Upload
thiago-branquinho
View
269
Download
6
Embed Size (px)
DESCRIPTION
Como estabelecer governança sobre os riscos através da definição de políticas, implantação de controles e auditoria. Slides apresentados em palestra no Infnet em 2011.
Citation preview
Controles de Segurança de TI
Thiago Branquinho, CISA, CRISC
Junho de 2011
Controles de TI Page 2
Por que falar sobre segurança?
Controles de TI Page 3
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Ficarmos longe de problemas
Aumento dos casos de exposição
Novas brechas de potencial ataque
Consequências catastróficas para a
reputação
Maiores perdas financeiras por vazamento de informações
Novas regulamentações
globais sobre privacidade
Aumento de ameaças e ataques
Objetivos
Controles de TI Page 4
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Temos que fazer isso…
Mas como fazer bem feito?
Ficarmos longe de problemas Fazer melhor o nosso trabalho
Aumento dos casos de exposição
Novas brechas de potencial ataque
Consequências catastróficas para a
reputação
Maiores perdas financeiras por vazamento de informações
Novas regulamentações
globais sobre privacidade
Uso efetivo da tecnologia
Atividades coordenadas de
gerenciamento de riscos
Aumento de ameaças e ataques
Políticas de segurança
melhoradas
Compliance com base no
custo/benefício
Controles racionalizados e
otimizados
Proteger melhor os ativos e
informações chave
Objetivos
Controles de TI Page 5
Segurança de TI em 2011
Tendências
► Man in the browser (MITB)
► Segurança de arquivos
► Smartphones
► Co-evolução de Cloud e hacking
► Atacante interno
► Redes sociais
► Convergência de regulações
► Segurança proativa
► Segurança como parte dos processos de
negócio
► Hacktivismo de infraestruturas críticas
Demandas
► Endpoint security
► Controle de acesso reforçado
► Proteção contra malware
► Criptografia de mídias
► Conscientização de usuários
► Security at Cloud (IaaS, SaaS and PaaS)
► Proteção de dados em trânsito e em repouso
► Continuidade de negócios (disponibilidade,
integridade, recuperação)
► Gestão de contratos
► Segurança de Infraestrutura Crítica
► Segurança de redes de automação
► Prevenção de Stuxnet-like
Tendências e demandas
Controles de TI Page 6
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TI Page 7
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TI Page 8
Definições
► Ações
► Proteger ativos
► Informações
► Equipamentos
► Instalações
► Pessoal
► Evitar/reduzir perdas de
produtividade
► Auxiliar na redução de prejuízos
► Alinhada com o negócio
► Suficiente
► Confortável
► Dentro do melhor custo/benefício
Segurança da Informação
Confidencialidade
Compartilhamento apenas com pessoas autorizadas
Disponibilidade
Acessibilidade quando necessária, por aqueles
que têm direito
Integridade
Informação autêntica, completa e confiável
Controles de TI Page 10
Ameaças
• Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas
Naturais
• Intencionais (vírus, cavalos de troia, operação inapropriada)
• Não intencionais (falta de habilidade do usuário, falhas de configuração)
Humanas
• Falta de energia, falha no sistema de climatização Ambientais
► Antigamente...
► Ataques destrutivos: Chernobyl, Sexta-
feira 13 e Madonna
► Motivação dos atacantes: demonstrar
habilidades
► Hoje...
► Ataques multi-estágio, silenciosos:
construção de botnets
► Foco em aplicações e controle remoto
► Motivação dos atacantes: dinheiro
► Principal alvo: usuários
63 % clicam “OK” sem ler a mensagem
(IDG Now, 25 de setembro de 2008)
Controles de TI Page 11
Como estas ameaças podem nos impactar?
