Segurança e Auditoria de Sistemas

ALLAN PITER [email protected]

1

SEGURANÇA E SEGURANÇA E AUDITORIA DE AUDITORIA DE

SISTEMAS.SISTEMAS.

@allanpitter@allanpitter

07/09/201007/09/2010


2


3

Não foi o medo que tomou conta Não foi o medo que tomou conta dele apenas uma noção dele apenas uma noção

ampliada das coisas...ampliada das coisas...

Leonidas Leonidas

ALLAN PITER [email protected] / [email protected] /@allanpitter

4


5

1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação

• Confidencialidade – garantir acesso ao sistema a apenas quem de fato tem acesso;• Integridade – A informação estar no estado em que foi armazenada;• Disponibilidade – A informação estar acessível sempre que solicitado;• Autenticação – Garantir que um usuário é de fato quem alega ser;• Não-repúdio – capacidade do sistema provar que um usuário executou uma determinada ação;• Legalidade – Garantir que o sistema esteja dentro legislação vigente;• Privacidade – Capacidade de um sistema de manter anonimato de seus usuários;• Auditoria – Capacidade que um sistema possui para que possa ser auditado suas operações.


6


• Incidente de segurança – Ocorrência de um evento que possa causar interrupções nos processos de negócios em consequencia de violação de algum aspecto;• Ativo de informação – Todos os elementos que suportam uma informação;• Ataque – Incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, buscando como alvo um ativo de valor;• Vulnerabilidade – Ativos que possuem algum tipo de fraqueza que pode gerar intencionalmente ou não indisponibilidade de um ativo de informação;• Ameaça – Ataque a potencial a um ativo de informação realizado por um agente externo;• Probabilidade – Possibilidade de ocorrência de uma falha, deve-se levar em conta as vulnerabilidades e ameaças.


7


• Impacto – conseqüência que pode causar a um ativo de informação após um incidente de segurança;• Controle – Medidas que visam proteger um ativo de informação visando minimizar ou mitigar o grau de exposição de um ativo;


8

2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação

Meio Externo

Meio Interno

Identificação das necessidades e requisitos


9

2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação• Obtenção – Procedimentos para captura e recepção da informação;•Tratamento – Forma com que a informação é tratada antes de ser consumida;• Distribuição – Levar a informação até seus consumidores;• Uso – A informação é usada para gerar valor para a organização;• Armazenamento – Assegurar a conservação da informação para uso futuro;• Descarte – Quando uma informação torna-se obsoleta ou perde a utilidade para organização, ela deve ser objeto de processo de descarte que obedeça as normas legais.


10

3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de InformaçãoInformação

Ativos de Informação

Software Físico Serviços Pessoas Documentos em Papel

Informação


11


• Classificação – atribuir o grau de sigilo a um ativo da informação;• Proprietário – Responsável pelo ativo da informação;• Custodiante – Responsável pela guarda do ativo da informação assegura que o ativo da informação está sendo protegido;

• Informação Pública – são informação que se divulgadas não trarão impactos a empresa;• Informação Interna – são informação de uso interno a uma empresa como uma lista de telefones, etc;• Confidencial – Informação de acesso restrito dentro da empresa;• Secreta – informações críticas para a organização, são informações vitais aos rumos do negócio;


12


• Classificação quanto a disponibilidade – defini a criticidade de uma informação e determina o seu grau de disponibilidade que a mesma deve ter minuto, horas, dias, não é crítica;• Classificação quanto a integridade – defini a forma de armazenar as informações dado o seu grau de importância, visando a exclusão e/ou adulteração indevida da mesma;• Monitoramento contínuo, criar procedimentos para revisar periodicamente a classificação e estado das informações para garantir que os mesmos estão classificados adequadamentes;


13

4. Aspectos Humanos da Segurança da 4. Aspectos Humanos da Segurança da informaçãoinformação

• Security Officer – Coordenação, planejamento, indicadores de segurança corporativa, base de conhecimento, treinamento, capacitação, BCP, Investigação de Segurança, Análise de Risco, GRC, etc;

• Engenharia Social – Arte de utilzar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada;

• Física e Psicologica

• Sempre representa o elo mais fraco;• Segurança no trabalho;• Segurança no processo de seleção de pessoal;• Treinamento de Usuários;


14

5. Segurança no ambiente físico5. Segurança no ambiente físico

• Combinar medidas de prevenção, detecção e reação a possíveis incidentes;• Criar barreiras de segurança, medidas preventivas que impeçam ataques aos ativos da informação;

• Medidas físicas (muros, câmeras, catracas);• Lógicas (Senhas, toquens, biometria);

• Proteger os perímetros do ambiente;• Segurança em escritórios, salas e instalações de ativos de informação;• Segurança de equipamentos;• Segurança de documentos em papel e eletrônicos;• Segurança de mídias de computador;• Segurança no cabeamento.


