auditoria de segurança da informação prof. paulo fernando da silva faculdades senac p ó s-gradua...
TRANSCRIPT
Auditoria de Segurança da Informação
Prof. Paulo Fernando da Silva
Faculdades SENACPós-Graduação em Segurança da Informação
Conceitos Básicos
• Qual a importância da informação?
• O uso das informações evoluiu nas organizações?
Conceitos Básicos
• Qual a importância da informação?– Financeira; Estratégica; Operacional, etc...
• Antigamente...– Centralizados e não automático;
• Depois...– Automatização dos processos;
Conceitos Básicos
• Atualmente...– Tecnologia da informação;– Informação de alto nível;– Alta conectividade;– Aplicações conectadas:
• B2B;• B2C;• Comércio eletrônico;• ERPs;
Conceitos Básicos
• Fundamental para os processos e negócios da empresa;
• Clientes, fornecedores, parceiros e governos conectados;
• Este cenário traz risco para as empresas.
• Quais riscos?
Conceitos Básicos
• As empresas têm grande atenção aos seus ativos físicos e financeiros;
• E não protegem os ativos de informação;
• Ativos da informação:– A própria informação;– Meio de armazenamento;– Todo processo e manipulação;
Conceitos Básicos
• Então é preciso criar medida para proteção dos ativos da informação;
• Segurança da Informação:– Área responsável pela proteção dos ativo da
informação;– Acesso não autorizado;– Alterações indevidas;– Indisponibilidade.
Conceitos Básicos
• Três propriedades da segurança da informação:– Confidencialidade;– Integridade;– Disponibilidade;
Conceitos Básicos
• Confidencialidade:– Protege o conteúdo;– Apenas lê quem tem direito;– Protege por grau de sigilo;
Conceitos Básicos
• Integridade:– Modificação durante o trânsito;– Informação não pode ser alterada;– Informação igual a original;– Apenas quem tem direito pode modificar;
Conceitos Básicos
• Disponibilidade:– A informação deve estar disponível;– Quando quem tem direito deseja acessar;– Exceto em situações previstas, como
manutenção.
Conceitos Básicos
• Gestão Corporativa de Segurança:– Considera o negócio da empresa como um
todo;
• Incluí mais dois conceitos:– Autenticidade;– Legalidade;
Conceitos Básicos
• Autenticidade:– Identificação dos elementos da transação;– Acesso através da identificação;– Comunicação, transações eletrônicas,
documentos, etc.
Conceitos Básicos
• Legalidade:– Valor legal da informação;– Análise de cláusulas contratuais;– Concordância com a legislação.
Conceitos Básicos – Outros
• Autorização;
• Auditoria;
• Relevância do ativo;
• Relevância do Processo;
• Criticidade;
• Irretratabilidade;
Conceitos Básicos
• Autorização:– Concessão de permissão;– Acesso a informações ou aplicações;– Em um processo de troca de informações;– Depende da identificação e autenticação;
Conceitos Básicos
• Relevância do Ativo:– Grau de importância de uma informação;– Quando os processos dependem da
informação;– Quando a organização depende da
informação;
Conceitos Básicos
• Relevância do Processo:– Grau de importância do processo;– Objetivos da organização dependem dele;– Sobrevivência da organização depende do
processo;
Conceitos Básicos
• Criticidade:– Gravidade do impacto no negócio;– Ausência de um ativo da informação;– Perda ou redução de funcionalidade;– Uso indevido ou não autorizado de ativos da
informação.
Conceitos Básicos
• Irretratabilidade:– Sinônimo de não-repúdio;– Informação possuí a identificação do emissor;– A identificação autentica o autor;– Autor não pode negar a geração da
informação.
Ameaças e Ataques
• Ameaças:– Agentes ou condições;– Causam incidentes que comprometem as
informações;– Exploram vulnerabilidades;– Perda de confidencialidade, integridade e
disponibilidade;– Causam impacto nos negócios da
organização.
Ameaças e Ataques
• Ameaças externas ou internas;
• As ameaças sempre existirão;– Independente dos controles de segurança;
• As medidas podem eliminar as vulnerabilidades;
• E neutralizar as ameaças;
Ameaças e Ataques
• Classificação das ameaças:– Intencionais;– Acidentais;– Internas;– Externas;
Ameaças e Ataques
• Ameaças exploram vulnerabilidade para realizar ataques.
