A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão.

Apresentações semelhantes


Apresentação em tema: "Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão."— Transcrição da apresentação:

1 Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão

2 Conceitos Básicos Qual a importância da informação? O uso das informações evoluiu nas organizações?

3 Conceitos Básicos Qual a importância da informação? –Financeira; Estratégica; Operacional, etc... Antigamente... –Centralizados e não automático; Depois... –Automatização dos processos;

4 Conceitos Básicos Atualmente... –Tecnologia da informação; –Informação de alto nível; –Alta conectividade; –Aplicações conectadas: B2B; B2C; Comércio eletrônico; ERPs;

5 Conceitos Básicos Fundamental para os processos e negócios da empresa; Clientes, fornecedores, parceiros e governos conectados; Este cenário traz risco para as empresas. Quais riscos?

6 Conceitos Básicos As empresas têm grande atenção aos seus ativos físicos e financeiros; E não protegem os ativos de informação; Ativos da informação: –A própria informação; –Meio de armazenamento; –Todo processo e manipulação;

7 Conceitos Básicos Então é preciso criar medida para proteção dos ativos da informação; Segurança da Informação: –Área responsável pela proteção dos ativo da informação; –Acesso não autorizado; –Alterações indevidas; –Indisponibilidade.

8 Conceitos Básicos Três propriedades da segurança da informação: –Confidencialidade; –Integridade; –Disponibilidade;

9 Conceitos Básicos Confidencialidade: –Protege o conteúdo; –Apenas lê quem tem direito; –Protege por grau de sigilo;

10 Conceitos Básicos Integridade: –Modificação durante o trânsito; –Informação não pode ser alterada; –Informação igual a original; –Apenas quem tem direito pode modificar;

11 Conceitos Básicos Disponibilidade: –A informação deve estar disponível; –Quando quem tem direito deseja acessar; –Exceto em situações previstas, como manutenção.

12 Conceitos Básicos Gestão Corporativa de Segurança: –Considera o negócio da empresa como um todo; Incluí mais dois conceitos: –Autenticidade; –Legalidade;

13 Conceitos Básicos Autenticidade: –Identificação dos elementos da transação; –Acesso através da identificação; –Comunicação, transações eletrônicas, documentos, etc.

14 Conceitos Básicos Legalidade: –Valor legal da informação; –Análise de cláusulas contratuais; –Concordância com a legislação.

15 Conceitos Básicos – Outros Autorização; Auditoria; Relevância do ativo; Relevância do Processo; Criticidade; Irretratabilidade;

16 Conceitos Básicos Autorização: –Concessão de permissão; –Acesso a informações ou aplicações; –Em um processo de troca de informações; –Depende da identificação e autenticação;

17 Conceitos Básicos Relevância do Ativo: –Grau de importância de uma informação; –Quando os processos dependem da informação; –Quando a organização depende da informação;

18 Conceitos Básicos Relevância do Processo: –Grau de importância do processo; –Objetivos da organização dependem dele; –Sobrevivência da organização depende do processo;

19 Conceitos Básicos Criticidade: –Gravidade do impacto no negócio; –Ausência de um ativo da informação; –Perda ou redução de funcionalidade; –Uso indevido ou não autorizado de ativos da informação.

20 Conceitos Básicos Irretratabilidade: –Sinônimo de não-repúdio; –Informação possuí a identificação do emissor; –A identificação autentica o autor; –Autor não pode negar a geração da informação.

21 Ameaças e Ataques Ameaças: –Agentes ou condições; –Causam incidentes que comprometem as informações; –Exploram vulnerabilidades; –Perda de confidencialidade, integridade e disponibilidade; –Causam impacto nos negócios da organização.

