Auditoria de Segurança da Informação

Prof. Paulo Fernando da Silva

Faculdades SENACPós-Graduação em Segurança da Informação

Conceitos Básicos

• Qual a importância da informação?

• O uso das informações evoluiu nas organizações?

Conceitos Básicos

• Qual a importância da informação?– Financeira; Estratégica; Operacional, etc...

• Antigamente...– Centralizados e não automático;

• Depois...– Automatização dos processos;

Conceitos Básicos

• Atualmente...– Tecnologia da informação;– Informação de alto nível;– Alta conectividade;– Aplicações conectadas:

• B2B;• B2C;• Comércio eletrônico;• ERPs;

Conceitos Básicos

• Fundamental para os processos e negócios da empresa;

• Clientes, fornecedores, parceiros e governos conectados;

• Este cenário traz risco para as empresas.

• Quais riscos?

Conceitos Básicos

• As empresas têm grande atenção aos seus ativos físicos e financeiros;

• E não protegem os ativos de informação;

• Ativos da informação:– A própria informação;– Meio de armazenamento;– Todo processo e manipulação;

Conceitos Básicos

• Então é preciso criar medida para proteção dos ativos da informação;

• Segurança da Informação:– Área responsável pela proteção dos ativo da

informação;– Acesso não autorizado;– Alterações indevidas;– Indisponibilidade.

Conceitos Básicos

• Três propriedades da segurança da informação:– Confidencialidade;– Integridade;– Disponibilidade;

Conceitos Básicos

• Confidencialidade:– Protege o conteúdo;– Apenas lê quem tem direito;– Protege por grau de sigilo;

Conceitos Básicos

• Integridade:– Modificação durante o trânsito;– Informação não pode ser alterada;– Informação igual a original;– Apenas quem tem direito pode modificar;

Conceitos Básicos

• Disponibilidade:– A informação deve estar disponível;– Quando quem tem direito deseja acessar;– Exceto em situações previstas, como

manutenção.

Conceitos Básicos

• Gestão Corporativa de Segurança:– Considera o negócio da empresa como um

todo;

• Incluí mais dois conceitos:– Autenticidade;– Legalidade;

Conceitos Básicos

• Autenticidade:– Identificação dos elementos da transação;– Acesso através da identificação;– Comunicação, transações eletrônicas,

documentos, etc.

Conceitos Básicos

• Legalidade:– Valor legal da informação;– Análise de cláusulas contratuais;– Concordância com a legislação.

Conceitos Básicos – Outros

• Autorização;

• Auditoria;

• Relevância do ativo;

• Relevância do Processo;

• Criticidade;

• Irretratabilidade;

Conceitos Básicos

• Autorização:– Concessão de permissão;– Acesso a informações ou aplicações;– Em um processo de troca de informações;– Depende da identificação e autenticação;

Conceitos Básicos

• Relevância do Ativo:– Grau de importância de uma informação;– Quando os processos dependem da

informação;– Quando a organização depende da

informação;

Conceitos Básicos

• Relevância do Processo:– Grau de importância do processo;– Objetivos da organização dependem dele;– Sobrevivência da organização depende do

processo;

Conceitos Básicos

• Criticidade:– Gravidade do impacto no negócio;– Ausência de um ativo da informação;– Perda ou redução de funcionalidade;– Uso indevido ou não autorizado de ativos da

informação.

Conceitos Básicos

• Irretratabilidade:– Sinônimo de não-repúdio;– Informação possuí a identificação do emissor;– A identificação autentica o autor;– Autor não pode negar a geração da

informação.

Ameaças e Ataques

• Ameaças:– Agentes ou condições;– Causam incidentes que comprometem as

informações;– Exploram vulnerabilidades;– Perda de confidencialidade, integridade e

disponibilidade;– Causam impacto nos negócios da

organização.

Ameaças e Ataques

• Ameaças externas ou internas;

• As ameaças sempre existirão;– Independente dos controles de segurança;

• As medidas podem eliminar as vulnerabilidades;

• E neutralizar as ameaças;

Ameaças e Ataques

• Classificação das ameaças:– Intencionais;– Acidentais;– Internas;– Externas;

Ameaças e Ataques

• Ameaças exploram vulnerabilidade para realizar ataques.

