Segurança e auditoria de sistemas

SEGURANÇA E AUDITORIA DE SISTEMAS

[email protected]

Sumário

Segurança da informação: Conceitos e princípios de segurança da informação; Segurança e o ciclo de vida da informação; Classificação e controle dos ativos de informação; Aspectos humanos da segurança da informação; Segurança de ambientes físico e lógico; Controle de acesso; Organização de segurança; Segurança em governança de TI.

2

Sumário

Auditoria em sistemas de informação: Fundamentos em auditoria de SIs; Metodologia de auditoria de SIs; Ferramentas de auditoria de SIs; Técnicas de auditoria de SIs; Melhores práticas de auditoria de Sis.

Normas sobre Auditoria e Segurança.

3

4

SEGURANÇA DA INFORMAÇÃO

Conceitos e princípios de SI

Três aspectos principais em segurança de informação: Confidencialidade: Capacidade de um sistema de

permitir que alguns usuários acessem determinadas informações ao mesmo tempo que impede que outros, não autorizados, as vejam;

Integridade: A informação deve estar correta, ser verdadeira e não estar corrompida;

Disponibilidade: A informação deve estar disponível para todos que precisarem dela para a realização dos objetivos corporativos.

5


Outros aspectos importantes: Autenticação: Garantir que um usuário é de fato quem

alega ser; Não-repúdio: Capacidade do sistema de provar que

uma usuário executou determinada ação; Legalidade: Garantir que o sistema esteja de acordo

com a legislação pertinente; Privacidade: Capacidade do sistema de manter um

usuário anônimo; Auditoria: Capacidade do sistema de auditar tudo que

foi realizado pelos usuários, detectando fraudes ou tentativas de ataque.

6


Segurança de informação é a tomada de ações para garantir os aspectos de segurança das informações dentro das necessidades do cliente;

Um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em conseqüência da violação de algum dos aspectos de SI.

7


Um incidente de segurança pode ser causado por fatores como: Intempéries naturais; Greves; Manifestações; Operação incorreta; Ataque ao sistema.

8


Ativo de informação: A informação é um bem de grande valor para os

processos de negócios da organização. No entanto, devem ser considerados também a tecnologia e o meio que a suporta, as pessoas que a manipulam e o ambiente onde ela está inserida;

Um ativo de informação é composto pela informação e tudo aquilo que a suporta ou se utiliza dela.

9


Ataque: Um tipo de incidente de segurança caracterizado

pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor.

Vulnerabilidade: Pontos fracos de um ativo que podem gerar,

intencionalmente ou não, a indisponibilidade, a quebra de confidencialidade ou a integridade da informação. Podem ou não ser exploradas.

10


Ameaça: Ataque potencial a um ativo da informação. Agente

externo que se aproveita de uma vulnerabilidade para quebrar um ou mais dos principais aspectos da segurança da informação;

Probabilidade: Chance de uma falha de segurança ocorrer levando

em consideração as vulnerabilidades do ativo e as ameaças que podem se aproveitar delas.

11


Impacto: O impacto de um incidente de segurança é medido

pelas conseqüências que possa causar aos processos de negócio suportados pelo ativo em questão;

Os ativos possuem valores diferentes, pois suportam informações com relevâncias diferentes para o negócio da organização. Quanto maior o valor, maior o impacto.

12


Controle: Vulnerabilidades e ameaças de um ativo da

informação podem ser medidas e quantificadas dando a exata noção da probabilidade de acontecer um incidente de segurança e do impacto causado;

Não é possível ter o controle sobre ameaças por se tratarem de agentes externos, impossibilitando a tomada de medidas preventivas. Devemos então concentrar nossos esforços em diminuir as vulnerabilidades.

13


Controle: Controle é todo e qualquer mecanismo utilizado

para diminuir as vulnerabilidades de um ativo da informação, seja um equipamento, tecnologia, pessoa ou processo.

14

Segurança e ciclo de vida da informação A identificação das necessidades e dos

requisitos da informação é o ponto inicial do ciclo. A partir destas definições, é possível dar seqüência aos processos de obtenção, tratamento, armazenamento, distribuição, uso e descarte da informação.

15

Segurança e ciclo de vida da informação Identificação das necessidades e dos

requisitos: Um grupo de pessoas ou processos precisa conhecer suas necessidades de informação, bem como suas características;

Tornar a informação mais útil para os processos ou as pessoas aplicarem na melhoria da tomada de decisão é um dos maiores benefícios desta identificação.

16

Segurança e ciclo de vida da informação Obtenção: Consiste no desenvolvimento de

procedimentos para captura e recepção da informação proveniente de uma fontes externa (em qualquer mídia), ou da sua criação;

Deve-se ter cuidado com a integridade de informações oriundas de fontes externas. A pessoa ou entidade que a fornece deve ser autorizada e ela deve estar completa e compatível com os requisitos apontados na etapa de identificação.

17

Segurança e ciclo de vida da informação Tratamento: É provável que a informação

necessite ser organizada, formatada, analisada ou classificada antes de ser consumida para poder ser mais acessível e de fácil utilização. É preciso garantir que a integridade e a confidencialidade de uma informação seja mantida após o tratamento.