22 Ameaças e Ataques Ameaças externas ou internas; As ameaças sempre existirão; –Independente dos controles de segurança; As medidas podem eliminar as vulnerabilidades; E neutralizar as ameaças;

23 Ameaças e Ataques Classificação das ameaças: –Intencionais; –Acidentais; –Internas; –Externas;

24 Ameaças e Ataques Ameaças exploram vulnerabilidade para realizar ataques. Ataques: –Tentativa de quebras as propriedades de segurança; –Confidencialidade, integridade e disponibilidade; –Outras propriedades estudadas;

25 O papel das Ameaças

26 Definição de Controles Políticas de Segurança; Normas ISO; Tipos de Políticas;

27 Definições Conjunto de regras; Determina como as informações são geridas; Deve ser ampla e simples; Revisão contínua; Apoio da alta administração;

28 Definições Define objetivos; Define responsabilidades; Define Penalidades;

29 Definições BS7799: norma inglesa; BS = ISO 17799: código de boas práticas de segurança; BS = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; ISO e foram traduzidos pela ABNT.

30 Definição CobiT: modelo de governança de TI; –30% relacionado com segurança; ISO (Common Criteria): –Define e avalia requisitos de segurança em sistemas; –Volume 1: Definições e Metodologia; –Volume 2: Requisitos de Segurança; –Volume 3: Metodologias de Avaliação;

31 ISO Define um Sistemas de Gestão da Segurança da Informação Usa o ciclo PDCA –Planejar (plain); –Fazer ou implementar (do); –Monitorar (check); –Melhorar (act);

32 ISO 27001

33 Possui 11 seções: –Política de Segurança; –Organizando a Segurança da Informação; –Gestão de Ativos; –Segurança em Recursos Humanos; –Segurança Física e do Ambiente; –Gerenciamento das Operações e Comunicações;

34 ISO Possui 11 seções: –Controle de Acesso; –Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; –Gestão de Incidentes de Segurança; –Gestão de Continuidade do Negócio; –Conformidade;

35 ISO Norma encoraja: –Entendimento de requisitos de segurança; –Necessidade de uma política de segurança; –Implementação de controles; –Gerência de riscos; –Monitoração e revisão do SGSI; –Melhoria contínua;

36 Políticas Organizacionais Aplicada a toda a organização; Define objetivos; Define responsabilidades; Define escopo; Cita leis e regulamentos;

37 Políticas Organizacionais Observações: –Não existem modelos prontos de política; –Não existe política certa ou errada; –A política deve ser definida de acordo com cada organização;

38 Políticas Específicas Trata que questões detalhas; De um determinado setor; Do uso de um determinado serviços; Ex: –Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de ;

39 Políticas de Sistemas Definem as configurações dos sistemas; Ex.: Banco de Dados, Sistemas Operacionais; De forma que os sistemas estejam de acordo com a política organizacional;

40 Plano de Contingência É mais amplo que o plano de recuperação de desastres; Plano global para manter os ativos em funcionamento; São procedimentos pré-estabelecidos para o caso de ataques; Muitas empresas não sobrevivem à perda de seus ativos;

41 Plano de Contingência Preservação: tentar evitar a destruição dos ativos; Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; São 2 conceitos importantes para a continuidade;

42 Gestão de Segurança...

43

44 Conceitos Básicos Auditoria: –Coleta de evidências; –Busca a identificação de entidades; –Busca a origem, o destino e os meios de tráfego da informação.

45 Serviços e Mecanismos Auditoria Auditoria engloba análise: –das operações; –dos processos; –dos sistemas; –das responsabilidades; Objetivo de verificar conformidade com normas, regras, políticas ou padrões;

46 Serviços e Mecanismos Auditoria Auditoria abrange: 1.Identificação de Controles; 2.Aplicação de Procedimentos de Auditoria; 3.Descoberta de Achados da Auditoria; 4.Geração de Papéis de Trabalho; 5.Recomendações de auditoria;

47 Serviços e Mecanismos Auditoria Identificação de Controles: –Fiscalização sobre atividades de pessoas, órgãos ou produtos; Três tipos de controles: –Preventivo: prevenir ataques. Ex: Senhas; –Detectivo: detectar ataques. Ex: Relatório de acesso; –Corretivo: reduzir impactos. Ex: Plano de Continuidade;

48 Serviços e Mecanismos Auditoria Aplicação de Procedimentos: –Geralmente são Checklists; –Averiguação de procedimentos; –Para formação do opinião do auditor;

