Embed Size (px)
Citation preview
Memória de Aula 05:
Segurança e Auditoria de Sistemas
Prof. Paulo Rangel, MSc.
Prof. Paulo Rangel, MSc.
CURSO: CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS DISCIPLINA: 043004 - SEGURANCA E AUDITORIA DE SISTEMAS TUTOR: PROF. PAULO SÉRGIO RANGEL GARCIA, MSc.
CONTEUDO:
Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança.
Introdução
As organizações necessitam implantar um processo de
segurança da informação.
Que deve ser considerado como um dos ativos
intangíveis de proteção de valor.
Ativos tangíveis são os bens físicos ou bens financeiros
Os ativos intangíveis são aqueles que não podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.
Introdução
Bens Tangíveis e Intangíveis possuem valor:
Introdução
Intangíveis Por exemplo: Marcas Globais
Introdução
Intangíveis
Introdução
Os bens intangíveis possuem
valor:
Introdução
Os ativos intangíveis podem ser divididos em
aqueles que geram valor e aqueles que protegem o
valor.
Exemplos de ativo intangíveis de
proteção de valor:
Gestão de Riscos
Exemplos de ativo intangíveis de
proteção de valor:
Governança Corporativa
Exemplos de ativo intangíveis de
proteção de valor:
Segurança da Informação
Introdução
Os bens intangíveis possuem valor e devem ser
protegidos:
Convém que a direção estabeleça uma clara orientação da politica, alinhada com os
objetivos de negócio e demonstre apoio e comprometimento com a segurança da
informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.
NBR ISO/IEC 27002:2005
Motivação
Legislações:
Setor Financeiro
Normas do
Banco Central
Normas da CVM
Motivação
Normas e Acordos Internacionais
Acordos da Basiléia
Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Motivação
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Motivação
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Segurança e auditoria confiáveis
Afeta empresas Brasileiras Com ADR (American
Depositary Receipts) na NYSE
Motivação
Adesão a Normas de Segurança da Informação
Pela conscientização do empresário e atitude madura
dos acionistas
Motivação
Por pressão de organizações maiores que por estarem
obrigadas a possuírem uma estrutura de segurança da
informação também exigem o mesmo das organizações que
estão em sua cadeia de valor.
Motivação
Movimentos setoriais
Projeto da ABNT – 78:000.00-19 – Informática em Saúde
baseada na NBR ISO/IEC27002
Motivação
Pesquisa
realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010
O que é Politica de Segurança
Politicas de Segurança
As normas que abordam as Segurança, por exemplo a
NBR ISO 27002:2005 relacionam um série de requisitos
para a elaboração de uma Politica de Segurança;
Não existe a definição de um padrão mínimo;
As empresas que já implantaram as politicas de
segurança da informação não consideraram todos os
requisitos da norma;
O que cada organização deverá adotar? Qual norma a
seguir?
Politicas de Segurança
Processos, estruturas conceituais, normas:
Processo de segurança da informação e gestão de riscos
NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006
Governança Corporativa e Governança de Segurança da
Informação
(Control Objectives for Information and related Technology)
(Information Technology Infrastructure Library)
NBR ISO/IEC 27001
É a Norma Internacional que define os Requisitos para Sistemas de Gestão
de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurança em seus ativos e adequar as necessidades a área
de negócio.
Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Irá implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificação de sistema de gestão de segurança da informação;
NBR ISO/IEC 27001
Faz a abordagem da implementação segurança da Informação através de
processos que procura enfatizar aos usuários:
• O entendimento dos requisitos e a necessidade de se ter uma política
da segurança da informação.
• Implementar e operar controles para gerenciamento dos riscos
• Monitorar o desempenho e a eficácia da política de segurança da
informação.
• Promover a melhoria contínua.
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA, conforme temos na figura abaixo:
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA:
Planejar: Definição do escopo do sistema de gerenciamento de segurança
da informação. Identificação de riscos, analisar e avaliar riscos, opções de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no
sistema de segurança, conduzir auditorias internas, atualizar planos de
segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações
corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de
melhoria aos interessados.
NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, além de três anexos
informativos.
NBR ISO/IEC 27001
NBR ISO/IEC 27002
NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização”.
Também conhecida como uma norma para os códigos de práticas para
gestão de segurança da informação. E refere-se a quais requisitos devem ser
implementados pela organização, sendo também um guia que orienta a
utilização dos controles de segurança.
NBR ISO/IEC 27002
NBR ISO/IEC 27002
NBR ISO/IEC 27002
Mapa Mental da
ISO 27002
ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na
área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicação.
Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área
Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.
Com a implementação desta Norma, as organizações de saúde e outros depositários de informações
médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua
organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus
pacientes.
Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e
números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado
para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores
ou por via postal), e como informação deve ser sempre protegida apropriadamente.
ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002
Definição da Politica de Segurança
Visão metódica, criteriosa e técnica em seu
desenvolvimento.