• Ataques:– Tentativa de quebras as propriedades de

segurança;– Confidencialidade, integridade e

disponibilidade;– Outras propriedades estudadas;

O papel das Ameaças

Definição de Controles• Políticas de Segurança;

• Normas ISO;

• Tipos de Políticas;

Definições

• Conjunto de regras;

• Determina como as informações são geridas;

• Deve ser ampla e simples;

• Revisão contínua;

• Apoio da alta administração;

Definições

• Define objetivos;

• Define responsabilidades;

• Define Penalidades;

Definições

• BS7799: norma inglesa;

• BS7799-1 = ISO 17799: código de boas práticas de segurança;

• BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI;

• ISO 17799 e 27001 foram traduzidos pela ABNT.

Definição

• CobiT: modelo de governança de TI;– 30% relacionado com segurança;

• ISO 15408 (Common Criteria):– Define e avalia requisitos de segurança em

sistemas;– Volume 1: Definições e Metodologia;– Volume 2: Requisitos de Segurança;– Volume 3: Metodologias de Avaliação;

ISO 27001

• Define um “Sistemas de Gestão da Segurança da Informação”

• Usa o ciclo PDCA– Planejar (plain);– Fazer ou implementar (do);– Monitorar (check);– Melhorar (act);

ISO 27001

ISO 27001

• Possui 11 seções:– Política de Segurança;– Organizando a Segurança da Informação;– Gestão de Ativos;– Segurança em Recursos Humanos;– Segurança Física e do Ambiente;– Gerenciamento das Operações e

Comunicações;

ISO 27001

• Possui 11 seções:– Controle de Acesso;– Aquisição, Desenvolvimento e Manutenção

de Sistemas de Informação;– Gestão de Incidentes de Segurança;– Gestão de Continuidade do Negócio;– Conformidade;

ISO 27001

• Norma encoraja:– Entendimento de requisitos de segurança;– Necessidade de uma política de segurança;– Implementação de controles;– Gerência de riscos;– Monitoração e revisão do SGSI;– Melhoria contínua;

Políticas Organizacionais

• Aplicada a toda a organização;

• Define objetivos;

• Define responsabilidades;

• Define escopo;

• Cita leis e regulamentos;

Políticas Organizacionais

• Observações:– Não existem modelos prontos de política;– Não existe política certa ou errada;– A política deve ser definida de acordo com

cada organização;

Políticas Específicas

• Trata que questões detalhas;

• De um determinado setor;

• Do uso de um determinado serviços;

• Ex: e-mail:– Uma política específica pode definir detalhes

sobre o relacionamento dos usuários com o serviços de e-mail;

Políticas de Sistemas

• Definem as configurações dos sistemas;

• Ex.: Banco de Dados, Sistemas Operacionais;

• De forma que os sistemas estejam de acordo com a política organizacional;

Plano de Contingência

• É mais amplo que o plano de recuperação de desastres;

• Plano global para manter os ativos em funcionamento;

• São procedimentos pré-estabelecidos para o caso de ataques;

• Muitas empresas não sobrevivem à perda de seus ativos;

Plano de Contingência

• Preservação: tentar evitar a destruição dos ativos;

• Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos;

• São 2 conceitos importantes para a continuidade;

Gestão de Segurança...

Gestão de Segurança...

Conceitos Básicos

• Auditoria:– Coleta de evidências;– Busca a identificação de entidades;– Busca a origem, o destino e os meios de

tráfego da informação.

Serviços e MecanismosAuditoria

• Auditoria engloba análise:– das operações;– dos processos;– dos sistemas;– das responsabilidades;

• Objetivo de verificar conformidade com normas, regras, políticas ou padrões;

Serviços e MecanismosAuditoria

• Auditoria abrange:1. Identificação de Controles;

2. Aplicação de Procedimentos de Auditoria;

3. Descoberta de Achados da Auditoria;

4. Geração de Papéis de Trabalho;

5. Recomendações de auditoria;

Serviços e MecanismosAuditoria

• Identificação de Controles:– Fiscalização sobre atividades de pessoas,

órgãos ou produtos;

• Três tipos de controles:– Preventivo: prevenir ataques. Ex: Senhas;– Detectivo: detectar ataques. Ex: Relatório

de acesso;– Corretivo: reduzir impactos. Ex: Plano de

Continuidade;

Serviços e MecanismosAuditoria

• Aplicação de Procedimentos:– Geralmente são Checklists;– Averiguação de procedimentos;– Para formação do opinião do auditor;

