Testes de Invasão

Como ajudam a alcançar a conformidade

filipe@clavis.com.br

@filipevillar

filipevillar

Diretor Comercial

Diretor de Auditorias

Segurança da Informação desde 2006

Responsável técnico em diversos projetos de GRC

Responsável pelas atividades de auditoria interna

Coordenador de Segurança da Informação na ANS

GRC, auditoria de segurança e continuidade de negócios

segurança da informação

não está relacionada à atividade fim

nasce na área de TI

não é bem vista

não tem a força necessária

em

geral

eventos

anteriores

eventos

anteriores

imposição

de negócio

C Confidencialidade

I Integridade

D Disponibilidade

A Autenticidade

I Irretratabilidade

C Confidencialidade

I

D

A

I

acesso somente às entidades legítimas

C

I Integridade

D

A

I

a informação mantenha as características

C

I

D Disponibilidade

A

I

esteja sempre disponível para o uso legítimo

C

I

D

A Autenticidade

I

a informação é proveniente da fonte anunciada

C

I

D

A

I Irretratabilidade

impossibilidade de negar a autoria

Objetivos dos PadrõesInteroperabilidade Requisitos mínimos de segurança

ineficiência, indisponibilidade, quebra de sigilo, fraude, danos à imagem

Objetivos dos PadrõesPadrões

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000SOX

CVM

SUSEPISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVMSUSEP

ISO/IEC27005

BS25999

TISS

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

TISS

Basiléia IIResoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

TISS

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

leis e normas

resoluções e regulamentações

boas práticas de mercado

leis e normas

133 itens de controle

apresenta os requisitos de auditoria da família ISO27000

A.10.3.2 – Aceitação de sistemas

A.12.5.2 - Análise crítica técnica das aplicações após mudanças no sistema operacional

A.10.3 - Planejamento e aceitação dos sistemas

A.10.5 - Segurança em processos de desenvolvimento

e de suporte

PadrõesInternacionais

PadrõesInternacionais

SOx

PCI DSS

CFR

HIPAA

The Sarbanes-Oxley Act

The Sarbanes-Oxley Act

Michael G. Oxley

Republicano

Paul SARBANES

Democrata

The Sarbanes-Oxley Act

Sec.

302

transfere para a alta administraçãoa responsabilidade por garantir aconfiabilidade, acurácia e completudedas informações constantes em seusrelatórios financeiros

trata de controles internos e

auditorias externas

Sec.

404

PCI - DSSIndústria de Carões de Pagamento - Padrão de Segurança de Dados

Redação baseada na ISO27001Composta por 12 requerimentos de controle

Está em sua v.2

Realizar testes de penetração externos einternos pelo menos uma vez por ano e após

qualquer upgrade ou modificação significativa nainfraestrutura ou nos aplicativos (como um upgrade nosistema operacional, uma sub-rede adicionada aoambiente ou um servidor da Web adicionado aoambiente)

Req.11.3

CFR - FDA

Reduzir a quantidade de papelAumentar a eficiência dos processosReduzir os custos

21 Code of Federal Regulations (CFR) part 11

• Forma de armazenamento• Tempo de guarda de dados• Assinatura digital• Uso de criptografia

Código Federal de Regulação

CFR - FDA

21 Code of Federal Regulations (CFR) part 11

When any change (even a small change) is made to the software, the validation

status of the software needs to be re-established. Whenever software is changed, a validation analysis should be conducted not just for validation of the individual change, but also to determine the extent and impact of that change on the entire software system.

4.7. SOFTWARE

VALIDATION AFTER

A CHANGE

http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm

Código Federal de Regulação

HIPAA - Health Insurance

Portability and Accountability Act

Garantir a confidencialidade, integridade e disponibilidade de informações médicas protegidas eletronicamente que ele cria, recebe, mantém ou transmite;

Proteja-se contra quaisquer ameaças razoavelmente esperadas e os riscos para a segurança ou a integridade de informações médicas protegidas eletronicamente e

Proteja-se contra os usos razoavelmente previstos ou divulgação de tais informações que não sejam permitidos pela Regra de Privacidade.

