7

Click here to load reader

Segurança e Auditoria de Sistemas

Embed Size (px)

Citation preview

Page 1: Segurança e Auditoria de Sistemas

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE MINAS GERAIS

SEGURANÇA E AUDITORIA DE SISTEMAS

Dyego Henrique Melo Dias

Poços de Caldas 2011

Page 2: Segurança e Auditoria de Sistemas

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE MINAS GERAIS

SEGURANÇA E AUDITORIA DE SISTEMAS

Relatório apresentado à Disciplina Segurança e Auditoria de Sistemas ao Professor Luis Alberto Ferreira Gomes, da Pontifícia Universidade Católica de Minas Gerais, campus Poços de Caldas.

Poços de Caldas 2011

Page 3: Segurança e Auditoria de Sistemas

Questão 1

Quais são as responsabilidades e a importância de um modelo de governança da

segurança da informação para uma organização?

Resposta

As responsabilidades e a importância de um modelo de governança da segurança

da informação para uma organização são para dirigir, avaliar e monitorar as

informações e atividades do sistema de gestão de segurança de informação. Esta

governança deve estabelecer os papeis e responsabilidades das principais partes

interessadas e relacionadas aos comitês estratégicos e de direção. A governança da

Segurança da Informação é uma das responsabilidades do Conselho de Administração.

Com a importância do assunto é oferecido aos profissionais normas da família ISO/IEC

27000, ISO/IEC 38500, ISACA, ITGI e ITSMF.

Dentre o que foi dito acima destacam-se os modelos e arquiteturas abaixo

relacionadas:

• Overview

• Política e Estratégia

• Padrões de Serviços de Segurança de TI

• Padrões no nível da Aplicação

• Padrões na Infraestrutura

• Central de Serviços de Segurança

Também as Métricas de segurança da Informação:

• Métricas de Segurança da Informação

• Métricas Implementação Governança

• Alinhamento Estratégico

• Gerenciamento de Risco

Page 4: Segurança e Auditoria de Sistemas

Questão 2

Qual a recomendação principal que o autor do artigo “Algumas Recomendações

para Um Modelo de Governança para Segurança da Informação” apresenta com relação

a processos e controles para um modelo de governança em segurança da informação?

Resposta

A recomendação apresentada pelo autor é que se faça uma combinação de

potencialidades dos modelos COBIT e ITIL e da nossa ISO 20000, sendo que estes

mesmos modelo vem sendo utilizados pelas organizações e testadas e aprovadas por

vários especialistas ao redor do mundo.

Assim recomendando a utilização dos modelos COBIT e a norma ISO 27002

que irão fornecer os objetivos de controle necessários para atender os requisitos

necessários. Os processos do modelo ITIL são utilizados para gerir a implementação

destes objetivos de controle. Onde com uma correlação desses objetivos com os

processos descritos do modelo ITIL.

Questão 3

Descreva o processo de Gerenciamento da Segurança do ITIL e cite três

benefícios trazidos por este processo.

Resposta

O modelo ITIL(Information Technology Infrastructure Library) começou na

Grã-Bretanha na década de 80, com o objetivo de desenvolver uma abordagem para a

utilização eficiente e econômica dos recursos de TI. Desde então o ITIL tornou se uma

indústria com organizações, ferramentas, treinamentos, serviços de consultoria,

estruturas relacionadas e publicações.

Utilizado no processo de gerenciamento de segurança na área de TI de uma

organização, que pode gerar informações úteis. Quando, hoje em dia estas organizações

estão presentes na internet, realizando transações, necessitando de um “back-office” que

suporte relacionamentos automáticos usados nos negócios eletrônicos. Segundo

Francisco Ferrão na SQS Software Quality Systems Artigo IV os objetivos da ITIL são:

1 - Alinhar os serviços de TI com as necessidades atuais e futuras das organizações e

dos seus clientes e fornecedores; 2 - Melhorar a qualidade dos serviços de TI

Page 5: Segurança e Auditoria de Sistemas

fornecidos; 3 – Reduzir, a longo prazo, o custo inerente à Disponibilização de Serviços

de TI.

A ITIL procura assim assegurar que as medidas de segurança da informação são

tomadas as três níveis, estratégico, tático e operacional consoante os processos que a

constituem, isto é, serviços de suporte a nível operacional e disponibilização de serviços

a nível tático. Existem 7 passos que podem descrever mais claramente o processo de

gestão do ITIL.

1. Identificação dos requisitos de segurança;

2. Viabilidade dos requisitos e comparação com serviços básicos de

segurança a garantir;

3. Definição dos SLA’s que devem incluir requisitos de segurança

em termos manuseáveis que especifiquem como devem ser verificados e

auditados;

4. Do mesmo modo são negociados, e acordados, os OLA’s;

5. Controle e implementação dos SLA’s e OLA’s;

6. Relatórios periódicos do ponto de situação desses serviços;

7. Modificação, se necessário, dos SLA’s e OLA’s.

A ITIL mantém a segurança de informação com seu enfoque no negócio nos

serviços de TI. Com as ITIL’s pode-se garantir que os serviços estão alinhados com as

necessidades de negócio. A ITIL também permite que as organizações desenvolvam, e

implementem, a segurança de informação de uma forma estruturada baseada nas boas

praticas de prestação de serviços de TI.

Segundo a própria ITIL, seus benefícios podem ser agrupados em quatro

categorias: Benefícios de Negócio, Benefícios Financeiros, Benefícios de Inovação e

Benefícios para os Profissionais, onde, estes benefícios são divididos em diversos

fatores, que, claro, dependem de atitudes necessárias para chegar ao benefício.

Benefício de Negócio, possuem estratégias de serviços que visam o que se

deseja planejar e gerenciamento de nível de serviço que estabelece uma prioridade para

cada processos a ser realizado na organização.

Benefício Financeiro, acima de tudo toda organização está preocupada com

resultados rentáveis, contribuindo assim com o maior retorno possível sob utilização

dos serviços de tecnologia, sobretudo demostrando-os.

Page 6: Segurança e Auditoria de Sistemas

Benefício de Inovação, com a flexibilidade de boas práticas de transação de

serviços fornecem, melhoria contínua de serviços, que é ferramenta de inovação

constante por essência.

Benefício dos Profissionais, minimizando o esforço do profissional ao buscar

tratamento de falhas, rápidas informações sobre o andamento dos serviços, solução de

falhas quase que de imediato, controle de incidentes.

A ITIL possui diversos benefícios alcançáveis, mas os que mais se destacam são

a redução de custos, o aumento de produtividade e o aprimoramento dos processos.

Page 7: Segurança e Auditoria de Sistemas

Referencias Bibliográficas

Blog Path - http://www.path.com.br/blog/?p=227, acessado em 08/05/11; Mauro César Bernardes - Algumas recomendações para um modelo de governança da segurança da informação. EAD PUC Minas, acessado em 09/05/11; ITIL - Benefícios Associados à Segurança da Informação - http://blogs.technet.com/b/ronaldosjr/archive/2010/01/05/itil-benef-cios-associados-seguran-a-da-informa-o.aspx, por Ronaldo Smith Jr em 5 Jan 2010 10:39 AM, acessado em 10/05/2011; A ITIL E A SEGURANÇA DAS TI - http://www.sqs.pt/ARTIGO-4-ITIL.pdf, caderno “Inovação & Tecnologia” por Francisco Ferrão, acessado em 10/05/11; Os benefícios da ITIL - http://www.portalgsti.com.br/2009/08/os-beneficios-da-itil.html, por Fernando Palma em Agosto de 2009, acessado em 10/05/11;