15

6. Segurança no ambiente lógico6. Segurança no ambiente lógico

• Segurança em Redes, deve abranger problemas de autenticação de usuários e equipamentos, interfaces de segurança entre o ambiente externo e externo;• diversos mecanismo de proteção, dentro os quais podemos citar firewalls, IDS, IPS, mecanismo de gerência de rede e controle de trafego, estabelecer roteamento estatíco, etc.;• outros controles podem ser implementados utilizando técnicas de criptográfia, tokens, VPNs, antivírus, etc.• firewall: controle de acesso a rede, sua função é examinar o trafégo de rede que deve ser observado a política de segurança;• perímetro lógico, conhecido como DMZ , permite proteger um computador ou segmento de rede ficando entre a rede interna e externa, funcionando como uma área neutra;


16

6. Segurança no ambiente lógico6. Segurança no ambiente lógico

• VPN: representa outra alternativa, minimizando o impacto sobre o uso de redes públicas para transmissão de dados privados, softwares podem criar redes privadas (túneis criptográfico) entre pontos autorizados para transferência de informações de forma segura;• Antivírus: sua função é analisar os programas de forma a identificar vírus, worms, ameaças em geral;• criptografia: utilização de códigos encriptados com o próposito de criar restrições para acesso não autorizado;• Esteganografia: técnica de ocultar uma informação dentro de outra, usando o principio de camuflagem;• Assinatura e certificado digital: garantir a autenticidade, integridade e não repúdio ou irretratabilidade;•IDS e IPS: sistemas que monitora e analisa os eventos de uma rede em busca de anormalidades no tráfego de rede.


17

7. Controle de Acesso7. Controle de Acesso

• Todo o acesso a informação deve ser controlado;• O controle de acesso pode ser dividido em lógico e físico;• Controle de acesso lógico:

• Identificação e autenticação do usuário• O que você é?• O que você tem?• O que você sabe?

• Administração dos privilégios de usuários;• Monitoração do uso e acesso ao sistema;

• Controle de acesso físico.


18

8. A organização da segurança8. A organização da segurança

Modelo de segurança corporativa é composto pela seguintes etapas:

• Comite corporativo de segurança da informação;• Mapeamento da Segurança;• Planejamento de Segurança;• Implementação de Segurança;• Administração de Segurança;• Segurança na cadeia produtiva.


19


Comite corporativo de segurança da informação:

• Orientar as ações corporativa de segurança;• Alinhar o plano de ação as diretrizes estratégicas do negócios;• Coordenar as equipes de segurança;• Garantir o sucesso da implantação do modelo de gestão de segurança;• Promover a consolidação do modelo de gestão de segurança.


20


Mapeamento de segurança:

• Identificar o grau de importância dos diversos processos de negócios, perímetros e infra-estrutura;• Inventariar ativos de informação;• Identificar o cenário atual de ameaças, vulnerabilidades e impactos;• Mapear as necessidades e as relações da empresa ao manuseio da informação;• Organizar as demandas de segurança do negócio.


21


Estratégia de segurança

• Definir o plano de ação considerando todos os pontos inerentes ao negócios;• Criar sinergia entre o plano atual e desejado em sintonia com alta direção.


22


Planejamento de Segurança

• Organizar os comitês de seguranças;• Capacitar executivos e técnicos;• Elaborar a política de segurança da informação, considerando os diversos pontos;•Realizar ações corretivas emergenciais em função de risco iminente percebidos no mapeamento.


23


Implementação de Segurança

•Divulgar a política de segurança da informação;• Capacitar e conscientizar os usuários quanto as melhores práticas de segurança da informação;• Implementar mecanismos de controles (físicos, tecnológicos, humanos, etc.).


24


Administração de Segurança

• Monitorar e administrar os controles implementados;• Projetar a situação de ROI;• Garantir a adequação e conformidade do negócio com normas associadas;• Manter plano de PCN para garantir a continuidade dos negócios


25


Segurança na cadeia produtiva:

• Equalizar as medidas de segurança adotadas aos processos de negócios comuns que interagem com outros atores do ambiente (clientes, fornecedores, governos, funcionários, etc.)


26


Comitês de Seguranças

• Aprovação das políticas, normas e procedimentos;• Aprovação de novos controles;• Apoio à implantação de soluções para minimizar os riscos;• Deliberação sobre incidentes de segurança corporativas;• Comitês departamentais agilizam o processo dessas políticas sendo um elemento importante neste processo.