18

Segurança e ciclo de vida da informação Distribuição: Etapa que consiste em levar a

informação até seus consumidores. Quanto maior for a rede de distribuição, mais eficiente será esta etapa, fazendo com que a informação correta chegue a quem necessita dela para a tomada de decisão.

19

Segurança e ciclo de vida da informação Uso: Etapa onde a informação é usada para

gerar valor para a organização. Os conceitos de disponibilidade, integridade e confidencialidade devem ser aplicados em sua plenitude.

20

Segurança e ciclo de vida da informação Armazenamento: É necessário para a

conservação da informação para uso futuro. Pode se tornar mais onerosa dependendo da quantidade e dos tipos de mídia utilizados.

21

Segurança e ciclo de vida da informação Descarte: Ocorre quando uma informação

torna-se obsoleta ou perde a utilidade para a organização. Deve obedecer as normas legais, políticas operacionais e exigências internas;

A exclusão de informações inúteis melhora o processo de gestão da informação. No entanto, apenas pessoas capacitadas devem ser capaz de realizar esta etapa, mantendo assim a confidencialidade.

22

Classificação e controle dos ativos de informação Processo pelo qual é estabelecido o grau de

importância das informações frente a seu impacto no negócio ou processo que elas suportam;

Quanto mais estratégica e decisiva para o sucesso do negócio, mais importante será a informação.

23

Classificação e controle dos ativos de informação Ativos da informação podem ser divididos em

alguns grupos, tais como: Software; Físico; Serviços; Pessoas; Documento em papel; Informação.

24

Classificação e controle dos ativos de informação Para ser possível classificar os ativos da

informação, é fundamental o conhecimento do negócio para que o julgamento da importância seja o mais previsto possível;

Os critérios que serão utilizados no processo de classificação devem ser adotados de forma clara, respeitando as regras internas, exigências legais e normas corporativas.

25

Classificação e controle dos ativos de informação Conceitos importantes para o processo de

classificação: Classificação: Atividade de atribuir o grau de sigilo

a um ativo de informação; Proprietário: Responsável pelo ativo da

informação. Auxilia na definição do meio de proteção;

Custodiante: Responsável pela guarda do ativo da informação. Assegura que o ativo está sendo protegido conforme determinado pelo proprietário.

26

Classificação e controle dos ativos de informação A classificação deve ser de fácil compreensão,

claramente descrita na política de segurança, evitar níveis excessivos de classificação e servir para demonstrar a diferenciação entre a importância dos ativos;

A classificação do ativo da informação deve estar centrada em quatro pontos específicos: confidencialidade, disponibilidade, integridade e autenticidade.

27

Classificação e controle dos ativos de informação Classificação quanto à confidencialidade: Nível 1: Informação Pública: Categoria que

engloba ativos públicos ou não classificados. Informações que, caso sejam divulgadas fora da organização, não causam impacto para o negócio. Sua integridade não é vital e seu uso é livre;

Nível 2: Informação Interna: Categoria que engloba ativos cujo acesso do público externo deve ser evitado. No entanto, em caso de ser tornar público, as conseqüências não são críticas;

28

Classificação e controle dos ativos de informação Classificação quanto à confidencialidade: Nível 3: Informação Confidencial: Este tipo de ativo

deve ter acesso restrito dentro da organização e protegidos do acesso externo. Sua integridade é vital e o acesso não autorizado destas informações pode trazer prejuízo às operações da organização;

Nível 4: Informação Secreta: Acesso interno e externo é extremamente crítico para a organização. A quantidade de pessoas que tem acesso a essas informações deve ser muito controlada. A integridade é vital e devem existir regras restritas para o uso destas informações.

29

Classificação e controle dos ativos de informação Classificação quanto à disponibilidade: É definida ao se responder qual a falta que uma

informação faz. É possível classificar em níveis de criticidade e estabelecer ordem para recuperação: Nível 1: Informações que devem ser recuperadas em

minutos; Nível 2: Informações que devem ser recuperadas em

horas; Nível 3: Informações que devem ser recuperadas em

dias; Nível 4: Informações que não são críticas.

30

Classificação e controle dos ativos de informação Classificação quanto à integridade: Uma informação errada pode trazer vários

problemas aos processos de uma organização. Desta forma, deve-se saber quais informações são fundamentais para saber em qual ponto deve ser feito o controle para prevenir, detectar e corrigir a produção de informações sem integridade ou alteração indevida das mesmas.

31

Classificação e controle dos ativos de informação Classificação quanto à autenticidade: Dados e informações destinados ao público externo

devem apresentar requisitos de verificação de autenticidade (ISO 17799). Estabelecer quais são estas informações facilita a identificação dos requisitos de segurança e a definição de processos para controlar a autenticidade de informações e documentos.

32

Classificação e controle dos ativos de informação Monitoramento contínuo: Após a classificação dos ativos da informação,

procedimentos de reavaliação periódica dos mesmos devem ser elaborados e mantidos. A área de SI deve trabalhar em conjunto com os proprietários da informação com o objetivo de reavaliar a pertinência da categoria atribuída a cada um dos ativos para assegurar que os mesmos estejam devidamente classificados.

33

Aspectos humanos da segurança da informação As pessoas são os elementos centrais de um

Sistema de Informação devido ao fato de sempre estarem envolvidas em incidentes de segurança, seja do lado das vulnerabilidades exploradas, seja do lado das ameaças que exploram essas vulnerabilidades.

