testes de invasão ajudam a alcançar a conformidade - segurança da informação
DESCRIPTION
Palestra: Testes de Invasão ajudam a alcançar a conformidade – PCI-DSS, SOX, ISO 27001 entre outras – Filipe Villar, Diretor de Auditorias.TRANSCRIPT
Testes de Invasão
Como ajudam a alcançar a conformidade
@filipevillar
filipevillar
Diretor Comercial
Diretor de Auditorias
Segurança da Informação desde 2006
Responsável técnico em diversos projetos de GRC
Responsável pelas atividades de auditoria interna
Coordenador de Segurança da Informação na ANS
GRC, auditoria de segurança e continuidade de negócios
segurança da informação
não está relacionada à atividade fim
nasce na área de TI
não é bem vista
não tem a força necessária
em
geral
eventos
anteriores
eventos
anteriores
imposição
de negócio
C Confidencialidade
I Integridade
D Disponibilidade
A Autenticidade
I Irretratabilidade
C Confidencialidade
I
D
A
I
acesso somente às entidades legítimas
C
I Integridade
D
A
I
a informação mantenha as características
C
I
D Disponibilidade
A
I
esteja sempre disponível para o uso legítimo
C
I
D
A Autenticidade
I
a informação é proveniente da fonte anunciada
C
I
D
A
I Irretratabilidade
impossibilidade de negar a autoria
Objetivos dos PadrõesInteroperabilidade Requisitos mínimos de segurança
ineficiência, indisponibilidade, quebra de sigilo, fraude, danos à imagem
Objetivos dos PadrõesPadrões
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000SOX
CVM
SUSEPISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVMSUSEP
ISO/IEC27005
BS25999
TISS
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
TISS
Basiléia IIResoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
TISS
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
leis e normas
resoluções e regulamentações
boas práticas de mercado
leis e normas
133 itens de controle
apresenta os requisitos de auditoria da família ISO27000
A.10.3.2 – Aceitação de sistemas
A.12.5.2 - Análise crítica técnica das aplicações após mudanças no sistema operacional
A.10.3 - Planejamento e aceitação dos sistemas
A.10.5 - Segurança em processos de desenvolvimento
e de suporte
PadrõesInternacionais
PadrõesInternacionais
SOx
PCI DSS
CFR
HIPAA
The Sarbanes-Oxley Act
The Sarbanes-Oxley Act
Michael G. Oxley
Republicano
Paul SARBANES
Democrata
The Sarbanes-Oxley Act
Sec.
302
transfere para a alta administraçãoa responsabilidade por garantir aconfiabilidade, acurácia e completudedas informações constantes em seusrelatórios financeiros
trata de controles internos e
auditorias externas
Sec.
404
PCI - DSSIndústria de Carões de Pagamento - Padrão de Segurança de Dados
Redação baseada na ISO27001Composta por 12 requerimentos de controle
Está em sua v.2
Realizar testes de penetração externos einternos pelo menos uma vez por ano e após
qualquer upgrade ou modificação significativa nainfraestrutura ou nos aplicativos (como um upgrade nosistema operacional, uma sub-rede adicionada aoambiente ou um servidor da Web adicionado aoambiente)
Req.11.3
CFR - FDA
Reduzir a quantidade de papelAumentar a eficiência dos processosReduzir os custos
21 Code of Federal Regulations (CFR) part 11
• Forma de armazenamento• Tempo de guarda de dados• Assinatura digital• Uso de criptografia
Código Federal de Regulação
CFR - FDA
21 Code of Federal Regulations (CFR) part 11
When any change (even a small change) is made to the software, the validation
status of the software needs to be re-established. Whenever software is changed, a validation analysis should be conducted not just for validation of the individual change, but also to determine the extent and impact of that change on the entire software system.
4.7. SOFTWARE
VALIDATION AFTER
A CHANGE
http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm
Código Federal de Regulação
HIPAA - Health Insurance
Portability and Accountability Act
Garantir a confidencialidade, integridade e disponibilidade de informações médicas protegidas eletronicamente que ele cria, recebe, mantém ou transmite;
Proteja-se contra quaisquer ameaças razoavelmente esperadas e os riscos para a segurança ou a integridade de informações médicas protegidas eletronicamente e
Proteja-se contra os usos razoavelmente previstos ou divulgação de tais informações que não sejam permitidos pela Regra de Privacidade.
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance
Portability and Accountability Act
Provedores de serviços de
dados
Sistema de medicamentos
com desconto (farmácia
legal)
Planos de saúdeProfissionais de
atendimento de saúde
informação
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance
Portability and Accountability Act
dados cadastrais
prontuários
históricos médicos
diagnósticos
resultados de exames
outros....
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
HIPAA - Health Insurance
Portability and Accountability ActLei de Portabilidade de Seguro de Saúde e de Responsabilidade
NIST SP 800-66
HIPAA - Health Insurance
Portability and Accountability ActLei de Portabilidade de Seguro de Saúde e de Responsabilidade
Sec. 164.308(a)(8)
Conduct
Evaluations
Collect and document all needed information.
Collection methods may include the use of
interviews, surveys, and outputs of
automated tools, such as access control
auditing tools, system logs, and results of
penetration testing
Conduct penetration testing (where
trusted insiders attempt to compromise
system security for the sole purpose of
testing the effectiveness of security controls),
if reasonable and appropriate.
cenário brasileiro
RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
requisitos de um programa de certificação para sistemas de registro eletrônico em saúde.
Controle de sessão de usuárioAutorização e controle de acessoComunicação remotaSegurança de DadosAuditoria
RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
Troca de Informação de Saúde Suplementar – TISS
resoluções a respeito de prontuário do paciente
validade aos documentos eletrônicos no País
cadastros nacionais em Saúdepadrão TISS para troca de informações
premissas
políticas
especificações técnicas
Foco na
interoperabilidade
Considera aspectos
de segurança
Ênfase em protocolos
e algoritmos (pouca
visão sistêmica)
Não obrigatório para
todos, exceto APF
BACEN
BMFBOVESPAPrograma de Qualificação OperacionalQualidade de serviços oferecidos por operadorasRequisitos “grosseiros” de segurança
Portaria 3380
Segurança operacional
Qual estratégia adotar?
implementar processos
implementar controles
auditar
a auditoria tradicional não garante que
todos os procedimentos sejam sempre
seguidos
...testes de invasão operam com
a "fotografia" completa dos
sistemas
Auditorias são baseadas
em amostras...
Teste de
Invasão
Ponto de vista do atacante real
Medida concreta de segurança
Foco nos aspectos técnicos/tecnológicos
Diagnóstico de “momento”
Metodologia mais flexível/adaptável
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na
infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente)
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Testes de invasão são frequentemente citados HIPAA Security Rule
Perform a periodic technical and nontechnical evaluation, based initially upon
the standards implemented under this rule and subsequently, in response to environmental
or operational changes affecting the security of electronic protected healthinformation, which establishes the extent to which an entity’s security policies and
procedures meet the requirements of this subpart
Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Testes de invasão são frequentemente citados HIPAA Security Rule
Teste de invasão estão, quase sempre, evidenciandoque um processo não foi seguido ou um requisito
não foi atendido.
Leis, normas, padrões e resoluções
requisitos mínimos
senso comum
direcionamento
mensurados
acompanhados
verificados
controles
Obrigado!
HTTP://CLAV.IS/SLIDESHARE
HTTP://CLAV.IS/TWITTER
HTTP://CLAV.IS/FACEBOOK
HTTP://CLAV.IS/YOUTUBE