Impactos
Imagem e consumidor
• Referência da Marca
• Reputação
• Confiança
Financeiros
• Queda de ações
• Redução de vendas
• Pagamentos de multas
Produtividade
• Navegação improdutiva
• SPAM
• Sistemas desligados
• Muitos chamados de Help desk
Conformidade
• Falha no atendimento de leis e normas
• Quebra de contratos
Controles de TI Page 12
Casos da Vida Real
Fonte: EXAME.com
Controles de TI Page 13
Casos da Vida Real
► Ford tem projeto (B402) e plano
estratégico divulgados (2005)
► Supostamente gravados em um CD
► Projeto cancelado (R$ 800 mi)
► Vazamento da prova do ENEM (2009)
► Pessoal envolvido com a impressão
► Prejuízo de R$ 40 mi
► Hacker trocou senha e pediu R$ 350 mil
(2008)
► Órgão federal
► 24 horas sem operar, 3.000 pessoas sem
acesso
► “Mortos-vivos” da previdência (atual)
► Inconsistência na atualização/verificação
dos óbitos
► R$ 1,67 bi em fraudes
Controles de TI Page 14
Riscos
► Dicionários
► Risco: “possibilidade de perda”
► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar,
e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou
outras medidas de segurança”
► (ISC)²
► Gerenciamento de Risco: “a aprendizagem de conviver com a
possibilidade de que eventos futuros podem ser prejudiciais”, e o
“gerenciamento de risco reduz riscos pelo reconhecimento e controle de
ameaças e vulnerabilidades”
Conceitos
Controles de TI Page 15
Riscos Composição
Vulnerabildade
Ameaça
Impacto
Ativo
explora
causando
Risco
exposição
Probabilidade
Impacto
Controles de TI Page 16
Riscos
Aplicação de controles
Vulnerabildade
Ameaça
Impacto
Ativo Controle
bloqueia
elimina
reduz
Controles de TI Page 17
Riscos
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Posicionamento
Riscos
Probabilidade
Impacto
Controles de TI Page 18
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TI Page 19
Controles
► As demandas de segurança são
definidas a partir dos:
► Objetivos de negócio
► Riscos
► Compromissos normativos,
contratuais e legais
Definindo as demandas de segurança
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Controles de TI Page 20
Controles
► Diretivas e objetivos de controle
► Definição de macro processos
► Alinhamento com as demandas de
segurança com o auxílio de
documentos como:
► CobiT
► ISO 27000
► ISO 20000 (ITIL)
► ISO 15408 (Common Criteria)
► Exemplo de texto:
► “Os sistemas da informação
precisam ser mantidos íntegros”
Políticas e Gestão
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Controles de TI Page 21
Aplicação de Controles
► Definições técnicas e operacionais
► Tem como referência:
► Documentos do NIST
► Guias OWASP, OSA
► Guias de configurações de
fabricantes
► Exemplo de texto:
► “Os sistemas da informação
precisam utilizar antivírus,
configurado da maneira xyz”
Implantação
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Controles de TI Page 22
Controles
► A auditoria revisa os controles e
permite a melhoria contínua de
processos, serviços e da segurança
► Referências
► Planos de auditoria do ISACA
► Exemplo de texto:
► “Os sistemas estão mantendo sua
integridade?”
► “Vamos analisar os logs e os
padrões de configuração do
antivírus”
Validação
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Controles de TI Page 23
Controles
► A segurança de sistemas e das
informações é obtida com a
implantação de controles, que podem
ser distribuídos em três categorias:
► Gerenciais
► Técnicos
► Controles estabelecidos por sistemas
► Operacionais
► Controles realizados por seres humanos
► Natureza dos controles
► Preventivos
► Detectivos
► Corretivos
• Gerenciamento de riscos
• Governança Gerenciais
• Controle de acesso
• Proteção de dados
• Proteção de comunicações
Técnicos
• Conscientização
• Continuidade
• Gestão de configurações e mudanças
Operacionais
Controles de TI Page 24
Am
bie
nte
de
Segura
nça d
e T
I
Extra
ído d
o s
ite d
a O
SA
: http
://ww
w.o
pensecurity
arc
hite
ctu
re.o
rg
Controles de TI Page 25
Genérico
Controles de TI Page 26
Dados
Controles de TI Page 27
Nuvem E
xtra
ído d
o s
ite d
a O
SA
: http
://ww
w.o
pensecurity
arc
hite
ctu
re.o
rg
Controles de TI Page 28
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TI Page 29
Auditoria
► Financeiras
► Operacionais
► Integradas
► Administrativas
► Sobre Sistemas da Informação
► Especializadas/ Atestação
► Forenses
Preparação do relatório
Alinhamento dos resultados
Interpretação de resultados
Execução
Planejamento pré-auditoria
Definição do escopo
Definição dos objetivos
Definição do tema
Tipos e etapas
Controles de TI Page 30
Auditoria
Concluir a auditoria
Alinhar expectativas Estabelecer recomendações
Realizar testes substantivos
Testes detalhados Orientação para as boas práticas
Realizar testes de conformidade
Definir controles-chaves Testes de aderência às políticas e procedimentos
Entender os controles internos
Ambiente Procedimentos Riscos Auto-avaliações
Obter informações e planejar
Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos
Orientação aos riscos
Controles de TI Page 31
Control Self Assessment
0. Identificar processos e
objetivos
1. Identificar e avaliar riscos
2. Identificar e avaliar controles
3. Desenvolver questionários
4. Coletar e analisar
respostas
Panorama e Benefícios
6. Ações
5. Treinamento e conscientização
• Detecção antecipada de riscos
• Melhoria dos controles internos
• Redução de custos em controles
• Melhoria da pontuação de auditoria
Controles de TI Page 32
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
Controles de TI Page 33
Discussão
► A segurança é um processo contínuo
► Planejar, Fazer, Verificar, Agir
► Os objetivos do negócio e seus riscos devem ser os balizadores para a
definição de controles que serão:
► Formalizados em políticas
► Implantados em sistemas e processos
► Verificados pela auditoria
Controles de TI Page 34
Discussão
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Posicionamento
Riscos
Probabilidade
Impacto