Segurança e Auditoria de Sistemas

ALLAN PITER PRESSI [email_address] SEGURANÇA E AUDITORIA DE SISTEMAS. @allanpitter 07/09/2010

ALLAN PITER PRESSI [email_address]

ALLAN PITER PRESSI [email_address] Não foi o medo que tomou conta dele apenas uma noção ampliada das coisas... Leonidas

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 1. Conceitos de Segurança da Informação Confidencialidade – garantir acesso ao sistema a apenas quem de fato tem acesso; Integridade – A informação estar no estado em que foi armazenada; Disponibilidade – A informação estar acessível sempre que solicitado; Autenticação – Garantir que um usuário é de fato quem alega ser; Não-repúdio – capacidade do sistema provar que um usuário executou uma determinada ação; Legalidade – Garantir que o sistema esteja dentro legislação vigente; Privacidade – Capacidade de um sistema de manter anonimato de seus usuários; Auditoria – Capacidade que um sistema possui para que possa ser auditado suas operações.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 1. Conceitos de Segurança da Informação Incidente de segurança – Ocorrência de um evento que possa causar interrupções nos processos de negócios em consequencia de violação de algum aspecto; Ativo de informação – Todos os elementos que suportam uma informação; Ataque – Incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, buscando como alvo um ativo de valor; Vulnerabilidade – Ativos que possuem algum tipo de fraqueza que pode gerar intencionalmente ou não indisponibilidade de um ativo de informação; Ameaça – Ataque a potencial a um ativo de informação realizado por um agente externo; Probabilidade – Possibilidade de ocorrência de uma falha, deve-se levar em conta as vulnerabilidades e ameaças.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 1. Conceitos de Segurança da Informação Impacto – conseqüência que pode causar a um ativo de informação após um incidente de segurança; Controle – Medidas que visam proteger um ativo de informação visando minimizar ou mitigar o grau de exposição de um ativo;

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 2. Ciclo de Vida da Informação Meio Externo Meio Interno Identificação das necessidades e requisitos

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 2. Ciclo de Vida da Informação Obtenção – Procedimentos para captura e recepção da informação; Tratamento – Forma com que a informação é tratada antes de ser consumida; Distribuição – Levar a informação até seus consumidores; Uso – A informação é usada para gerar valor para a organização; Armazenamento – Assegurar a conservação da informação para uso futuro; Descarte – Quando uma informação torna-se obsoleta ou perde a utilidade para organização, ela deve ser objeto de processo de descarte que obedeça as normas legais.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 3. Classificação e controle de Ativos de Informação Ativos de Informação Software Físico Serviços Pessoas Documentos em Papel Informação

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 3. Classificação e controle de Ativos de Informação Classificação – atribuir o grau de sigilo a um ativo da informação; Proprietário – Responsável pelo ativo da informação; Custodiante – Responsável pela guarda do ativo da informação assegura que o ativo da informação está sendo protegido; Informação Pública – são informação que se divulgadas não trarão impactos a empresa; Informação Interna – são informação de uso interno a uma empresa como uma lista de telefones, etc; Confidencial – Informação de acesso restrito dentro da empresa; Secreta – informações críticas para a organização, são informações vitais aos rumos do negócio;

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 3. Classificação e controle de Ativos de Informação Classificação quanto a disponibilidade – defini a criticidade de uma informação e determina o seu grau de disponibilidade que a mesma deve ter minuto, horas, dias, não é crítica; Classificação quanto a integridade – defini a forma de armazenar as informações dado o seu grau de importância, visando a exclusão e/ou adulteração indevida da mesma; Monitoramento contínuo, criar procedimentos para revisar periodicamente a classificação e estado das informações para garantir que os mesmos estão classificados adequadamentes;

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 4. Aspectos Humanos da Segurança da informação Security Officer – Coordenação, planejamento, indicadores de segurança corporativa, base de conhecimento, treinamento, capacitação, BCP, Investigação de Segurança, Análise de Risco, GRC, etc; Engenharia Social – Arte de utilzar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada; Física e Psicologica Sempre representa o elo mais fraco; Segurança no trabalho; Segurança no processo de seleção de pessoal; Treinamento de Usuários;