49 Serviços e Mecanismos Auditoria Achados da Auditoria: –Fatos observados pelo auditor; –Devem ser relevantes; –Devem ser baseados em evidências;

50 Serviços e Mecanismos Auditoria Papéis de Trabalho: –Registros que provam os fatos observados pelo auditor; –Documentos, tabelas, listas, etc; –Dão suporte ao relatório de auditoria; –Contêm verificações, testes, etc;

51 Serviços e Mecanismos Auditoria Recomendações de auditoria: –É feito na fase de relatório; –Apresentação dos achados; –Apresentação dos papéis de auditoria; –Sugestões de medidas corretivas;

52 Serviços e Mecanismos Auditoria Uma Auditoria geralmente envolve: –Avaliação da política de segurança; –Controle de acessos lógicos; –Controle de acessos físicos; –Plano de Continuidade de Negócio;

53 Atividade 1 Escolher um capítulo da ISO e definir \ exemplificar em um estudo de caso: 1.Identificação de Controles; 2.Aplicação de Procedimentos de Auditoria; 3.Descoberta de Achados da Auditoria; 4.Geração de Papéis de Trabalho; 5.Recomendações de auditoria; 53

54 Fases do Processo – ISO Descreve o processo de auditoria Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado. 54

55 Resultados do Processo O processo de auditoria envolve: 1.Uma estratégia de auditoria 2.Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia 55

56 Resultados do Processo O processo de auditoria envolve: 3. Realização por uma empresa independente 4. Comunicação de problemas identificados para a tomada de ações corretivas. 56

57 Fases do Processo Fase 1 – Estratégia de auditoria: –Definir o objetivo, escopo, marcos de acompanhamento, critério e equipe de auditoria Fase 2 – Selecionar os auditores: –Independentes, imparciais e objetivos. 57

58 Estudo de Caso e-frete Apresentar estudo de caso e-frete... –Plano de Auditoria 58

59 Atividades 2.1 Definir um plano de auditoria para a política recebida por seu grupo. 59

60 Fases do Processo Fase 3 – Verificação de conformidade: –Verificar os itens definidos na estratégia –Registrar as não conformidades Fase 4 – Relatório de auditoria: –Confecção e divulgação do relatório de auditoria 60

61 Estudo de Caso e-frete Apresentar estudo de caso e-frete... –Relatórios com evidências –Aplicabilidade dos controles 61

62 Atividades 2.2 Descrever relatório de auditoria para a política recebida por seu grupo. 62

63 Fases do Processo Fase 5 – Tomada de ações corretivas: –Pode ser ação imediata ao prevista para próxima auditoria. Fase 6 – Acompanhar a resolução: –Auditor deve revisar as ações corretivas e atualizar seus relatório com base na mudanças 63

64 Estudo de Caso e-frete Apresentar estudo de caso e-frete... –Solicitação de plano de ação até o final da auditoria!!! 64

65 Atividades 2.3 Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo. DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!! 65

66 Auditoria Interna – ISO Orientação para auditoria interna Realizada em intervalos regulares Resultados com base em evidências Reservar tempo adequado para coleta de evidências 66

67 Auditoria Interna – ISO Avaliar controles, processos e questões legais E se são efetivamente implementados e mantidos Convém que métricas de implementação sejam analisadas 67

68 Auditoria Interna – ISO Deve ser considerada a importância do controle para a organização Deve analisar o resultado de auditorias anteriores Convém documentar critérios, escopo aplicável, frequência e método utilizados 68

69 Auditoria Interna – ISO Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria Sugestão de fases: 1.Planejamento e execução da auditoria; 2.Divulgação dos resultados; 3.Proposição das ações corretivas e preventivas 69

70 Auditoria Interna – ISO Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação 70

71 Atividade 3 – Checklist de SegInfo Checklist de Auditoria ISO Avaliar e definir evidências... Discussão em grupo!!! 71

72 Atividade a ser entregue Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo. Documentos específicos ( estudo de caso ): –Plano de auditoria –Relatório de auditoria –Plano de ações corretivas 72


Carregar ppt "Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão."

Apresentações semelhantes


Anúncios Google