Envolve proposta de alterações de configurações de
equipamentos, na escolha de tecnologias, na definição de
responsabilidades, gerando politicas adequadas ao perfil
da organização e aderente aos negócios que ela prática e
alinhadas aos anseios dos seus proprietários ou acionistas.
Definição da Politica de Segurança
Aspectos importantes a serem percebidos:
Conceito que as informações são um ativo importante;
Envolvimento da alta direção em relação à Segurança;
Responsabilidade formal dos colaboradores;
Definir padrões para a manutenção da segurança.
Desenvolvimento da Politica
Criada antes de problemas ou após para evitar reincidências;
Previne problemas legais e mostra aderência ao processo de
qualidade
O que precisa ser protegido esta além do hardware e software;
Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
Recomenda-se a formação de um comitê multidepartamental;
Catalogar e agrupar as informações por categoria estabelecendo
os seus proprietários
Desenvolvimento da Politica
Politicas e normas devem ser:
Simples;
Compreensíveis (escritas de maneira clara e concisa)
Homologadas e assinadas pela alta direção
Estruturadas para permitir a implantação por fases
Alinhadas com as estratégias de negócios da empresa, padrões e
procedimentos existentes;
Orientadas aos riscos (contra);
Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)
Protetores dos ativos de informação, priorizando os de maior valor e
importância;
Positivas e não apenas concentradas em ações proibitivas ou punitivas.
Etapas para o Desenvolvimento
Pode ser dividida em quatro etapas:
Fase I – Levantamento das Informações
Fase II – Desenvolvimento do Conteúdo da
Politica e Normas de Segurança
Fase III –Elaboração dos Procedimentos de
Segurança da Informação
Fase IV – Revisão, aprovação e implantação das
Politicas, Normas e Procedimentos da Segurança
da Informação
Fase I Levantamento das Informações
Padrões , normas e procedimentos de segurança em uso;
Entender necessidades e uso dos recursos da TI nos negócios;
Obtenção de informações sobre ambientes de negócios:
Processos de negócios
Tendências de mercado
Controles e áreas de riscos
Obtenção de informações sobre o ambiente tecnológico:
Workflow entre ambientes
Redes de aplicações
Plataformas computacionais
Fase II Desenvolvimento do conteúdo
Gerenciamento da política de segurança
Definição da SI, objetivos do gerenciamento, Fatores críticos de
sucesso, gerenciamento de versão e manutenção da politica,
referencia para outras politicas, padrões e procedimentos.
Atribuição de regras e responsabilidades
Comitê de SI, Dono das Informações, Área de SI, Usuários da
informação, recursos humanos, auditoria interna
Critérios para a classificação das informações
Introdução, classificando a informação, níveis de classificação,
reclassificação, armazenamento e descarte, armazenamento e saídas.
Fase II Desenvolvimento do conteúdo
Procedimentos de segurança da informação
Classificação e tratamento da informação,
Notificação e Gerenciamento de incidentes de SI,
Processos disciplinar,
Aquisição e uso de software,
Proteção contra software malicioso,
Segurança e tratamento de mídias,
Uso de internet,
Uso de correio eletrônico,
Uso de recursos de TI,
Backup,
Fase II Desenvolvimento do conteúdo
Procedimentos de segurança da informação
Manutenção de testes e equipamentos,
Coleta e registro de falhas,
Gerenciamento e controle de rede,
Monitoração do uso e acesso aos sistemas,
Uso de controles de criptografia e gerenciamento de chaves,
Controle de Mudanças Operacionais,
Inventário dos ativos de informação,
Controle de acesso físico às áreas sensíveis,
Segurança Física e Supervisão de visitantes e prestadores de serviço.
Fase III Elaboração dos Procedimentos
Pesquisa sobre as melhores práticas em SI adotadas no mercado
(Benchmarking);
Desenvolvimento de procedimentos e padrões, para discussão com a Alta
Administração, de acordo com as melhores práticas de mercado e com as
necessidades e metas da organização;
Formalização dos procedimentos para integra-los às políticas corporativas
Fase IV Revisão, Aprovação e Implantação
Revisão e aprovação das políticas, normas e procedimentos de
segurança da informação;
Efetiva implantação das políticas, normas e procedimentos de
segurança da informação por meio das seguintes alternativas:
Atuação junto á área responsável pela comunicação / mkt
(divulgar)
Divulgar as responsabilidades dos usuários e a importância
das Politicas
Realização de palestras para os executivos referentes às
politicas, normas e procedimentos de segurança
Modelo de Cronograma
Fatores Comuns nas Políticas
Especificação da Politica – Finalidade, o que é esperado, a quem
atinge;
Declaração da Alta Administração – Reafirma a toda
organização o compromisso da alta direção com o documento e seu
cumprimento;
Autores / Patrocinadores da Política – Quem desenvolveu e
que deverá receber sugestões de melhorias, duvidas, etc.;
Referências a outras politicas, normas e procedimentos;
Procedimentos para requisição de exceções à Política - Não
descrever em que condições, mas apenas o procedimento /
formulário de solicitação
Fatores Comuns nas Políticas
Procedimentos para mudanças da política
Quem serão os responsáveis e a metodologia para estabelecer as novas
revisões;
Datas de Publicação, validade e revisão;
Pontos Críticos para o sucesso
Formalização dos processos e instruções de trabalho
Utilização de tecnologias capazes de prover segurança
Atribuição formal das responsabilidades e das respectivas penalidades
Classificação das informações
Treinamento e conscientização constantes
Pontos Críticos para o sucesso
Estabelecer na politica um capitulo para destacar os seguintes pontos:
Confidencialidade;
Integridade;
Disponibilidade;
Legalidade;
Auditabilidade;
Não repudio.
