança Declaração de aplicabilidade AUDITORIA EM Professor 26 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 27. Como implementar um sistema de segurança Implementando o sistema Após a etapa de planejamento, o próximo passo é executar o planejado. Isto envolve o planejamento da fase de implementação, a execução e o controle da implementação, e por fim, o encerramento da implementação. Planejar a Encerrar a Implementar implementação implementação Controlar a implementação AUDITORIA EM Professor 27 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 28. Monitorando o sistema de segurança O monitoramento ou Realizar registros controle do sistema implica em avaliar sistematicamente se os Monitorar controles implementados controles estão atendendo as Reavaliar expectativas originais. sistema Realizar Para tanto, os processos auditorias ao lado precisam ser executados com regularidade. Reavaliar riscos AUDITORIA EM Professor 28 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 29. Controles de segurança da informação A implementação de um sistema de segurança da informação se dá pela instalação de controles específicos nas mais diversas áreas da organização, sempre pensando nas dimensões de processos, tecnologias, ambientes e pessoas. AUDITORIA EM Professor 29 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 30. Controles de segurança da informação •Política (PSI) •Estrutura organizacional •Controle de acesso •Pessoas •Segurança física •Segurança lógica •Operação de sistemas •Desenvolvimento de sistemas •Continuidade do negócio •Incidentes de segurança AUDITORIA EM •Aspectos legais 30 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 31. Política de segurança da informação AUDITORIA EM Professor 31 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 32. Controles de segurança da informação Política A política de DIRETRIZES segurança da D1 informação (PSI) deve estar alinhada com os objetivos de NORMAS negócio da N1 N2 N3 organização. PROCEDIMENTOS Ela é estruturada em P1 P2 P3 P4 P5 P6 P7 diretrizes, normas e procedimentos. AUDITORIA EM Professor 32 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 33. Controles de segurança da informação Política Definições gerais Objetivos e metas A elaboração e implantação Estabelecer o Diretrizes método de de uma política de segurança trabalho Responsabilidades é sem si mesmo um projeto a Avaliar as Definições de registro de incidente ser gerido. questões de negócio, legais e Frequência de revisão contratuais Os passos essenciais são Definir contexto Critérios de risco estratégico demonstrados na figura ao Legislação e de risco Risco aceitável lado. Regulamento interno Contratos Construir a política O governo federal está obrigado por decreto a possuir Aprovar a e respeitar uma política de política segurança, conforme Decreto 3.505 de 13 de junho de 2000. Divulgar a política AUDITORIA EM Professor 33 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 34. Controles de segurança da informação Ser Política simples FATORES INTERNOS A política possui Ser Ser objetiva consistente características, ou fatores, internos e Definir Definir externos, que penalidades metas precisam ser respeitados por Definir responsabilidades ocasião de sua elaboração e FATORES EXTERNOS ACESSÍVEL implantação. CONHECIDA APROVADA DINÂMICA 34 EXEQUÍVEL AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 35. Estrutura organizacional AUDITORIA EM Professor 35 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 36. Estrutura organizacional Escritório de segurança Deve haver uma área designada na organização para cuidar da segurança da informação em tempo integral. O escritório de segurança ESCRITÓRIO DE gerencia o sistema de Security Officer SEGURANÇA DA segurança e faz a interlocução INFORMACÃO entre o fórum de segurança e o comitê gestor de segurança. COMITÊ AUDITORIA IMPLEMENTAÇÃO COORDENADOR INTERNA AUDITORIA EM Professor 36 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 37. Estrutura organizacional Fórum de segurança R e p r e s e n ta ç ã o e x e c u tiv a D ir e t o r d e R e c u r s o s H u m a n o s ORGANIZAÇÀO D ir e t o r d e T e c n o lo g ia d a In f o r m a ç ã o FÓ RU M D E D ir e t o r d e V e n d a s SEG U RA N Ç A D A IN F O R M A Ç Ã O D ir e t o r d e P r o d u ç ã o D ir e t o r d e L o g ís t ic a O fórum de segurança da informação é quem decide, em última análise, sobre a implantação ou não dos controles de segurança da informação. Este fórum, em geral, é a própria diretoria da organização, ou uma comissão por ela indicada. AUDITORIA EM Professor 37 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 38. Estrutura organizacional Comitê gestor O comitê gestor de segurança da informação é uma estrutura matricial formada por representantes das áreas mais relevantes da organização. Este grupo ajuda a detectar necessidades e a implantar os controles. A coordenação do grupo, em geral, é do Gerente de Segurança. AUDITORIA EM Professor 38 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 39. Classificação da informação AUDITORIA EM Professor 39 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 40. Classificação da informação As informações possuem valor e usos diferenciados, e portanto, precisam de graus diferenciados