Lei de Portabilidade de Seguro de Saúde e de Responsabilidade

HIPAA - Health Insurance

Portability and Accountability Act

Provedores de serviços de

dados

Sistema de medicamentos

com desconto (farmácia

legal)

Planos de saúdeProfissionais de

atendimento de saúde

informação

Lei de Portabilidade de Seguro de Saúde e de Responsabilidade

HIPAA - Health Insurance

Portability and Accountability Act

dados cadastrais

prontuários

históricos médicos

diagnósticos

resultados de exames

outros....

Lei de Portabilidade de Seguro de Saúde e de Responsabilidade

HIPAA - Health Insurance

Portability and Accountability ActLei de Portabilidade de Seguro de Saúde e de Responsabilidade

NIST SP 800-66

HIPAA - Health Insurance

Portability and Accountability ActLei de Portabilidade de Seguro de Saúde e de Responsabilidade

Sec. 164.308(a)(8)

Conduct

Evaluations

Collect and document all needed information.

Collection methods may include the use of

interviews, surveys, and outputs of

automated tools, such as access control

auditing tools, system logs, and results of

penetration testing

Conduct penetration testing (where

trusted insiders attempt to compromise

system security for the sole purpose of

testing the effectiveness of security controls),

if reasonable and appropriate.

cenário brasileiro

RESOLUÇÃO CFM Nº 1.821, DE 11

DE JULHO DE 2007

requisitos de um programa de certificação para sistemas de registro eletrônico em saúde.

Controle de sessão de usuárioAutorização e controle de acessoComunicação remotaSegurança de DadosAuditoria

RESOLUÇÃO CFM Nº 1.821, DE 11

DE JULHO DE 2007

Troca de Informação de Saúde Suplementar – TISS

resoluções a respeito de prontuário do paciente

validade aos documentos eletrônicos no País

cadastros nacionais em Saúdepadrão TISS para troca de informações

premissas

políticas

especificações técnicas

Foco na

interoperabilidade

Considera aspectos

de segurança

Ênfase em protocolos

e algoritmos (pouca

visão sistêmica)

Não obrigatório para

todos, exceto APF

BACEN

BMFBOVESPAPrograma de Qualificação OperacionalQualidade de serviços oferecidos por operadorasRequisitos “grosseiros” de segurança

Portaria 3380

Segurança operacional

Qual estratégia adotar?

implementar processos

implementar controles

auditar

a auditoria tradicional não garante que

todos os procedimentos sejam sempre

seguidos

...testes de invasão operam com

a "fotografia" completa dos

sistemas

Auditorias são baseadas

em amostras...

Teste de

Invasão

Ponto de vista do atacante real

Medida concreta de segurança

Foco nos aspectos técnicos/tecnológicos

Diagnóstico de “momento”

Metodologia mais flexível/adaptável

Teste de

Invasão

Testes de invasão são obrigatórios em alguns casos

E os atuais padrões de

segurança

PCI DSS, req. 11.3

Realizar testes de penetração externos e internos pelo menos uma vez por ano e após qualquer upgrade ou modificação significativa na

infraestrutura ou nos aplicativos (como um upgrade no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao ambiente)

Teste de

Invasão

Testes de invasão são obrigatórios em alguns casos

E os atuais padrões de

segurança

PCI DSS, req. 11.3

Testes de invasão são frequentemente citados HIPAA Security Rule

Perform a periodic technical and nontechnical evaluation, based initially upon

the standards implemented under this rule and subsequently, in response to environmental

or operational changes affecting the security of electronic protected healthinformation, which establishes the extent to which an entity’s security policies and

procedures meet the requirements of this subpart

Teste de

Invasão

Testes de invasão são obrigatórios em alguns casos

E os atuais padrões de

segurança

PCI DSS, req. 11.3

Testes de invasão são frequentemente citados HIPAA Security Rule

Teste de invasão estão, quase sempre, evidenciandoque um processo não foi seguido ou um requisito

não foi atendido.

Leis, normas, padrões e resoluções

requisitos mínimos

senso comum

direcionamento

mensurados

acompanhados

verificados

controles

Obrigado!

HTTP://CLAV.IS/SLIDESHARE

HTTP://CLAV.IS/TWITTER

HTTP://CLAV.IS/FACEBOOK

HTTP://CLAV.IS/YOUTUBE