34

Aspectos humanos da segurança da informação Profissional da segurança: A preocupação da segurança da informação deve

ser de todos os envolvidos na organização; Security Officer ou Chief Security Officer:

Profissional responsável pela coordenação do planejamento, implementação, monitoramento e melhoria do Sistema de Segurança da Informação.

35

Aspectos humanos da segurança da informação Responsabilidades do Security Officer: Coordenação da área de segurança e da infra-

estrutura organizacional; Planejamento dos investimentos de segurança; Definição dos índices e indicadores para a

segurança corporativa; Elaboração, divulgação, treinamento,

implementação e administração da política de segurança, plano de continuidade de negócios e plano de contingência;

36

Aspectos humanos da segurança da informação Responsabilidades do Security Officer: Investigação sobre incidentes de segurança; Análise de riscos envolvendo segurança.

Além de possuir conhecimentos sobre os mecanismos de segurança, o Security Officer deve ter também um profundo conhecimento sobre o negócio da organização de forma a melhor direcionar as ações de segurança dentro da empresa.

37

Aspectos humanos da segurança da informação Engenharia social: “É a arte de utilizar o comportamento humano para

quebrar a segurança sem que a vítima sequer perceba que foi manipulada.” SANS Institute

Algumas pessoas distraídas fornecem informações importantes apenas por serem educadas e confiarem em outras pessoas, sem ter consciência de que pode estar prejudicando a organização.

38

Aspectos humanos da segurança da informação Engenharia social: O Engenheiro Social se utiliza destes métodos para

conseguir informações suficientes para formular um ataque.

Engenharia Social Física: Procura de informações no lixo, presença de física, observação do comportamento, escutas telefônicas, etc.

Engenharia Social Psicológica: Tendência humana de sermos corteses e acreditarmos na honestidade das pessoas.

39

Aspectos humanos da segurança da informação O elo mais fraco da segurança de um sistema

envolve, geralmente, a interação com humanos;

Por medidas de segurança, é necessário omitir certos mecanismos de segurança dos usuários;

Problemas comportamentais ocorrem nos níveis operacional, tático e estratégico.

40

Aspectos humanos da segurança da informação Segurança nos termos, condições e

responsabilidades de trabalho: Garantir que a segurança dos ativos da informação seja

uma responsabilidade de todos; Ações de usuários devem estar aderentes à política de

segurança; Termos e condições de trabalho estão relacionados ao

cargo ocupado pelo funcionário, suas obrigações e condutas relativas à segurança da informação;

Todos estes termos, além de um termo de confidencialidade devem fazer parte do contrato de admissão de um novo funcionário.

41

Aspectos humanos da segurança da informação Segurança no processo de seleção de pessoal: Pelo fato do ativo pessoal ser um fator crítico para a

segurança da informação, o processo seletivo deve ser feito com atenção para prevenir que pessoas desqualificadas tenham acesso às informações da organização;

Verificações que devem ser feitas para contratação: Confirmação de referências com empresas e pessoas

citadas; Análise detalhada de currículo e análise de conduta; Confirmação de diplomas nas instituições de ensino.

42

Aspectos humanos da segurança da informação Treinamento de usuários: Três ações essenciais para um bom treinamento: Treinar; Educar; Conscientizar;

A política de segurança deve ser do conhecimento de todos para que a conduta seja compatível com as boas práticas da segurança da informação;

O treinamento deve ser periódico para que haja uma contínua atualização em relação às técnicas e ferramentas de controle.

43

Segurança do ambiente físico

Combinação de medidas de prevenção detecção e reação a possíveis incidentes de segurança para garantir a segurança física dos ativos da informação (barreiras de segurança ISO 17799). Ex: muros, trancas, senhas, etc;

Perímetro de segurança: Área ou região protegida por barreiras de segurança e separada de outras áreas com níveis de segurança diferentes. Ex: prédios, salas, cofres, etc;

44


Segurança em instalações de processamento de dados segundo a ISO 17799: Elaboração de um projeto de área que contemple

escritórios fechados ou com várias salas dentro de um perímetro seguro que considere as ameaças de fogo, poeira, fumaça, vibração, vazamento de água, explosão, manifestações civis e desastres naturais.

45


Segurança em instalações de processamento de dados segundo a ISO 17799: Equipamentos instalados em áreas comuns

demandam medidas de proteção contra acesso não autorizado, dano ou furto;

Mecanismos de bloqueio; Treinamento específico para os prestadores de

serviços de limpeza e manutenção.

46


Segurança de equipamentos: Equipamentos devem ser protegidos contra quedas

e anomalias da rede elétrica com nobreaks, uso de múltiplas fontes e geradores;

Problemas de mau funcionamento do hardware podem ser evitadas ou minimizadas através de manutenções preventivas.

47


Segurança de mídias de computador: Por recomendação da ISO 17799, as mídias devem

ser controladas e fisicamente protegidas; O grande objetivo deste tipo de segurança é

garantir que as cópias de segurança estejam íntegras quando forem necessárias;

Armazenamento, controle de acesso às mídias devem ser discutidas em uma política específica.

48


Segurança de documentos em papel e eletrônicos: O armazenamento de documentos de valor para a

organização exige mecanismos de proteção de acordo com o meio em que o documento foi produzido;

Procedimentos seguros de tratamento de cópias, armazenamento, transmissão e descarte;

Cuidados especiais com documentos de papel contra acidez do papel, umidade, insetos, etc.