de proteção. Cada tipo de proteção possui seu próprio custo, e classificar a informação é um esforço para evitar o desperdício de investimento ao se tentar proteger toda a informação. AUDITORIA EM Professor 40 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 41. Classificação da informação A informação deve ser classificada em nível corporativo, e não por aplicação ou departamento. Os principais benefícios são: • CID é fortalecido pelos controles implementados em toda a organização; • O investimento em proteção é otimizado; • A qualidade das decisões é aumentada, já que as informações são mais confiáveis; • A organização controla melhor suas informações e pode fazer uma re-análise periódica de seus processos e informações. AUDITORIA EM Professor 41 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 42. Classificação da informação Para começar, algumas perguntas: Existe um patrocinador para o projeto de classificação? O que você está tentando proteger, e do quê? Existe algum requerimento regulatório a ser considerado? (Decreto 4.554/2003) O negócio entende sua responsabilidade sobre a informação? Existem recursos disponíveis para o projeto? AUDITORIA EM Professor 42 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 43. Classificação da informação A política de segurança da informação deve contemplar as políticas de classificação. Alguns critérios essenciais precisam ser definidos nesta política: • As definições para cada uma das classificações; • Os critérios de segurança para cada classificação, tanto em termos de dados quanto em termos de software; • As responsabilidades e obrigações de cada grupo de indivíduos responsável pela implementação da classificação e por seu uso. AUDITORIA EM Professor 43 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 44. Classificação da informação Ainda, a política precisa estabelecer as seguintes regras: • A informação é um bem e precisa ser protegido; • Os gerentes são proprietários da informação; • A área de TI é custodiante da informação; • Obrigações e responsabilidades para os proprietários da informação; • Propor um conjunto mínimo de controles que devem ser estabelecidos. AUDITORIA EM Professor 44 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 45. Gestão das pessoas AUDITORIA EM Professor 45 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 46. Gestão de pessoas As pessoas são o elemento central de um sistema de segurança da informação. Os incidentes de segurança da informação sempre envolve pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaças que exploram estas vulnerabilidades. Pessoas são suscetíveis à ataques de engenharia social. AUDITORIA EM Professor 46 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 47. Gestão de pessoas A engenharia social é a forma de ataque mais comum para este tipo de ativo. Engenharia social é o processo de mudar o comportamento das pessoas de modo que suas ações sejam previsíveis, objetivando obter acesso a informações e sistemas não autorizados. AUDITORIA EM Professor 47 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 48. Gestão de pessoas Um ataque de engenharia social é realizado em três fases: 1 – Levantamento de informações; 2 – Seleção do alvo; 3 – Execução do ataque. AUDITORIA EM Professor 48 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 49. Gestão de pessoas Devem ser criadas políticas para aplicação antes do contrato de pessoal. • Papéis e responsabilidades; • Seleção; • Termos e condições de contratação. AUDITORIA EM Professor 49 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 50. Gestão de pessoas Políticas para aplicação durante contrato de pessoal. • Responsabilidades da Direção; • Conscientização e treinamento; • Processo disciplinar. AUDITORIA EM Professor 50 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 51. Gestão de pessoas E políticas para aplicação no encerramento do contrato de pessoal. • Encerramento de atividades; • Devolução de ativos; • Retirada dos direitos de acesso. AUDITORIA EM Professor 51 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 52. Segurança física AUDITORIA EM Professor 52 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 53. Segurança física As políticas de segurança física devem proteger os ativos de informação que sustentam os negócios da organização. Atualmente a informação está distribuída fisicamente em equipamentos móveis, tais como laptops, celulares, PDAs, memory keys, estações de trabalho, impressoras, telefones, FAXs, entre outros. AUDITORIA EM Professor 53 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 54. Segurança física A segurança física precisa garantir a segurança da informação para todos estes ativos. Esta segurança deve ser aplicada para as seguintes categorias de ativos: • Sistemas estáticos, que são instalações em estruturas fixadas no espaço; • Sistemas móveis, que são aqueles instalados em veículos ou mecanismos móveis; • Sistemas portáteis, que são aqueles que podem ser operados AUDITORIA EM em qualquer lugar. 