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 5. Segurança no ambiente físico Combinar medidas de prevenção, detecção e reação a possíveis incidentes; Criar barreiras de segurança, medidas preventivas que impeçam ataques aos ativos da informação; Medidas físicas (muros, câmeras, catracas); Lógicas (Senhas, toquens, biometria); Proteger os perímetros do ambiente; Segurança em escritórios, salas e instalações de ativos de informação; Segurança de equipamentos; Segurança de documentos em papel e eletrônicos; Segurança de mídias de computador; Segurança no cabeamento.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 6. Segurança no ambiente lógico Segurança em Redes, deve abranger problemas de autenticação de usuários e equipamentos, interfaces de segurança entre o ambiente externo e externo; diversos mecanismo de proteção, dentro os quais podemos citar firewalls, IDS, IPS, mecanismo de gerência de rede e controle de trafego, estabelecer roteamento estatíco, etc.; outros controles podem ser implementados utilizando técnicas de criptográfia, tokens, VPNs, antivírus, etc. firewall: controle de acesso a rede, sua função é examinar o trafégo de rede que deve ser observado a política de segurança; perímetro lógico, conhecido como DMZ , permite proteger um computador ou segmento de rede ficando entre a rede interna e externa, funcionando como uma área neutra;

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 6. Segurança no ambiente lógico VPN: representa outra alternativa, minimizando o impacto sobre o uso de redes públicas para transmissão de dados privados, softwares podem criar redes privadas (túneis criptográfico) entre pontos autorizados para transferência de informações de forma segura; Antivírus: sua função é analisar os programas de forma a identificar vírus, worms, ameaças em geral; criptografia: utilização de códigos encriptados com o próposito de criar restrições para acesso não autorizado; Esteganografia: técnica de ocultar uma informação dentro de outra, usando o principio de camuflagem; Assinatura e certificado digital: garantir a autenticidade, integridade e não repúdio ou irretratabilidade; IDS e IPS: sistemas que monitora e analisa os eventos de uma rede em busca de anormalidades no tráfego de rede.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 7. Controle de Acesso Todo o acesso a informação deve ser controlado; O controle de acesso pode ser dividido em lógico e físico; Controle de acesso lógico: Identificação e autenticação do usuário O que você é? O que você tem? O que você sabe? Administração dos privilégios de usuários; Monitoração do uso e acesso ao sistema; Controle de acesso físico.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Modelo de segurança corporativa é composto pela seguintes etapas: Comite corporativo de segurança da informação; Mapeamento da Segurança; Planejamento de Segurança; Implementação de Segurança; Administração de Segurança; Segurança na cadeia produtiva.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Comite corporativo de segurança da informação: Orientar as ações corporativa de segurança; Alinhar o plano de ação as diretrizes estratégicas do negócios; Coordenar as equipes de segurança; Garantir o sucesso da implantação do modelo de gestão de segurança; Promover a consolidação do modelo de gestão de segurança.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Mapeamento de segurança: Identificar o grau de importância dos diversos processos de negócios, perímetros e infra-estrutura; Inventariar ativos de informação; Identificar o cenário atual de ameaças, vulnerabilidades e impactos; Mapear as necessidades e as relações da empresa ao manuseio da informação; Organizar as demandas de segurança do negócio.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Estratégia de segurança Definir o plano de ação considerando todos os pontos inerentes ao negócios; Criar sinergia entre o plano atual e desejado em sintonia com alta direção.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Planejamento de Segurança Organizar os comitês de seguranças; Capacitar executivos e técnicos; Elaborar a política de segurança da informação, considerando os diversos pontos; Realizar ações corretivas emergenciais em função de risco iminente percebidos no mapeamento.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Implementação de Segurança Divulgar a política de segurança da informação; Capacitar e conscientizar os usuários quanto as melhores práticas de segurança da informação; Implementar mecanismos de controles (físicos, tecnológicos, humanos, etc.).

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Administração de Segurança Monitorar e administrar os controles implementados; Projetar a situação de ROI; Garantir a adequação e conformidade do negócio com normas associadas; Manter plano de PCN para garantir a continuidade dos negócios

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Segurança na cadeia produtiva: Equalizar as medidas de segurança adotadas aos processos de negócios comuns que interagem com outros atores do ambiente (clientes, fornecedores, governos, funcionários, etc.)