49


Controle de documentos em papel contendo: Uso de rótulos para identificar documentos; Política de armazenamento de papéis; Procedimentos especiais para impressão, cópia e

transmissão; Recepção e envio de correspondência sigilosa.

50


Papéis como cheques e notas fiscais precisam de procedimentos especiais de armazenamento e manipulação;

Controle de documentos eletrônicos: Tecnologia que os torne úteis aos seus usuários; Integridade das informações: documentos

eletrônicos são mais facilmente adulterados.

51


Segurança do cabeamento (ISO 17799): Uso de linhas subterrâneas, sempre que possível; Proteção do cabeamento de rede contra

interceptações não autorizadas ou danos; Separação dos cabos elétricos dos cabos de

comunicação; Uso de conduites blindados e salas trancadas para os

sistemas críticos.

52

Segurança do ambiente lógico

Segurança em redes: Abrange autenticação de usuários e equipamentos; Estabelecimento de interfaces seguras entre a rede

interna e a rede pública ou de outra organização; Mecanismos de proteção de redes (gateways, proxys

e firewalls) para controles de acesso e conteúdo; Técnicas de criptografia, VPNs, antivirus, etc (Willian

Stalings – Segurança em Redes).

53


Firewalls: Mecanismos de segurança para controlar o acesso às

redes de computadores; Barreira lógica de proteção entre o ambiente

externo e um computador ou rede interna; Bloqueio de informações que não atendem aos

critérios definidos pela política de segurança; Pode se tornar um gargalo na rede uma vez que todo

o tráfego passará obrigatoriamente por ele.

54


Perímetros lógicos: Redes de perímetro lógico ou zonas desmilitarizadas

protegem um equipamento ou segmento de rede que fica entre uma rede interna e a Internet;

Atua como intermediária para os tráfegos de entrada e de saída;

Uso de VPNs para estabelecer um canal seguro para troca de informações entre dois pontos autorizados;

Utilizar uma VPN para usar a Internet como meio de transmissão de informações corporativas, ao invés de linhas privadas e mais lentas.

55


Antivírus: Programas maliciosos são a maior causa de

incidentes de segurança em computadores pessoais; Atua com o objetivo de proteger um computador de

forma individual e, por conseqüência, os demais componentes de uma rede;

Altamente recomendado para qualquer sistema que esteja conectado à Internet.

56


Criptografia e esteganografia: Esteganografia: Ciência ou arte de ocultar uma

informação dentro de outra. Ex: informações ocultas em arquivos de vídeo ou som;

Criptografia: É a ciência ou arte de escrever em cifras ou em códigos, combinando a cifra previamente com o destinatário;

Utilizada no meio digital para garantir a autenticação, a privacidade e a integridade dos dados e dos meios de comunicação.

57


Tipos de criptografia: Criptografia simétrica: Utiliza uma mesma chave para

codificar e decodificar uma mensagem. A divulgação da chave compromete a segurança do processo;

Criptografia assimétrica ou de chave pública: Utiliza duas chaves diferentes matematicamente relacionadas. Chave pública disponível para todos que quiserem criptografar uma mensagem ou verificar uma assinatura gerada com a chave privada correspondente. Chave privada de uso exclusivo do proprietário e serve para assinar ou decodificar mensagens e deve ser mantida em segredo.

58


Assinatura e certificado digital: A assinatura digital comprova que uma mensagem

realmente veio do emissor. Para isso, deve possuir as seguintes propriedades: Autenticidade: O receptor deve poder confirmar que a

assinatura foi feita pelo emissor; Integridade: Qualquer alteração da mensagem faz com

que a assinatura não corresponda mais ao documento; Não- repúdio ou irretratabilidade: O emissor não pode

negar a autenticidade da mensagem.

59


Assinatura e certificado digital: Passos de um processo de certificação digital: Geração de um hash criptográfico através de

algoritmos complexos (MD5, SHA) que reduzem qualquer mensagem a um hash de mesmo tamanho;

O hash é então criptografado por um sistema de chave pública para garantir a autenticidade e o não repúdio;

A chave privada do autor da mensagem é então usada para assinar a mensagem e armazenar o hash criptografado junto à mensagem original.

60


Assinatura e certificado digital: Passos de um processo de certificação digital: Para verificar a autenticidade do documento deve ser

gerado um novo hash a partir da mensagem armazenada;

O novo resumo é comparado com a assinatura digital, descriptografando a assinatura para obter o hash original;

Se o hash original for igual ao recém-gerado, a integridade a mensagem está garantida.

61


Certificado digital: Obtenção de um certificado digital: Procurar uma Autoridade Certificadora (AC) responsável por

fornecer este serviço; Uma AC tem a função de verificar a identidade de um

usuário e associar uma chave a ele; Um certificado digital contém a chave pública do usuário e

os dados necessários para informar sua identidade; Este processo torna possível que uma pessoa ou instituição

comprove a assinatura digital de um documento, podendo obter a assinatura correspondente ao documento.