• Ataques:– Tentativa de quebras as propriedades de
segurança;– Confidencialidade, integridade e
disponibilidade;– Outras propriedades estudadas;
O papel das Ameaças
Definição de Controles• Políticas de Segurança;
• Normas ISO;
• Tipos de Políticas;
Definições
• Conjunto de regras;
• Determina como as informações são geridas;
• Deve ser ampla e simples;
• Revisão contínua;
• Apoio da alta administração;
Definições
• Define objetivos;
• Define responsabilidades;
• Define Penalidades;
Definições
• BS7799: norma inglesa;
• BS7799-1 = ISO 17799: código de boas práticas de segurança;
• BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI;
• ISO 17799 e 27001 foram traduzidos pela ABNT.
Definição
• CobiT: modelo de governança de TI;– 30% relacionado com segurança;
• ISO 15408 (Common Criteria):– Define e avalia requisitos de segurança em
sistemas;– Volume 1: Definições e Metodologia;– Volume 2: Requisitos de Segurança;– Volume 3: Metodologias de Avaliação;
ISO 27001
• Define um “Sistemas de Gestão da Segurança da Informação”
• Usa o ciclo PDCA– Planejar (plain);– Fazer ou implementar (do);– Monitorar (check);– Melhorar (act);
ISO 27001
ISO 27001
• Possui 11 seções:– Política de Segurança;– Organizando a Segurança da Informação;– Gestão de Ativos;– Segurança em Recursos Humanos;– Segurança Física e do Ambiente;– Gerenciamento das Operações e
Comunicações;
ISO 27001
• Possui 11 seções:– Controle de Acesso;– Aquisição, Desenvolvimento e Manutenção
de Sistemas de Informação;– Gestão de Incidentes de Segurança;– Gestão de Continuidade do Negócio;– Conformidade;
ISO 27001
• Norma encoraja:– Entendimento de requisitos de segurança;– Necessidade de uma política de segurança;– Implementação de controles;– Gerência de riscos;– Monitoração e revisão do SGSI;– Melhoria contínua;
Políticas Organizacionais
• Aplicada a toda a organização;
• Define objetivos;
• Define responsabilidades;
• Define escopo;
• Cita leis e regulamentos;
Políticas Organizacionais
• Observações:– Não existem modelos prontos de política;– Não existe política certa ou errada;– A política deve ser definida de acordo com
cada organização;
Políticas Específicas
• Trata que questões detalhas;
• De um determinado setor;
• Do uso de um determinado serviços;
• Ex: e-mail:– Uma política específica pode definir detalhes
sobre o relacionamento dos usuários com o serviços de e-mail;
Políticas de Sistemas
• Definem as configurações dos sistemas;
• Ex.: Banco de Dados, Sistemas Operacionais;
• De forma que os sistemas estejam de acordo com a política organizacional;
Plano de Contingência
• É mais amplo que o plano de recuperação de desastres;
• Plano global para manter os ativos em funcionamento;
• São procedimentos pré-estabelecidos para o caso de ataques;
• Muitas empresas não sobrevivem à perda de seus ativos;
Plano de Contingência
• Preservação: tentar evitar a destruição dos ativos;
• Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos;
• São 2 conceitos importantes para a continuidade;
Gestão de Segurança...
Gestão de Segurança...
Conceitos Básicos
• Auditoria:– Coleta de evidências;– Busca a identificação de entidades;– Busca a origem, o destino e os meios de
tráfego da informação.