Pontos Críticos para o sucesso
Também se recomendar desmembrá-la em 4 grandes aspectos:
Segurança Computacional – Conceitos e técnicas para proteger o
ambiente de TI contra incidentes;
Segurança Lógica – Prevenção contra acessos não autorizados;
Segurança Física – Procedimentos e recursos para prevenir acessos
a áreas criticas
Continuidade dos negócios – Procedimentos para reduzir a um
nível aceitável o risco de interrupção causada por desastres e falhas
(ISO 22031)
Características
Para ser efetiva a politica deve:
Ser verdadeira – Exprimir o pensamento da empresa e ser coerente
com suas ações;
Ser complementada com a disponibilidade de recursos –
Recursos materiais e humanos para sua plena implantação;
Ser válida para todos – Deve ser cumprida por todos, do Presidente
ao estagiário;
Ser simples – Fácil leitura e compreensão. Evite termos técnicos;
Comprometimento da Alta Direção – Deve ser assinada pelo mais
alto executivo da empresa;
Treinamento, publicação e divulgação
Mudança da cultura através de:
Avisos (comunicação interna, e-mail, intranet) sobre o
esclarecimento dos principais pontos relativos as
responsabilidades;
Palestras de conscientização / sensibilização;
Elaboração de material promocional (endomarketing)
Treinamento direcionado (Financeiro, Comercial, etc.)
NBR ISO/IEC 27002
“deve-se garantir que os usuários estejam cientes das ameaças e
preocupações de segurança da informação e estejam equipados
para apoiar a política de segurança da organização durante a
execução normal de seu trabalho”
Treinamento, publicação e divulgação
Para a disseminação das políticas, deve-se considerar:
Uso de diferentes tipos de mídias;
Diferenciação dos tipos de treinamento , por exemplo, básico e
avançado;
Orientação para os novos funcionários (integração);
Informativos sobre as atuais tendências dos incidentes de
segurança
O elemento humano é fundamental. Quem não participa dos
programas de treinamentos se torna o elo fraco da corrente!
Treinamento, publicação e divulgação
O Programa de conscientização precisa ser planejado, implantado,
mantido/corrigido e periodicamente reavaliado. Deve englobar as
seguintes fases:
Identificação do escopo, metas e objetivos;
Identificação dos instrutores;
Identificação do público alvo
Motivação dos funcionários e da Alta Direção;
Administração do programa;
Continuidade do programa;
Avaliação do programa.
Treinamento, publicação e divulgação
Modelo de Matriz de Treinamento
Treinamento, publicação e divulgação
É responsabilidade da Alta Direção assegurar que todos os
usuários dos sistemas de informação da organização saibam
como proteger os seus ativos (informações, hardware,
software, etc.) e estejam de acordo com as Políticas de
Segurança desenvolvidas a partir desta proposta de modelo.
Benefícios
Curto prazo:
Formalização e documentação dos procedimentos de SI;
Implementação de novos procedimentos e controles de SI;
Prevenção de acessos não autorizados, danos ou interferências nos
negócios, mesmo em casos de falhas ou desastres;
Maior segurança ao processo de negócios.
Benefícios
Médio prazo:
Padronização dos procedimentos de segurança incorporados a rotina
da Companhia;
Adaptação segura de novos processos de negócios;
Qualificação e quantificação dos sistemas de respostas a incidentes;
Conformidade com padrões de segurança como a NBR ISO/IEC
27002.
Benefícios
Longo prazo:
Retorno sobre o investimento realizado pela redução dos
problemas e incidentes de SI;
Consolidação da imagem corporativa associada à Segurança da
Informação
Prof. Paulo Rangel, MSc.
BIBLIOGRAFIA BÁSICA
1 IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas, 2008.
2 LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
3 MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2010.
BIBLIOGRAFIA COMPLEMENTAR
1 CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os
riscos. 2ª Edição. Florianópolis: Visual Books, 2007.
2 FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da
Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
3 FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo: Brasport, 2008.
4 Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet no Brasil.
5 PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa. 1ª. Edição – São Paulo. Brasport, 2006
Prof. Paulo Rangel, MSc.
BIBLIOGRAFIA RECOMENDADA
1 MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
2 SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro: Editora Campus, 2003.
Prof. Paulo Rangel, MSc.
• Dúvidas
• As dúvidas devem ser encaminhadas, e serão respondidas
pelo Professor, através do MAIL disponível no TutorWeb.