62


Sistemas de detecção de intrusos (IDS): Serviço que monitora e analisa eventos de uma rede

com o objetivo de encontrar e emitir alertas de acessos não autorizados aos recursos de rede;

Serviço que procura por indícios de invasão; No caso de encontrar ocorrências, aciona as rotinas

definidas pela organizaçãoa fim de bloquear o acesso.

63

Controle de acesso

O acesso à informação deve ser controlado mas não deve impedir os processos de negócio da organização;

Controle de acesso pode ser dividido em lógico e físico.

64

Controle de acesso

Controle de acesso lógico: Os recursos que devem ter o acesso lógico

controlado envolvem os sistemas da organização, banco de dados, softwares, códigos-fonte, etc.

Tipos de controle de acesso lógico: Criação de um ou mais métodos de autenticação

para verificar a veracidade da identificação de um usuário.

65

Controle de acesso

Tipos de controle de acesso lógico:a) O que você sabe:Método de autenticação baseado em

senha de usuário que um usuário tenha conhecimento. Boas práticas envolvem a troca periódica das senhas, identificação de senhas de fácil dedução e bloqueio após algumas tentativas mal sucedidadas.

b) O que você tem: Autenticação baseada em algo que o usuário possui. Ex: Cartão magnético, smart card, cartão com chip, etc. Associação comum entre os tipos “o que você sabe” + “o que você tem”.

c) O que você é: Método baseado em características físicas de um usuário através de sistemas biométricos. Ex: reconhecimento facil, voz, íris, digital, etc.

66

Controle de acesso

Administração dos privilégios de usuários: Melhoria na segregação de funções e na proteção

dos ativos de informação contra acessos não autorizados realizando a administração adequada dos privilégios concedidos aos usuários do sistema;

Uso de perfis e grupos de usuários com diferentes necessidades e permissões para gerenciar os privilégios de forma mais eficiente;

Manutenção e revisão periódica dos perfis de usuário para verificar se as necessidades de acesso foram modificadas.

67

Controle de acesso

Monitoramento do uso e acesso ao sistema: Um sistema deve possuir registros de atividades

realizadas pelos usuários (logs); Logs devem registrar o usuário que realizou a

atividade, a hora e o tipo da atividade; Processo utilizado para auditoria em caso de

violação da integridade da informação.

68

Controle de acesso

Controle de acesso físico: Locais que oferecem riscos para a segurança da

informação devem ser protegidos por controles de entrada apropriados, dependendo da importância do ativo;

Os controles de acesso a ambientes físicos podem ser realizados utilizando estratégias de segurança lógica (“O que você sabe”, “O que você tem”, “O que você é”).

69

Organização da Segurança

Modelo de gestão de segurança: Criar um Comitê de Segurança da Informação; Conhecer a fundo as etapas que compõem os

processos de Segurança da Informação; Formalizar e organizar os processos que darão vida e

dinamismo à gestão de SI.

70


Etapas de um modelo de gestão corporativa de Segurança da Informação: Comitê Corporativo de Segurança da Informação; Mapeamento de Segurança; Estratégia de Segurança; Planejamento de Segurança; Implementação de Segurança; Administração de Segurança; Segurança na cadeia produtiva.

71


Comitê Corporativo de Segurança da Informação : Orientar as ações corporativas de segurança

relacionadas a todas as etapas do modelo; Análise de resultados para reparar possíveis desvios de

foco; Coordenação dos agentes de segurança; Garantir o sucesso de implantação do Modelo de Gestão

Corporativo de Segurança da Informação (autonomia da empresa em relação aos seus desafios de segurança);

Consolidação do Modelo de Gestão Corporativo de Segurança da Informação como um processo dinâmico auto-gerido.

72


Mapeamento de Segurança: Identificar os graus de relevância entre os processos de

negócio, definição de perímetros, infra-estrutura, etc; Inventário dos ativos físicos, tecnológicos e humanos que

sustentam a operação da empresa; Identificar ameaças, vulnerabilidades e impacto, de

forma a projetar a segurança necessária para sustentar os processos de negócio;

Mapeamento das necessidades empresariais relacionadas ao manuseio, armazenamento, transporte e descarte de informações;

Organização das demandas de segurança do negócio.

73


Estratégia de Segurança: Definição de um plano de ação que considere as

particularidades estratégicas, táticas e operacionais do negócio, além dos aspectos de risco físico, tecnológico e humano;

Aproximar o cenário atual do desejado com o objetivo de aumentar o comprometimento com as medidas previstas no plano de ação.

74


Planejamento de Segurança: Coordenação dos comitês interdepartamentais, definir

os escopos e promover a integração entre eles; Iniciar ações preliminares de capacitação de executivos e

técnicos, envolvendo-os na responsabilidade pelo sucesso do modelo de gestão;

Elaboração de uma Política de Segurança da Informação Sólida;

Realização de ações corretivas emergenciais em função do risco iminente percebido na etapa de mapeamento.

75


Implementação de Segurança: Divulgação da Política de Segurança no ambiente

corporativo para torná-la de conhecimento de todos;

Capacitação e conscientização dos usuários em relação ao manuseio, armazenamento, transporte e descarte da informação;

Implementação de mecanismos de controles físicos, tecnológicos e humanos para reduzir ou eliminar as vulnerabilidades a um nível desejado pela organização.

