segurança e auditoria de sistemas - tarciocarvalho.com§a e... · • tanenbaum, andrew s. redes...
Post on 18-Sep-2018
215 Views
Preview:
TRANSCRIPT
Segurança e Auditoria de Sistemas
Tarcio Carvalho
Apresentação• Conceitos de Auditoria;• Auditoria de sistemas e área de sistemas de informação;• Controles em SI gerenciais e de aplicações;• Coleta de dados: testes, técnicas, entrevistas e
questionários;• Avaliação de integridade e segurança de dados, de
efetividade e eficiência;• Auditoria nos processos de desenvolvimento de sistemas;• Auditoria de sistemas em operação;• Softwares de auditoria;• Gerência da função auditoria e segurança em SI.
Bibliografia básica:• NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de.
Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007
•• VALLE, James Della; ULBRICH, Henrique César.
Universidade Hacker - H4CK3R: desvende todos os segredos do submundo dos hackers. 6ª ed. São Paulo: Digerati Books, 2009
•• NENETH, Evi; SNYDER, Garth; HEIN, Trent R. Manual
Completo do Linux. 2ª ed. São Paulo: Pearson Prentice-Hall, 2007
•
Bibliografia complementar:• TANENBAUM, Andrew S. Redes de computadores. Rio de
Janeiro: Elsevier, 2003•• SOARES, L. F. G. et al. Redes de computadores. 2ª ed. Rio
de Janeiro: Campus, 1995•• CARUSO, C. A. A.; STEFFE, F. D. Segurança em informática e
de informações. 2ª ed. São Paulo: Editora SENAC, 1999•• COMER, Douglas E. Interligação em Redes com TCP/IP. Rio
de Janeiro: Campus, 1999
Avaliações:
I unidade:• Avaliação Individual;• Trabalho em grupo (dia da responsabilidade
social ou Linux Day);II unidade:• Avaliação Individual;• Trabalho em grupo (II Workshop de Segurança da
Informação).
Definição
• A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas, causados por falha humana de processos.
Objetivos
• Conhecer conceitos inerentes à segurança da informação;
• Compreender a importância da segurança da informação no contexto organizacional;
• Ser apresentado a NBRISO/IEC 27002;• Identificar aspectos que devem ser abordados
numa auditoria de segurança da informação.
Riscos associados à informaçãoIncidentes:• Vírus;• Ataques (hackers);• Indisponibilidade;• Vazamento/furto de informação;• Fraudes;• Invasões.
Riscos associados à informaçãoConseqüências:• Perda financeira;• Danos à imagem;• Processos legais;• Queda de produtividade;
Segurança da informaçãoA segurança da informação está relacionada com
proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
Pilares
Atributos
• Não-repúdio:É a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica não poderá posteriormente negar sua autora;
• Responsabilidade:É a habilidade para manter pessoas ou entidades responsáveis por suas ações por meio do registro de seus atos.
Análise de riscos
• Análise das ameaças, impactos e vulnerabilidades dos recursos de TI e da probabilidade de sua ocorrência.
• Gastos com controle necessitam ser balanceados (Custo X Benefício).
• Direciona e determina ações gerenciais a partir da identificação de requisitos de segurança.
• Proporciona o estabelecimento de controles.• Análise de risco é responsabilidade do gestor. O
auditor é responsável por avaliar a gestão do risco realizada pelo gestor e os controles implementados.
Perfil do Auditor
• Ética;• Proatividade;• Abertura para a troca de conhecimento;• Visão global dos negócios;• Aprendizado de normas e procedimentos de
determinadas áreas;• Atualização contínua;• Relacionamento interpessoal.
Competências e Habilidades
• capacidade de unir aspectos distintos da área de exatas, como o raciocínio lógico, a visão de processos, associando-os às ciências humanas e a boa capacidade comunicar de forma clara, o profissional de TI que deseja seguir pela área da auditoria, deve ser curioso, detalhista e questionador, o que fará, dele, alguém de destaque, no meio. Ter uma boa formação superior, também é um bom diferencial, principalmente, se o diploma for em administração ou TI, complementado com uma pós-graduação em Gestão de Pessoas
Certificação
Motivação
• Notícias de 2011 (Fonte: Folha de São Paulo)– 01/02 - Ataque virtual usa "BBB 11" para roubar dados;
– 01/02 - Procon vai notificar LG sobre vazamento de dados dos clientes;
– 28/01 - FBI documenta ciberataques relacionados ao Wikileaks;
– 27/01 - Cinco hackers que apóiam o WikiLeaks são presos no Reino Unido;
– 26/01 - Primeiro vírus de computador completa 25 anos;
– 26/01 - Cem usuários dominam dois terços da pirataria virtual, diz
pesquisa;
– 24/01 - Crimes pela internet estão em alta, diz empresa de segurança;
WikiLeaks
Classificação da Informação
Segurança
Técnica x Gestão
Cenário pessimista
Cenário otimista
top related