Segurança e auditoria de sistemas

Carlos Oberdan Rolim

Ciência da Computação

Créditos: Apostila entitulada “Auditoria em Tecnologia da Informação” – 100 páginas

Autor: Não disponível na referida

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Conceitos básicos de SI

Controles de Segurança de Informaçao

Controles de Segurança de InformaçaoPolítica: Conjunto de regras e práticas que regulam como

gerenciar, proteger e distribuir suas informações e recursos

Deve-se estabelecer comprometimento entre gerentes x atividades organizacionais

Para garantir a gerencia da segurança da informação

A política de segurança deve ser devidamente documentada

Sempre atentar para:Serviços fornecidos x segurança fornecida

Facilidades de uso x segurança fornecida

Custo da segurança x riscos de perdas

Controles de Segurança de Informaçao

Controles de Segurança de Informaçao

Controles de Segurança de Informaçao

Propósitos de uma política de segurança

Informar aos usuários, equipes e gerentes, as suas obrigações para a proteção da tecnologia e do acesso às informações

A política deve especificar os mecanismos, através dos quais, os requisitos de segurança devem ser alcançados

A política deve oferecer um ponto de referência, a partir do qual, seja possível adquirir, configurar e realizar auditoria de sistemas computacionais e redes

Premissas de uma boa política de segurança

A política deve ser implementável

Através de procedimentos administrativos, publicação das regras de uso aceitável ou outros métodos aceitáveis

A política deve ser exigida

Utilizando ferramentas de segurança, onde apropriado, e com sansões onde a prevenção efetiva não seja tecnicamente possível

A política deve definir claramente

As áreas de responsabilidade para os usuários, administradores de rede

A política de segurança não determina o negócio da empresa

Porém a natureza dos negócios deve se adequar as políticas

Componentes de uma boa política

Normas para aquisição de tecnologia

Políticas de privacidade

Políticas de responsabilidade

Políticas de acesso

Divulgação das informações

Parâmetros de disponibilidade

Política de autenticação

Política de manutenção

Politica de invasões

Pensar em todos os itens considerando aspectos legais

Normas para aquisição de tecnologia

Especifica características de segurança necessárias para aquisição de dispositivos de hardware

Política de privacidade

Definição das expectativas em relação a privacidade do tráfego de emails, logs e arquivos de usuários

Política de responsabilidade

Definição das responsabilidades dos usuários, operações, funcionários e gerentes para auditoria...

Envolve normas para agir no caso de incidentes de invasão

Política de acesso

Definição dos direitos de acesso e privilégios para proteger as informações, especificando as normas, para as operações, conexões externas, comunicação de dados, dispositivos da rede etc..

Parâmetros de disponibilidade

Indica qual a disponibilidade dos recursos, incluindo horas de operação, períodos fora do ar, informações sobre falhas no sistemas, etc..

Política de autenticação

Estabelece a confiança do sistema em termos de uma efetiva política de senhas, normas de autenticação de usuários ou dispositivos remotos e a utilização de dispositivos específicos

Política de manutenção

Estabelece normas para o uso pessoal (interno ou externo) para acesso e execução das tarefas de manutenção (corretiva ou preventiva) do sistema

Política de invasões

Definições de quais tipos de invasões (interna ou externa) são informadas e quem deve ter conhecimento a respeito

Divulgação de informações

Informa aos usuários, funcionários e executivos como agir, quando questionados por pessoas extra-empresa sobre: incidentes de segurança, informações confidenciais ou proprietárias, entre outros