76


Administração de Segurança: Monitorar os diversos controles implementados, medindo a

eficiência e sinalizando mudanças que influenciem nos níveis do risco dos negócios;

Projetar o Retorno sobre o Investimento (ROI) com base nas medições realizadas;

Garantir a adequação e a conformidade o negócio com as normas associadas e regras internas de acordo com a legislação incidente;

Manter planos estratégicos paracontingência e recuperação de desastres;

Administrar os controles implementados, adequando suas regras de operação aos critérios definidos na Política de Segurança.

77


Segurança na cadeia produtiva: Equalizar as medidas de segurança adotadas pela

empresa aos processos de negócio comuns, mantidos junto com os parceiros da cadeia produtiva: fornecedores, clientes, governo, etc;

Nivelar o fator risco sem que uma das partes exponha informações compartilhadas e represente uma ameaça à operação de ambos os negócios.

78


Comitês da Segurança: Escritório de Segurança da Informação deve ser

independente e ligado diretamente à diretoria ou à presidência (ISSO 17799);

Responsabilidades do Comitê da Segurança: Organização e planejamento das ações de segurança; Aprovação das políticas, normas e procedimentos de

segurança da informação; Apoio à implantação de soluções para minimizar riscos; Deliberação sobre incidentes de segurança corporativa.

79

Segurança em Governança de TI

COBIT: Control Objectives for Information and Related Technology: Framework voltado para a gestão de TI; COBIT cobre os quatro domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e dar Suporte; Monitorar e Avaliar

80


Planejar e Organizar: Cobre o uso de informação e tecnologia e como isso

pode ser usado para a empresa atingir seus objetivos;

Definição da infra-estrutura e da estrutura organizacional para atingir os objetivos.

81


Adquirir e Implementar: Cobre os requisitos de TI, a aquisição de tecnologia,

sua implementação e utilização dentro dos processos de negócio da companhia;

Mantém o foco no desenvolvimento do plano de manutenção adotado para prolongar a vida do sistema de TI e seus componentes.

82


Entregar e dar Suporte: Cobre a execução de aplicações dentro do sistema

de TI e seus resultados, bem como o suporte dos processos que habilitam a execução de forma eficiente e efetiva;

Processos incluem também questões de segurança e reinamento.

83


Monitorar e Avaliar: Trabalha com a estimativa estratégica das

necessidades da companhia, avaliando se o atual sistema de TI atinge os objetivos especificados;

Controla os processos internos da empresa através de auditorias internas e externas.

84


ITIL: Information Technology Infrastructure Library: Modelo de referência para gerenciamento de

processos de TI; Desenvolver as melhores práticas para a gestão da

área de TI em empresas públicas e privadas; Tornou-se a norma BR-15000, que é um anexo da

ISO/IEC 9000/2000.

85


Principais processos que fazem parte do modelo de referência do ITIL: Planejamento de serviços; Gerenciamento de incidentes, operações, mudanças

e segurança; Gerenciamento de produção e testes.

86


Disciplinas táticas (ou de planejamento) do ITIL: Service Level Management; IT Service Continuity Management; Financial Management; Capacity Management; Availability Management.

Disciplinas Operacionais do ITIL: Incident Management; Problem Management; Configuration Management; Change Management; Release Management;

87


Exercício: Listar todos os objetivos de alto nível dos quatro

domínios do COBIT; Descrever (explicar) todas as disciplinas táticas e

operacionais do ITIL; Entrega: Próxima aula; Exercício individual escrito a mão.

88

89

AUDITORIA EM SISTEMAS DE INFORMAÇÃO

Fundamentos em Auditoria de SIs

Objetivos de promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação das empresas;

Deve atuar em todos os sistemas nos níveis operacional, táticos e estratégico da empresa.

90


Objetivos da auditoria de SI, segundo o COBIT: Integridade; Confidencialidade; Privacidade; Acuidade; Disponibilidade; Auditabilidade; Versatilidade; Manutenibilidade.

91


Integridade: Nível de confiança nas transações processadas pelo sistema. Capacidade do sistema de garantir a consistência e a correção das transações.

Confidencialidade: As informações são reveladas somente às pessoas que necessitam conhecê-las.

Privacidade: Segregação de funções. Apenas informações necessárias para a execução de funções são visualizadas.

92


Acuidade: Validação de transações processadas. Verificação de consistência de entrada de dados para auxiliar na verificação de dados fonte.

Disponibilidade: Disponibilidade do sistema para o cumprimento das atividades empresariais.

Auditabilidade: Documentação de logs para viabilizar trilhas de auditoria.

93


Versatilidade: O sistema deve ser amigável e de fácil adaptação com a estrutura operacional da empresa.

Manutenibilidade: Políticas e procedimentos operacionais que devem contemplar controles relacionados a testes, conversões, implantação e documentação de sistemas novos e modificados.

94


Tipos de Auditoria: Auditoria durante o desenvolvimento de sistemas Auditar todo o processo de construção de sistemas de

informação, da fase de requisitos até a fase de requisitos até a sua implantação.

Auditoria em sistemas em produção Aborda os procedimentos e resultados dos sistemas já

implantados (aspectos de segurança, corretude e tolerância a falhas).

95


Tipos de Auditoria: Auditoria no ambiente tecnológico Envolve a análise do ambiente de informática em

relação à estrutura organizacional, contratos, normas, técnicas, custos, utilização de equipamentos e planos de segurança e contingência.