27


Comitês de Seguranças

• Aprovação das políticas, normas e procedimentos;• Aprovação de novos controles;• Apoio à implantação de soluções para minimizar os riscos;• Deliberação sobre incidentes de segurança corporativas;• Comitês departamentais agilizam o processo dessas políticas sendo um elemento importante neste processo.


28

9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI

COBIT - Controle Objectives for Information and Related Technology

• Framework para a gestão da tecnologia de informação;• Recomendado pelo ISACA (Information System Audit and Control Foundation);• Modelo de gestão de TI

• Framework;• controle de objetivos;• mapas de auditoria;• ferramentas para sua implementação;• guia de técnicas de gerenciamento.

• Meio para otimizar o investimento (ROI);• fornece métricas para avaliação de resultados.


29


Planejar e Organizar

• Definir o plano estratégico de TI e orientações;• Definir a arquitetura de informações;• Determinar o gerenciamento tecnológico• Definir os processos de TI, organização e relacionamentos;• Gerenciar o investimento em TI;• Comunicar os objetivos de gerenciamento e orientar;• Gerenciar os recursos humanos de TI;• Gerenciar a qualidade;• Estimar e gerenciar os riscos de TI;• Gerenciar projetos.


30


Adquirir e Implementar

• Identificar soluções automatizadas;• Adquirir e manter software de aplicação;• Adquirir e manter infra-estrutura de tecnologia;• Habilitar operações e uso;• Obter recursos de TI;• Gerenciar mudanças;• Instalar e credenciar soluções e mudanças.


31


Entregar e Dar suporte

• Definir e gerenciar níveis de serviço;• Gerenciar Serviços de Terceiros;• Gerenciar performance e capacidade;• assegurar serviço contínuo;• assegurar segurança de sistemas;• Identificar e alocar recursos;• Treinar usuários;• Gerenciar serviços de escritório e incidentes;• Gerenciar a configuração;• Gerenciar problemas;• Gerenciar dados;• Gerenciar o ambiente físico;• Gerenciar operações.


32


Monitorar e avaliar

• Monitorar os processos;• Assegurar avaliação dos controles internos;• Obter avaliação independente;• Prover auditoria independente.


33


ITIL – Information technology infrastructure library

• Modelo de gerenciamento mais aceito mundialmente;• desenvolvido a partir de pesquisas pela Secretaria de Comércio;• Hoje é a norma BS-15000, sendo um anexo da ISO/IEC 9000/2000;• Foco é descrever processos necessários para gerenciar infra-estrutura de TI eficientemente e garantir o nível de serviço para clientes internos e externos.


34



Processos que fazem parte do modelo:

Planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração, operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes;

Gerar valor de TI para o negócio e provar esse valor de maneira adequada, através de processos corretos.


35



Possui disciplinas Táticas e operacionais

Disciplinas Táticas:

• Service Level Management;• IT Service Continuit Management;• Financial Management;• Capacity Management;• Availability Management.


36


Service Level Management

• Planejar;• Coodernar;• Monitorar Acordo de SLA;• Requirementos de Qualidade;• Custos


37


IT Service Continuity Management

• Gerenciamento de recursos organizacionais;• Manutenção dos serviços que suportam os negócios;• garantir o suporte mínimo aos processos de negócios;• ciclo continuo de avaliação de riscos;• Garantia do uso de PCN.


38


Financial Management

• Gerenciamento do Budget de TI e Serviços

Capacity Management

• Monitorar, análise e planejamento do uso dos recursos computacionais, concentrando em métricas e condições ótimas de operação.

Availability Management

• Otimizar a capacidade de infra-estrutura de TI, suporte e serviços, custo efetivo, nível de disponibilidade.


39


Disciplinas Operacionais

• Incidente Management;• Reduzir o tempo de indisponibilidade dos serviços.

• Problem Management;• Minimizar o impacto ao negócio ocasionado pelas diversas causas (erros, problemas, infra, riscos, etc.)

• Configuration Management;• Gerenciar e controlar ativos de TI e itens de configuração.

• Change Management;• Controle das mudanças ao ambiente, evitando problemas e erros ocasionados por essas mudanças.

• Release Management.• Previne a indisponibilidade do serviço, garantindo que as instalç~eos de versões de hardware e software estejam seguras, autorizadas e devidamente testadas.


40



41



42

PERGUNTAS?PERGUNTAS?


43

Informações para contato:Informações para contato:

Allan Piter PressiAllan Piter [email protected]@[email protected]@dnainfo.com.br@allanpitter@allanpitterhttp://www.dnainfo.com.br/http://www.dnainfo.com.br/