Serviços e MecanismosAuditoria
• Auditoria engloba análise:– das operações;– dos processos;– dos sistemas;– das responsabilidades;
• Objetivo de verificar conformidade com normas, regras, políticas ou padrões;
Serviços e MecanismosAuditoria
• Auditoria abrange:1. Identificação de Controles;
2. Aplicação de Procedimentos de Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;
Serviços e MecanismosAuditoria
• Identificação de Controles:– Fiscalização sobre atividades de pessoas,
órgãos ou produtos;
• Três tipos de controles:– Preventivo: prevenir ataques. Ex: Senhas;– Detectivo: detectar ataques. Ex: Relatório
de acesso;– Corretivo: reduzir impactos. Ex: Plano de
Continuidade;
Serviços e MecanismosAuditoria
• Aplicação de Procedimentos:– Geralmente são Checklists;– Averiguação de procedimentos;– Para formação do opinião do auditor;
Serviços e MecanismosAuditoria
• Achados da Auditoria:– Fatos observados pelo auditor;– Devem ser relevantes;– Devem ser baseados em evidências;
Serviços e MecanismosAuditoria
• Papéis de Trabalho:– Registros que provam os fatos
observados pelo auditor;– Documentos, tabelas, listas, etc;– Dão suporte ao relatório de auditoria;– Contêm verificações, testes, etc;
Serviços e MecanismosAuditoria
• Recomendações de auditoria:– É feito na fase de relatório;– Apresentação dos achados;– Apresentação dos papéis de auditoria;– Sugestões de medidas corretivas;
Serviços e MecanismosAuditoria
• Uma Auditoria geralmente envolve:– Avaliação da política de segurança;– Controle de acessos lógicos;– Controle de acessos físicos;– Plano de Continuidade de Negócio;
Atividade 1
• Escolher um capítulo da ISO 27002 e definir \ exemplificar em um estudo de caso:1. Identificação de Controles;
2. Aplicação de Procedimentos de Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;53
Fases do Processo – ISO 15504-5
• Descreve o processo de auditoria
• Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.
54
Resultados do Processo
• O processo de auditoria envolve:
1.Uma estratégia de auditoria
2.Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia
55
Resultados do Processo
• O processo de auditoria envolve:
3. Realização por uma empresa independente
4. Comunicação de problemas identificados para a tomada de ações corretivas.
56
Fases do Processo
• Fase 1 – Estratégia de auditoria:– Definir o objetivo, escopo, marcos de
acompanhamento, critério e equipe de auditoria
• Fase 2 – Selecionar os auditores:– Independentes, imparciais e objetivos.
57
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Plano de Auditoria
58
Atividades 2.1
• Definir um plano de auditoria para a política recebida por seu grupo.
59
Fases do Processo
• Fase 3 – Verificação de conformidade:– Verificar os itens definidos na estratégia– Registrar as não conformidades
• Fase 4 – Relatório de auditoria:– Confecção e divulgação do relatório de
auditoria
60
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Relatórios com evidências– Aplicabilidade dos controles
61
Atividades 2.2
• Descrever relatório de auditoria para a política recebida por seu grupo.
62
Fases do Processo
• Fase 5 – Tomada de ações corretivas:– Pode ser ação imediata ao prevista para
próxima auditoria.
• Fase 6 – Acompanhar a resolução:– Auditor deve revisar as ações corretivas e
atualizar seus relatório com base na mudanças
63
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Solicitação de plano de ação até o final da
auditoria!!!
64
Atividades 2.3
• Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo.
www.inf.furb.br/~paulofernando/download/pos
• DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!
65
Auditoria Interna – ISO 27003
• Orientação para auditoria interna
• Realizada em intervalos regulares
• Resultados com base em evidências
• Reservar tempo adequado para coleta de evidências
66
Auditoria Interna – ISO 27003
• Avaliar controles, processos e questões legais
• E se são efetivamente implementados e mantidos
• Convém que métricas de implementação sejam analisadas
67
Auditoria Interna – ISO 27003
• Deve ser considerada a importância do controle para a organização
• Deve analisar o resultado de auditorias anteriores
• Convém documentar critérios, escopo aplicável, frequência e método utilizados
68
Auditoria Interna – ISO 27003
• Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria
• Sugestão de fases:1. Planejamento e execução da auditoria;
2. Divulgação dos resultados;
3. Proposição das ações corretivas e preventivas
69
Auditoria Interna – ISO 27003
• Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente
• Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato
• Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação
70
Atividade 3 – Checklist de SegInfo
• Checklist de Auditoria ISO 19977
• Avaliar e definir evidências...
• Discussão em grupo!!!
71
Atividade a ser entregue
• Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo.
• Documentos específicos (estudo de caso):– Plano de auditoria– Relatório de auditoria– Plano de ações corretivas
72