Auditoria em eventos específicos Análise das causas, conseqüências e ações corretivas

cabíveis em eventos não cobertos pelas auditorias anteriores.

96

Metodologia em Auditoria de SIs

Etapas da metodologia: Planejamento e controle do projeto de auditoria

de sistemas de informação: Planejamento inicial de ações e recursos necessários

para a execução da auditoria; Considerar o enfoque desejado e a quantidade de

sistemas a serem auditados; Uso de ferramentas, como o PMBoK (Project

Management Body of Knowledge), para o planejamento das atividades.

97


Etapas da metodologia: Levantamento do sistema de informação a ser

auditado: Obtenção de informações relevantes sobre o sistema; Deve ser possível obter um entendimento amplo das

características do sistema; Uso de entrevistas ou análise da documentação de

desenvolvimento (DFDs, DERs, Casos de uso, etc) para entender o comportamento do sistema;

Definição clara do escopo para melhor direcionar a auditoria.

98


Etapas da metodologia: Identificação e inventário dos pontos de controle: Identificar pontos de controle que devem ser validados

(o que deve ser auditado); Gerados a partir de relatórios, documentos e do uso do

sistema; Cada ponto de controle deve ser relacionado aos seus

objetivos; Devem ser identificados ainda os parâmetros, as

vulnerabilidades e as técnicas de auditoria mais adequadas para a validação.

99


Etapas da metodologia: Priorização e seleção dos pontos de controle do

sistema auditado: Devem ser efetuados com base em: Grau de risco existente no ponto: Consiste na verificação

dos prejuízos que podem ser causados pelo sistema a curto, médio ou longo prazo;

Existência de ameaças: Auditar primeiro os pontos que se encontram sob forte ameaça e depois os demais;

Disponibilidade de recursos: Escolher os pontos que possam ser auditados com os recursos disponíveis.

A priorização deve ser revisada ao longo do processo de auditoria.

100


Etapas da metodologia: Avaliação dos pontos de controle: Realização dos testes para validação dos pontos de

controle; Etapa onde ocorre, de fato, a auditoria; Uso de técnicas de auditoria que envidenciem falhas

ou vulnerabilidades do controle interno; Existe uma técnica de auditoria mais apropriada para

cada objetivo ou característica do ponto de controle.

101


Etapas da metodologia: Conclusão da auditoria: Elaborar relatórios de auditoria contendo o resultado

encontrado, independente de qual seja; Relatório deve conter ainda o diagnóstico da situação atual

dos pontos de controle, suas vulnerabilidades e possíveis ameaças;

Um ponto de controle, quando apresenta vulnerabilidades, é apontado como um Ponto de Auditoria, devendo-se apontar possíveis soluções no relatório de auditoria;

Os Pontos de Auditoria devem sofrer periódicas revisão e avaliação após realizar as medidas corretivas.

102


Etapas da metodologia: Acompanhamento da auditoria (follow-up): Deve ser efetuado até que todas as recomendações

tenham sido executadas e as vulnerabilidades tenham sido eliminadas ou atinjam um nível tolerável pela organização.

103

Ferramentas de Auditoria de SIs

Ferramentas Generalistas de Auditoria de Tecnologia da Informação: Ferramentas que são capazes de processar, simular,

analisar amostras, gerar dados estatísticos, dentre outras funcionalidades que podem ser úteis do ponto de vista de um auditor.

104


Ferramentas: ACL (Audit Command Language): Software para extração e

análise de dados; IDEA (Interactive Data Extration and Analisys): Software

canadense também com objetivos de extração e análise de dados;

Audimation: Versão americana do IDEA; Galileo: Software de gestão de auditoria. Inclui gestão de risco

de auditoria, documentação e emissão de relatórios voltados para auditorias internas;

Pentana: Software de planejamento estratégico de auditoria com planejamento e monitoramento de recursos, controle de horas e gerenciamento de planos de ação.

105


Vantagens do uso destas ferramentas: O aplicativo pode processar vários arquivos ao

mesmo tempo; Processamento de vários tipos de arquivos em vários

formatos; Integração sistemática com outros softwares; Redução da dependência do auditor em relação ao

especialista de informática.

106


Desvantagens do uso destas ferramentas: Não costuma permitir o uso em ambientes online; Não realiza cálculos complexos que, muitas vezes, se

mostram úteis e necessários.

107


Ferramentas Especializadas de Auditoria: Aplicativos desenvolvidos com o objetivo específico de

executar certas tarefas em situações pré-estabelecidas. Podem ser desenvolvidas pelo auditor ou por terceiros.

Vantagens: Boa alternativa para atender demandas mais específicas.

Ex: cartão de crédito e crédito imobiliário.

Desvantagens: Pode ser custosa, por, muitas vezes, atender apenas a um

objetivo específico e apenas um cliente; Atualizações podem gerar problemas de incompatibilidade.

108


Programas utilitários em geral: Utilitários que executam funções genéricas como

ordenação de arquivos, concatenação de textos e geração de relatórios. Não são criados com o objetivo específico de auditoria.

Vantagens: Podem ser utilizados como solução alternativa na

ausência de outro recurso. Desvantagens: Necessita do auxílio do auditor, do usuário e do

analista do sistema.