54 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 55. Segurança física Diversas ameaças que podem explorar vulnerabilidades físicas, tais como: Naturais – Enchentes, tempestades, erupções vulcânicas, temperaturas extremas, alta umidade... Sistemas de apoio – Comunicação interrompida, falta de energia, estouro em tubulações... Humanas – Explosões, invasões físicas, sabotagens, contaminação química... Eventos políticos – Ataque terrorista, espionagem, greves... AUDITORIA EM Professor 55 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 56. Segurança física A segurança Porta, e 4 física requer equipamento Sala dos computadores para servidores que a área digitação de senha e leitura de Porta, e seja equipamento impressão digital para digitação de protegida, e Suporte operacional 3 senha uma forma simples de enxergar a Porta segurança física é Atendimento Recepção ao cliente definindo 1 2 perímetro de segurança, ou Porta e recepcionista camadas de acesso. AUDITORIA EM Professor 56 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 57. Segurança física As seguintes políticas de segurança física devem ser consideradas: • Controle de entrada física; • Segurança em escritórios, salas e instalações; • Proteção contra ameaças externas e naturais; • Proteção das áreas críticas; • Acesso de pessoas externas; • Instalação e proteção dos equipamentos; • Equipamentos fora da organização; • Estrutura de rede; • Manutenção dos equipamentos; • Reutilização e alienação de equipamentos; AUDITORIA EM • Remoção de propriedade. 57 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 58. Gestão das operações de TI AUDITORIA EM Professor 58 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 59. Gestão das operações de TI As operações de TI envolve o controle sobre o hardware, mídias, gestão de privilégios, rede, segurança Internet, métodos de transmissão de informações, entre outros. O objetivo é garantir o CID em todas estas operações. Políticas devem ser AUDITORIA EM TECNOLOGIA DA Professor criadas para este fim. 59 INFORMAÇÃO André Campos
  • 60. Gestão das operações de TI As responsabilidades operacionais devem ser atribuídas, e procedimentos precisam ser escritos, aprovados e publicados. AUDITORIA EM Professor 60 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 61. Gestão das operações de TI Os serviços operacionais de tecnologia da informação prestados por terceiros precisam ser regulados e devidamente gerenciados. AUDITORIA EM Professor 61 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 62. Gestão das operações de TI A necessidade de sistemas precisa ser planejada de acordo com as necessidades demonstradas nos processos de negócio. Estes sistemas devem passar por avaliação e homologação antes da entrada definitiva em operação. AUDITORIA EM Professor 62 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 63. Gestão das operações de TI Uma política de cópia de segurança (backup) deve ser estabelecida. As operações de backup precisam ser gerenciadas. AUDITORIA EM Professor 63 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 64. Gestão das operações de TI A segurança das operações em rede é um importante fator a ser considerado na política de segurança da informação. AUDITORIA EM Professor 64 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 65. Gestão das operações de TI Uma política para manuseio de mídias deve ser elaborada. Questões tais como o gerenciamento, o descarte, procedimentos para tratamento da informação, e a segurança para os documentos de sistema, são importantes nesta política. AUDITORIA EM Professor 65 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 66. Gestão das operações de TI A troca de informações deve ser considerada. Questões importantes são: estabelecer procedimentos para troca de informações, mídias em trânsito, mensagens eletrônicas, sistemas de informações do negócio, entre outros. AUDITORIA EM Professor 66 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 67. Gestão das operações de TI Por fim, é importante considerar o monitoramento de todas as operações em TI. Para tanto, devem existir registros de auditoria, monitoramento do uso dos sistemas, proteção das informações de registro (log), registro de log tanto de operador quanto de administrador, registro em log das falhas, e mecanismo de sincronização dos relógios das máquinas. AUDITORIA EM Professor 67 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 68. Controle de acesso lógico AUDITORIA EM Professor 68 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 69. Controle de acesso lógico É preciso elaborar uma política de controle de acesso, que apontará para os requisitos de negócio e para as regras de controle de acesso. Na idade média já existia o conceito de controle de acesso, quando uma senha ou frase secreta era a chave para entrar em um determinado recinto. AUDITORIA EM Professor 69 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 70. Controle de acesso lógico O conceito de controle de acesso baseia-se em dois princípios: 1 – Separação de responsabilidades; 2 – Privilégios mínimos. AUDITORIA EM Professor 70 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 71. Controle de acesso lógico O conceito de separação de responsabilidades implica na separação de um determinado processo de modo que cada parte possa ser realizada por uma pessoa diferente. Isto obriga os colaboradores a interagir para concluir um determinado processo, diminuindo as chances de fraudes. AUDITORIA EM Professor 71 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 72. Controle de acesso lógico O conceito de privilégio mínimo implica na concessão apenas dos privilégios mínimos necessários para que uma pessoa realize suas atividades. Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam levar a incidentes de segurança da informação. Há um termo em inglês para este conceito: “need-to-know”. AUDITORIA EM Professor 72 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 73. Controle de acesso lógico A política de controle de acesso deve abranger pelo menos os seguintes temas: 1 – Definição dos requisitos de negócio para controle de acesso; 2 – Gerenciamento dos acessos pelos usuários; 3 – Definição das responsabilidades dos usuários; 4 – Controle de acesso à rede; 5 – Controle de acesso ao sistema operacional; 6 – Controle de acesso aos sistemas de informação; 7 – Computação móvel e trabalho AUDITORIA EM remoto. 73 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 74. Desenvolvimento e aquisição de sistemas AUDITORIA EM Professor 74 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 75. Aquisição, desenvolvimento e manutenção de sistemas A segurança dos dados e informações em sistemas é um dos mais importantes objetivos de um sistema de segurança da informação. Os procedimentos de desenvolvimento destes sistemas são uma questão vital para a segurança, para a manutenção do CID das informações. A política de desenvolvimento de sistemas é o mecanismos para AUDITORIA EM garantir estes resultados. 75 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 76. Aquisição, desenvolvimento e manutenção de sistemas A aquisição de sistemas possibilita o surgimento de diversas vulnerabilidades. A utilização de códigos abertos disponibilizados por comunidades é um dos perigos muitas vezes ignorados. A política de sistemas precisa garantir a diminuição destas vulnerabilidades. AUDITORIA EM Professor 76 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 77. Aquisição, desenvolvimento e manutenção de sistemas O desenvolvimento e manutenção de sistemas também contém diversas vulnerabilidades. Se não houver uma política explicita que oriente este desenvolvimento, vulnerabilidades poderão ser introduzidas no levantamento de requisitos, na construção do projeto, e na implantação do sistema. AUDITORIA EM Professor 77 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 78. Aquisição, desenvolvimento e manutenção de sistemas A política de sistemas de informação deve se preocupar com os seguintes assuntos: 1 - Definição dos requisitos de segurança para sistemas; 2 – Processamento correto nas aplicações; 3 – Controles criptográficos; 4 - Segurança dos arquivos de sistema; 5 – Segurança nos processos de desenvolvimento e manutenção; 6 – Gestão das vulnerabilidades AUDITORIA EM Professor técnicas. 78 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 79. Gestão de incidentes de segurança AUDITORIA EM Professor 79 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 80. Gestão dos incidentes de segurança da informação Apesar de todos os controles implementados, eventualmente ocorrerão incidentes de segurança da informação. Estes incidentes podem ser uma indicação de que alguns dos controles não estão sendo eficazes, e este é um bom motivo para reavaliar os mesmos. AUDITORIA EM Professor 80 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 81. Gestão dos incidentes de segurança da informação A política de segurança da informação deve se preocupar com pelo menos os seguintes assuntos sobre gestão de incidentes: 1 – Notificação e registro dos incidentes; 2 – Tratamento dos incidentes e melhoria contínua. AUDITORIA EM Professor 81 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 82. Plano de continuidade de negócio AUDITORIA EM Professor 82 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 83. Plano de continuidade do negócio (PCN) O plano de continuidade de negócio é de fato uma política para que os negócios da organização não sejam interrompidos por incidentes de segurança da informação. Isto significa que esta política deve garantir a existência de procedimentos de preparação, teste, e manutenção de ações específicas para proteger os processos críticos do negócio. Um PCN é constituído de 5 fases. AUDITORIA EM Professor 83 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 84. Plano de continuidade do negócio (PCN) 1 - Iniciação e gestão do projeto. Nesta fase são estabelecidos o gerente e a equipe do projeto, que elaboram o plano deste projeto. AUDITORIA EM Professor 84 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 85. Plano de continuidade do negócio (PCN) 2 - Análise de impacto para o negócio. Nesta fase são identificados os tempos críticos dos processos essenciais da organização, e determinados os tempos máximos de tolerância de parada para estes processos (downtime). AUDITORIA EM Professor 85 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 86. Plano de continuidade do negócio (PCN) 3 – Estratégias de recuperação. Nesta fase são identificadas e selecionadas as alternativas adequadas de recuperação para cada tipo de incidente, respeitando os tempos definidos na etapa anterior (análise de impacto para o negócio). AUDITORIA EM Professor 86 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 