Controles de segurança da informação

Controles de Segurança de TI

Thiago Branquinho, CISA, CRISC

Junho de 2011

Controles de TI Page 2

Por que falar sobre segurança?



Isso não acontece…

Até enfrentarmos os problemas!

Ficarmos longe de problemas

Aumento dos casos de exposição

Novas brechas de potencial ataque

Consequências catastróficas para a

reputação

Maiores perdas financeiras por vazamento de informações

Novas regulamentações

globais sobre privacidade

Aumento de ameaças e ataques

Objetivos



Isso não acontece…

Até enfrentarmos os problemas!

Temos que fazer isso…

Mas como fazer bem feito?

Ficarmos longe de problemas Fazer melhor o nosso trabalho

Aumento dos casos de exposição

Novas brechas de potencial ataque

Consequências catastróficas para a

reputação

Maiores perdas financeiras por vazamento de informações

Novas regulamentações

globais sobre privacidade

Uso efetivo da tecnologia

Atividades coordenadas de

gerenciamento de riscos

Aumento de ameaças e ataques

Políticas de segurança

melhoradas

Compliance com base no

custo/benefício

Controles racionalizados e

otimizados

Proteger melhor os ativos e

informações chave

Objetivos


Segurança de TI em 2011

Tendências

► Man in the browser (MITB)

► Segurança de arquivos

► Smartphones

► Co-evolução de Cloud e hacking

► Atacante interno

► Redes sociais

► Convergência de regulações

► Segurança proativa

► Segurança como parte dos processos de

negócio

► Hacktivismo de infraestruturas críticas

Demandas

► Endpoint security

► Controle de acesso reforçado

► Proteção contra malware

► Criptografia de mídias

► Conscientização de usuários

► Security at Cloud (IaaS, SaaS and PaaS)

► Proteção de dados em trânsito e em repouso

► Continuidade de negócios (disponibilidade,

integridade, recuperação)

► Gestão de contratos

► Segurança de Infraestrutura Crítica

► Segurança de redes de automação

► Prevenção de Stuxnet-like

Tendências e demandas


Agenda

Introdução

Controles de segurança

Auditoria de TI

Discussão


Agenda

Introdução


Auditoria de TI

Discussão


Definições

► Ações

► Proteger ativos

► Informações

► Equipamentos

► Instalações

► Pessoal

► Evitar/reduzir perdas de

produtividade

► Auxiliar na redução de prejuízos

► Alinhada com o negócio

► Suficiente

► Confortável

► Dentro do melhor custo/benefício

Segurança da Informação

Confidencialidade

Compartilhamento apenas com pessoas autorizadas

Disponibilidade

Acessibilidade quando necessária, por aqueles

que têm direito

Integridade

Informação autêntica, completa e confiável


Ameaças

• Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas

Naturais

• Intencionais (vírus, cavalos de troia, operação inapropriada)

• Não intencionais (falta de habilidade do usuário, falhas de configuração)

Humanas

• Falta de energia, falha no sistema de climatização Ambientais

► Antigamente...

► Ataques destrutivos: Chernobyl, Sexta-

feira 13 e Madonna

► Motivação dos atacantes: demonstrar

habilidades

► Hoje...

► Ataques multi-estágio, silenciosos:

construção de botnets

► Foco em aplicações e controle remoto

► Motivação dos atacantes: dinheiro

► Principal alvo: usuários

63 % clicam “OK” sem ler a mensagem

(IDG Now, 25 de setembro de 2008)


Como estas ameaças podem nos impactar?

Impactos

Imagem e consumidor

• Referência da Marca

• Reputação

• Confiança

Financeiros

• Queda de ações

• Redução de vendas

• Pagamentos de multas

Produtividade

• Navegação improdutiva

• SPAM

• Sistemas desligados

• Muitos chamados de Help desk

Conformidade

• Falha no atendimento de leis e normas

• Quebra de contratos


Casos da Vida Real

Fonte: EXAME.com


Casos da Vida Real

► Ford tem projeto (B402) e plano

estratégico divulgados (2005)

► Supostamente gravados em um CD

► Projeto cancelado (R$ 800 mi)

► Vazamento da prova do ENEM (2009)

► Pessoal envolvido com a impressão

► Prejuízo de R$ 40 mi

► Hacker trocou senha e pediu R$ 350 mil

(2008)

► Órgão federal

► 24 horas sem operar, 3.000 pessoas sem

acesso

► “Mortos-vivos” da previdência (atual)

► Inconsistência na atualização/verificação

dos óbitos

► R$ 1,67 bi em fraudes


Riscos

► Dicionários

► Risco: “possibilidade de perda”

► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar,

e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou

outras medidas de segurança”