109

Técnicas de Auditoria de SIs

Técnica de dados de teste: Utiliza um conjunto de dados projetados

especificamente para testar as funcionalidades de entrada de dados do sistema;

Análise dos resultados obtidos com os resultados planejados;

Maior numero de combinações exerce uma maior cobertura ao teste.

110


Técnica de dados de teste: Vantagens: Testes podem ser elaborados por pessoas que

detenham pouco ou nenhum conhecimento técnico de informática.

Desvantagens: Dificuldade de planejar e antecipar todas as

combinações de transações que possam acontecer no negócio da empresa.

111


Facilidade de teste integrado: Melhor aplicado em ambientes online e de tempo real; Os dados de teste são introduzidos nos ambientes reais

de processamento utilizando-se versões correntes da produção;

O teste envolve a aplicação de entidades fictícias, como funcionários fantasmas na folha de pagamento;

Os resultados de transações reais são confrontados com os resultados dos dados fictícios;

Testes evitam que as bases reais sejam atualizadas com dados fictícios.

112


Facilidade de teste integrado: Vantagens: Não acarreta custo adicional ou ambiente de

processamento exclusivo, funcionando no próprio ambiente de produção da empresa.

Desvantagens: Os efeitos das transações precisam ser estornados,

resultando em custos operacionais quando misturados com dados reais.

113


Simulação Paralela: Utiliza programas especialmente desenvolvidos que

realizam testes, simulando as funcionalidades do programa empresarial;

Resultados da simulação comparados com os do ambiente real;

Interação do auditor para comparação e análise dos dados obtidos nos dois ambientes.

114


Lógica de Auditoria Embutida nos Sistemas: Inclusão da lógica de auditoria nos sistemas na fase

de desenvolvimento; Sistemas com emissão de relatórios de auditoria e

logs para acompanhamento dos procedimentos operacionais.

115


Rastreamento e Mapeamento: Criar uma trilha de auditoria que permita

acompanhar os principais pontos da lógica do processamentodas transações críticas;

Comportamentos e resultados de transações são armazenados para análises futuras;

Recuperação da informação de forma inversa (seguindo a trilha oposta).

116


Análise da Lógica de Programação: Verificação da lógica de programação; As instruções passadas ao sistema devem ser as

mesmas especificadas na documentação; Pode ser feita manualmente ou suportada por

ferramentas automatizadas de verificação de software.

117

Melhores Práticas de Auditoria de SIs Motivação: Ausência de padrões, o que dificulta o trabalho dos

auditores; Várias associações e empersas de auditoria

apresentam regras no exercício da profissão; Recomendações emitidas pelo Comitê de Padrões

da Associação de Controle e Auditoria de Tecnologia de Informação dos EUA com o objetivo de tentar padronizar os processos de auditoria.

118

Melhores Práticas de Auditoria de SIs Recomendações: Responsabilidade, autoridade e prestação de

contas: Responsabilidade, autoridade e prestação de contas sobre a função de auditor de TI devem ser devidamente documentadas na defiição da área de atuação;

Independência profissional: O auditor de TI deve ser independente no que diz respeito aos processos que envolvem a auditoria, inclusive em relação à área que está sendo auditada.

119

Melhores Práticas de Auditoria de SIs Recomendações: Ética profissional e padrões: O auditor de TI deve

respeitar o código de ética vigente (ACATI); Competência: O auditor deve ser competente em

suas habilidades técnicas, possuindo conhecimento necessário para a execução do seu trabalho.

120

Melhores Práticas de Auditoria de SIs Recomendações: Planejamento: O auditor de TI deve planejar suas tarefas

para direcionar os objetivos da auditoria com maior eficiência. A equipe de auditoria deve ser supervisionada para atender e respeitar o planejamento;

Emissão de relatório: O auditor de TI deve prover um relatório de atividades realizadas e resultados obtidos para a autoridade competente. Este relatório deve apresentar escopo, objetivos, período de abrangência, natureza e extensão do trabalho executado.

121

Melhores Práticas de Auditoria de SIs Recomendações: Atividades de acompanhamento: O auditor de TI

deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.

122

Melhores Práticas de Auditoria de SIs Código de Ética Profissional estabelecido pela

Associação de Auditores de Sistemas e Controle (ISACA): Apoiar a implementação e encorajar o cumprimento

com os padrões sugeridos dos procedimentos e controles dos Sistemas de Informação;

Exercer suas funções com objetividade, de acordo com os padrões profissionais e as melhores práticas;

Servir aos interesses de seus contratantes de forma legal e honesta, preocupando-se com a manutenção de alto padrão de conduta e caráter profissional;

123


Associação de Auditores de Sistemas e Controle (ISACA): Manter privacidade e confidencialidade das

informações obtidas no decorrer de suas funções, exceto quando exigido legalmente exigido. Não devem ser utilizadas para vantagem própria;

Manter competência nas respectivas especialidades e assegurar que atua somente nas áreas onde obtenha razoável habilidade para competir profissionalmente;

124


Associação de Auditores de Sistemas e Controle (ISACA): Informar partes envolvidas sobre os resultados de

seus trabalhos, expondo todos os fatos significativos que tiver em seu alcance;

Apoiar a conscientização profissional dos seus superiores (stakeholders) para auxiliar sua compreensão dos sistemas de informações, segurança e controle.

125

Documents

Segurança e auditoria de sistemas