87. Plano de continuidade do negócio (PCN) 4 – Elaboração dos planos. Nesta fase são construídos os documentos, os planos de continuidade propriamente ditos. Estes documentos são resultados da análise de impacto para o negócio, e estratégias de recuperação. AUDITORIA EM Professor 87 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 88. Plano de continuidade do negócio (PCN) 5 – Teste, manutenção e treinamento. Nesta fase são estabelecidos os processos para teste das estratégias de recuperação, manutenção do PCN, e garantia de que os envolvidos estão cientes de suas responsabilidades e devidamente treinados nas estratégias de recuperação. AUDITORIA EM Professor 88 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 89. Conformidade com os aspectos legais AUDITORIA EM Professor 89 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 90. Conformidade com os aspectos legais Todo o sistema de segurança da informação, com todos os seus controles, deve estar em plena harmonia e conformidade com as leis internacionais, nacionais, estaduais, municipais, e com as eventuais regulamentações internas da organização, bem como com as orientações de normatização e regulamentação do AUDITORIA EM TECNOLOGIA DA Professor mercado. 90 INFORMAÇÃO André Campos
  • 91. Conformidade com os aspectos legais A política de segurança precisa garantir que seja avaliada a legislação vigente, que existam mecanismos para determinar se um crime envolvendo sistemas e computadores foi cometido, e que estes procedimentos possibilitem a preservação e coleta das evidências incriminatórias. AUDITORIA EM Professor 91 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 92. Conformidade com os aspectos legais Os principais incidentes que podem ter implicações legais: 1 – Viroses e códigos maliciosos; 2 – Erro humano; 3 – Ataques terroristas; 4 – Acesso não autorizado; 5 – Desastres naturais; 6 – Mau funcionamento de hardware e software; 7 – Serviços indisponíveis. AUDITORIA EM Professor 92 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 93. Conformidade com os aspectos legais Mas como os crimes podem envolver computadores? Crime apoiado por computador. Fraudes, pornografia infantil, etc. Crime específico de computador. DOS, sniffers, roubo de senhas, etc. Crimes em que o computador é um mero elemento. Lista de clientes de traficantes, etc. AUDITORIA EM TECNOLOGIA DA Professor Vejamos alguns incidentes históricos... 93 INFORMAÇÃO André Campos
  • 94. Conformidade com os aspectos legais Equity Funding. Considerado o primeiro crime grande envolvendo computadores. A organização usou seus computadores para criar falsos registros e outros instrumentos para aumentar o valor da organização no mercado. Os auditores, que checavam todas as evidencias nos computadores ao invés de avaliar as transações reais, foram enganados por muito tempo. AUDITORIA EM Professor 94 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 95. Conformidade com os aspectos legais 412 Gang. Em 1982 um grupo auto-intitulado “412 Gang” ganhou fama nacional nos Estados Unidos quando derrubou o servidor de banco de dados do “Memorial Sloan Kettering Cancer Center”, e depois invadiu os computadores de uma organização militar chamada “Los Alamos”, no Novo México. AUDITORIA EM Professor 95 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 96. Conformidade com os aspectos legais Kevin Mitnick. Sem dúvida, trata-se do mais famoso e reconhecido hacker de todos os tempos. Foi o mestre na arte da engenharia social, técnica que empregou extensivamente para obter acesso a muitos sistemas de computores. Hoje ele presta serviços de segurança da informação, e seu site é o www.kevinmitnick.com. AUDITORIA EM Professor 96 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 97. Conformidade com os aspectos legais A política de segurança deve garantir procedimentos para identificação e adequação à legislação vigente. Isto inclui os direitos de propriedade intelectual, a proteção aos registros organizacionais, a proteção de dados e privacidade de informações pessoais, a prevenção de mau uso dos recursos de processamento da informação, e a regulamentação AUDITORIA EM dos controles de criptografia. 97 TECNOLOGIA DA Professor INFORMAÇÃO André Campos
  • 98. Conformidade com os aspectos legais Conformidade entre as políticas de segurança da informação e também a conformidade técnica. Isto significa que devem ser consideradas as políticas e normas de segurança, e a avaliação técnica destas normas. AUDITORIA EM Professor 98 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 99. Conformidade com os aspectos legais E finalmente as questões referentes à auditoria. A política deve garantir que existam controles de auditoria, e proteção às ferramentas de auditoria, o que garantirá a confiabilidade destas ferramentas. AUDITORIA EM Professor 99 TECNOLOGIA DA INFORMAÇÃO André Campos
  • 100. Auditoria em Tecnologia da Informação Por André Campos • Especialista em Segurança da Informação (UNESA) • Especialista em Gestão Estratégica de Tecnologia da Informação (UFRJ) • MCSO – Módulo Security Office • Auditor Líder BS 7799 – Det Norske Veritas • Autor do livro: “Sistema de Segurança da Informação – Controlando riscos”. AUDITORIA EM TECNOLOGIA DA Professor INFORMAÇÃO André Campos