► (ISC)²

► Gerenciamento de Risco: “a aprendizagem de conviver com a

possibilidade de que eventos futuros podem ser prejudiciais”, e o

“gerenciamento de risco reduz riscos pelo reconhecimento e controle de

ameaças e vulnerabilidades”

Conceitos


Riscos Composição

Vulnerabildade

Ameaça

Impacto

Ativo

explora

causando

Risco

exposição

Probabilidade

Impacto


Riscos

Aplicação de controles

Vulnerabildade

Ameaça

Impacto

Ativo Controle

bloqueia

elimina

reduz


Riscos

Demandas de

Segurança

Auditoria

Implantação

Políticas e Gestão

Posicionamento

Riscos

Probabilidade

Impacto


Agenda

Introdução


Auditoria de TI

Discussão


Controles

► As demandas de segurança são

definidas a partir dos:

► Objetivos de negócio

► Riscos

► Compromissos normativos,

contratuais e legais

Definindo as demandas de segurança

Demandas de

Segurança

Auditoria

Implantação



Controles

► Diretivas e objetivos de controle

► Definição de macro processos

► Alinhamento com as demandas de

segurança com o auxílio de

documentos como:

► CobiT

► ISO 27000

► ISO 20000 (ITIL)

► ISO 15408 (Common Criteria)

► Exemplo de texto:

► “Os sistemas da informação

precisam ser mantidos íntegros”


Demandas de

Segurança

Auditoria

Implantação



Aplicação de Controles

► Definições técnicas e operacionais

► Tem como referência:

► Documentos do NIST

► Guias OWASP, OSA

► Guias de configurações de

fabricantes


► “Os sistemas da informação

precisam utilizar antivírus,

configurado da maneira xyz”

Implantação

Demandas de

Segurança

Auditoria

Implantação



Controles

► A auditoria revisa os controles e

permite a melhoria contínua de

processos, serviços e da segurança

► Referências

► Planos de auditoria do ISACA


► “Os sistemas estão mantendo sua

integridade?”

► “Vamos analisar os logs e os

padrões de configuração do

antivírus”

Validação

Demandas de

Segurança

Auditoria

Implantação



Controles

► A segurança de sistemas e das

informações é obtida com a

implantação de controles, que podem

ser distribuídos em três categorias:

► Gerenciais

► Técnicos

► Controles estabelecidos por sistemas

► Operacionais

► Controles realizados por seres humanos

► Natureza dos controles

► Preventivos

► Detectivos

► Corretivos

• Gerenciamento de riscos

• Governança Gerenciais

• Controle de acesso

• Proteção de dados

• Proteção de comunicações

Técnicos

• Conscientização

• Continuidade

• Gestão de configurações e mudanças

Operacionais


Am

bie

nte

de

Segura

nça d

e T

I

Extra

ído d

o s

ite d

a O

SA

: http

://ww

w.o

pensecurity

arc

hite

ctu

re.o

rg


Genérico


Dados


Nuvem E

xtra

ído d

o s

ite d

a O

SA

: http

://ww

w.o

pensecurity

arc

hite

ctu

re.o

rg


Agenda

Introdução


Auditoria de TI

Discussão


Auditoria

► Financeiras

► Operacionais

► Integradas

► Administrativas

► Sobre Sistemas da Informação

► Especializadas/ Atestação

► Forenses

Preparação do relatório

Alinhamento dos resultados

Interpretação de resultados

Execução

Planejamento pré-auditoria

Definição do escopo

Definição dos objetivos

Definição do tema

Tipos e etapas


Auditoria

Concluir a auditoria

Alinhar expectativas Estabelecer recomendações

Realizar testes substantivos

Testes detalhados Orientação para as boas práticas

Realizar testes de conformidade

Definir controles-chaves Testes de aderência às políticas e procedimentos

Entender os controles internos

Ambiente Procedimentos Riscos Auto-avaliações

Obter informações e planejar

Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos

Orientação aos riscos


Control Self Assessment

0. Identificar processos e

objetivos

1. Identificar e avaliar riscos

2. Identificar e avaliar controles

3. Desenvolver questionários

4. Coletar e analisar

respostas

Panorama e Benefícios

6. Ações

5. Treinamento e conscientização

• Detecção antecipada de riscos

• Melhoria dos controles internos

• Redução de custos em controles

• Melhoria da pontuação de auditoria


Agenda

Introdução


Auditoria de TI

Discussão


Discussão

► A segurança é um processo contínuo

► Planejar, Fazer, Verificar, Agir

► Os objetivos do negócio e seus riscos devem ser os balizadores para a

definição de controles que serão:

► Formalizados em políticas

► Implantados em sistemas e processos

► Verificados pela auditoria


Discussão

Demandas de

Segurança

Auditoria

Implantação


Posicionamento

Riscos

Probabilidade

Impacto

Obrigado!

Thiago Branquinho, CISA, CRISC

[email protected]

Business

Controles de segurança da informação