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 8. A organização da segurança Comitês de Seguranças Aprovação das políticas, normas e procedimentos; Aprovação de novos controles; Apoio à implantação de soluções para minimizar os riscos; Deliberação sobre incidentes de segurança corporativas; Comitês departamentais agilizam o processo dessas políticas sendo um elemento importante neste processo.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI COBIT - Controle Objectives for Information and Related Technology Framework para a gestão da tecnologia de informação; Recomendado pelo ISACA (Information System Audit and Control Foundation); Modelo de gestão de TI Framework; controle de objetivos; mapas de auditoria; ferramentas para sua implementação; guia de técnicas de gerenciamento. Meio para otimizar o investimento (ROI); fornece métricas para avaliação de resultados.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Planejar e Organizar Definir o plano estratégico de TI e orientações; Definir a arquitetura de informações; Determinar o gerenciamento tecnológico Definir os processos de TI, organização e relacionamentos; Gerenciar o investimento em TI; Comunicar os objetivos de gerenciamento e orientar; Gerenciar os recursos humanos de TI; Gerenciar a qualidade; Estimar e gerenciar os riscos de TI; Gerenciar projetos.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Adquirir e Implementar Identificar soluções automatizadas; Adquirir e manter software de aplicação; Adquirir e manter infra-estrutura de tecnologia; Habilitar operações e uso; Obter recursos de TI; Gerenciar mudanças; Instalar e credenciar soluções e mudanças.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Entregar e Dar suporte Definir e gerenciar níveis de serviço; Gerenciar Serviços de Terceiros; Gerenciar performance e capacidade; assegurar serviço contínuo; assegurar segurança de sistemas; Identificar e alocar recursos; Treinar usuários; Gerenciar serviços de escritório e incidentes; Gerenciar a configuração; Gerenciar problemas; Gerenciar dados; Gerenciar o ambiente físico; Gerenciar operações.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Monitorar e avaliar Monitorar os processos; Assegurar avaliação dos controles internos; Obter avaliação independente; Prover auditoria independente.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI ITIL – Information technology infrastructure library Modelo de gerenciamento mais aceito mundialmente; desenvolvido a partir de pesquisas pela Secretaria de Comércio; Hoje é a norma BS-15000, sendo um anexo da ISO/IEC 9000/2000; Foco é descrever processos necessários para gerenciar infra-estrutura de TI eficientemente e garantir o nível de serviço para clientes internos e externos.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI ITIL – Information technology infrastructure library Processos que fazem parte do modelo: Planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração, operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes; Gerar valor de TI para o negócio e provar esse valor de maneira adequada, através de processos corretos.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI ITIL – Information technology infrastructure library Possui disciplinas Táticas e operacionais Disciplinas Táticas: Service Level Management; IT Service Continuit Management; Financial Management; Capacity Management; Availability Management.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Service Level Management Planejar; Coodernar; Monitorar Acordo de SLA; Requirementos de Qualidade; Custos

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI IT Service Continuity Management Gerenciamento de recursos organizacionais; Manutenção dos serviços que suportam os negócios; garantir o suporte mínimo aos processos de negócios; ciclo continuo de avaliação de riscos; Garantia do uso de PCN.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Financial Management Gerenciamento do Budget de TI e Serviços Capacity Management Monitorar, análise e planejamento do uso dos recursos computacionais, concentrando em métricas e condições ótimas de operação. Availability Management Otimizar a capacidade de infra-estrutura de TI, suporte e serviços, custo efetivo, nível de disponibilidade.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI Disciplinas Operacionais Incidente Management; Reduzir o tempo de indisponibilidade dos serviços. Problem Management; Minimizar o impacto ao negócio ocasionado pelas diversas causas (erros, problemas, infra, riscos, etc.) Configuration Management; Gerenciar e controlar ativos de TI e itens de configuração. Change Management; Controle das mudanças ao ambiente, evitando problemas e erros ocasionados por essas mudanças. Release Management. Previne a indisponibilidade do serviço, garantindo que as instalç~eos de versões de hardware e software estejam seguras, autorizadas e devidamente testadas.

ALLAN PITER PRESSI [email_address] / [email_address] /@allanpitter 9. Segurança no contexto da governança de TI

ALLAN PITER PRESSI [email_address] PERGUNTAS?

ALLAN PITER PRESSI [email_address] Informações para contato: Allan Piter Pressi  [email_address] [email_address] @allanpitter http://www.dnainfo.com.br/

Segurança e Auditoria de Sistemas

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Segurança e Auditoria de Sistemas

Mais de Allan Piter Pressi

Segurança e Auditoria de Sistemas