Serviços e MecanismosAuditoria

• Achados da Auditoria:– Fatos observados pelo auditor;– Devem ser relevantes;– Devem ser baseados em evidências;

Serviços e MecanismosAuditoria

• Papéis de Trabalho:– Registros que provam os fatos

observados pelo auditor;– Documentos, tabelas, listas, etc;– Dão suporte ao relatório de auditoria;– Contêm verificações, testes, etc;

Serviços e MecanismosAuditoria

• Recomendações de auditoria:– É feito na fase de relatório;– Apresentação dos achados;– Apresentação dos papéis de auditoria;– Sugestões de medidas corretivas;

Serviços e MecanismosAuditoria

• Uma Auditoria geralmente envolve:– Avaliação da política de segurança;– Controle de acessos lógicos;– Controle de acessos físicos;– Plano de Continuidade de Negócio;

Atividade 1

• Escolher um capítulo da ISO 27002 e definir \ exemplificar em um estudo de caso:1. Identificação de Controles;

2. Aplicação de Procedimentos de Auditoria;

3. Descoberta de Achados da Auditoria;

4. Geração de Papéis de Trabalho;

5. Recomendações de auditoria;53

Fases do Processo – ISO 15504-5

• Descreve o processo de auditoria

• Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.

54

Resultados do Processo

• O processo de auditoria envolve:

1.Uma estratégia de auditoria

2.Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia

55

Resultados do Processo

• O processo de auditoria envolve:

3. Realização por uma empresa independente

4. Comunicação de problemas identificados para a tomada de ações corretivas.

56

Fases do Processo

• Fase 1 – Estratégia de auditoria:– Definir o objetivo, escopo, marcos de

acompanhamento, critério e equipe de auditoria

• Fase 2 – Selecionar os auditores:– Independentes, imparciais e objetivos.

57

Estudo de Caso e-frete

• Apresentar estudo de caso e-frete...– Plano de Auditoria

58

Atividades 2.1

• Definir um plano de auditoria para a política recebida por seu grupo.

59

Fases do Processo

• Fase 3 – Verificação de conformidade:– Verificar os itens definidos na estratégia– Registrar as não conformidades

• Fase 4 – Relatório de auditoria:– Confecção e divulgação do relatório de

auditoria

60

Estudo de Caso e-frete

• Apresentar estudo de caso e-frete...– Relatórios com evidências– Aplicabilidade dos controles

61

Atividades 2.2

• Descrever relatório de auditoria para a política recebida por seu grupo.

62

Fases do Processo

• Fase 5 – Tomada de ações corretivas:– Pode ser ação imediata ao prevista para

próxima auditoria.

• Fase 6 – Acompanhar a resolução:– Auditor deve revisar as ações corretivas e

atualizar seus relatório com base na mudanças

63

Estudo de Caso e-frete

• Apresentar estudo de caso e-frete...– Solicitação de plano de ação até o final da

auditoria!!!

64

Atividades 2.3

• Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo.

www.inf.furb.br/~paulofernando/download/pos

• DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!

65

Auditoria Interna – ISO 27003

• Orientação para auditoria interna

• Realizada em intervalos regulares

• Resultados com base em evidências

• Reservar tempo adequado para coleta de evidências

66

Auditoria Interna – ISO 27003

• Avaliar controles, processos e questões legais

• E se são efetivamente implementados e mantidos

• Convém que métricas de implementação sejam analisadas

67

Auditoria Interna – ISO 27003

• Deve ser considerada a importância do controle para a organização

• Deve analisar o resultado de auditorias anteriores

• Convém documentar critérios, escopo aplicável, frequência e método utilizados

68

Auditoria Interna – ISO 27003

• Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria

• Sugestão de fases:1. Planejamento e execução da auditoria;

2. Divulgação dos resultados;

3. Proposição das ações corretivas e preventivas

69

Auditoria Interna – ISO 27003

• Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente

• Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato

• Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação

70

Atividade 3 – Checklist de SegInfo

• Checklist de Auditoria ISO 19977

• Avaliar e definir evidências...

• Discussão em grupo!!!

71

Atividade a ser entregue

• Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo.

• Documentos específicos (estudo de caso):– Plano de auditoria– Relatório de auditoria– Plano de ações corretivas

72