Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação
Conceitos Básicos Qual a importância da informação? O uso das informações evoluiu nas organizações?
Conceitos Básicos Qual a importância da informação? Antigamente... Financeira; Estratégica; Operacional, etc... Antigamente... Centralizados e não automático; Depois... Automatização dos processos;
Conceitos Básicos Atualmente... Tecnologia da informação; Informação de alto nível; Alta conectividade; Aplicações conectadas: B2B; B2C; Comércio eletrônico; ERPs;
Conceitos Básicos Fundamental para os processos e negócios da empresa; Clientes, fornecedores, parceiros e governos conectados; Este cenário traz risco para as empresas. Quais riscos?
Conceitos Básicos As empresas têm grande atenção aos seus ativos físicos e financeiros; E não protegem os ativos de informação; Ativos da informação: A própria informação; Meio de armazenamento; Todo processo e manipulação;
Conceitos Básicos Então é preciso criar medida para proteção dos ativos da informação; Segurança da Informação: Área responsável pela proteção dos ativo da informação; Acesso não autorizado; Alterações indevidas; Indisponibilidade.
Conceitos Básicos Três propriedades da segurança da informação: Confidencialidade; Integridade; Disponibilidade;
Conceitos Básicos Confidencialidade: Protege o conteúdo; Apenas lê quem tem direito; Protege por grau de sigilo;
Conceitos Básicos Integridade: Modificação durante o trânsito; Informação não pode ser alterada; Informação igual a original; Apenas quem tem direito pode modificar;
Conceitos Básicos Disponibilidade: A informação deve estar disponível; Quando quem tem direito deseja acessar; Exceto em situações previstas, como manutenção.
Conceitos Básicos Gestão Corporativa de Segurança: Considera o negócio da empresa como um todo; Incluí mais dois conceitos: Autenticidade; Legalidade;
Conceitos Básicos Autenticidade: Identificação dos elementos da transação; Acesso através da identificação; Comunicação, transações eletrônicas, documentos, etc.
Conceitos Básicos Legalidade: Valor legal da informação; Análise de cláusulas contratuais; Concordância com a legislação.
Conceitos Básicos – Outros Autorização; Auditoria; Relevância do ativo; Relevância do Processo; Criticidade; Irretratabilidade;
Conceitos Básicos Autorização: Concessão de permissão; Acesso a informações ou aplicações; Em um processo de troca de informações; Depende da identificação e autenticação;
Conceitos Básicos Relevância do Ativo: Grau de importância de uma informação; Quando os processos dependem da informação; Quando a organização depende da informação;
Conceitos Básicos Relevância do Processo: Grau de importância do processo; Objetivos da organização dependem dele; Sobrevivência da organização depende do processo;
Conceitos Básicos Criticidade: Gravidade do impacto no negócio; Ausência de um ativo da informação; Perda ou redução de funcionalidade; Uso indevido ou não autorizado de ativos da informação.
Conceitos Básicos Irretratabilidade: Sinônimo de não-repúdio; Informação possuí a identificação do emissor; A identificação autentica o autor; Autor não pode negar a geração da informação.
Ameaças e Ataques Ameaças: Agentes ou condições; Causam incidentes que comprometem as informações; Exploram vulnerabilidades; Perda de confidencialidade, integridade e disponibilidade; Causam impacto nos negócios da organização.
Ameaças e Ataques Ameaças externas ou internas; As ameaças sempre existirão; Independente dos controles de segurança; As medidas podem eliminar as vulnerabilidades; E neutralizar as ameaças;
Ameaças e Ataques Classificação das ameaças: Intencionais; Acidentais; Internas; Externas;
Ameaças e Ataques Ameaças exploram vulnerabilidade para realizar ataques. Ataques: Tentativa de quebras as propriedades de segurança; Confidencialidade, integridade e disponibilidade; Outras propriedades estudadas;
O papel das Ameaças
Definição de Controles Políticas de Segurança; Normas ISO; Tipos de Políticas;
Definições Conjunto de regras; Determina como as informações são geridas; Deve ser ampla e simples; Revisão contínua; Apoio da alta administração;
Definições Define objetivos; Define responsabilidades; Define Penalidades;
Definições BS7799: norma inglesa; BS7799-1 = ISO 17799: código de boas práticas de segurança; BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; ISO 17799 e 27001 foram traduzidos pela ABNT.
Definição CobiT: modelo de governança de TI; 30% relacionado com segurança; ISO 15408 (Common Criteria): Define e avalia requisitos de segurança em sistemas; Volume 1: Definições e Metodologia; Volume 2: Requisitos de Segurança; Volume 3: Metodologias de Avaliação;
ISO 27001 Define um “Sistemas de Gestão da Segurança da Informação” Usa o ciclo PDCA Planejar (plain); Fazer ou implementar (do); Monitorar (check); Melhorar (act);
ISO 27001
ISO 27001 Possui 11 seções: Política de Segurança; Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento das Operações e Comunicações;
ISO 27001 Possui 11 seções: Controle de Acesso; Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Gestão de Incidentes de Segurança; Gestão de Continuidade do Negócio; Conformidade;
ISO 27001 Norma encoraja: Entendimento de requisitos de segurança; Necessidade de uma política de segurança; Implementação de controles; Gerência de riscos; Monitoração e revisão do SGSI; Melhoria contínua;
Políticas Organizacionais Aplicada a toda a organização; Define objetivos; Define responsabilidades; Define escopo; Cita leis e regulamentos;
Políticas Organizacionais Observações: Não existem modelos prontos de política; Não existe política certa ou errada; A política deve ser definida de acordo com cada organização;
Políticas Específicas Trata que questões detalhas; De um determinado setor; Do uso de um determinado serviços; Ex: e-mail: Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de e-mail;
Políticas de Sistemas Definem as configurações dos sistemas; Ex.: Banco de Dados, Sistemas Operacionais; De forma que os sistemas estejam de acordo com a política organizacional;
Plano de Contingência É mais amplo que o plano de recuperação de desastres; Plano global para manter os ativos em funcionamento; São procedimentos pré-estabelecidos para o caso de ataques; Muitas empresas não sobrevivem à perda de seus ativos;
Plano de Contingência Preservação: tentar evitar a destruição dos ativos; Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; São 2 conceitos importantes para a continuidade;
Gestão de Segurança...
Gestão de Segurança...
Conceitos Básicos Auditoria: Coleta de evidências; Busca a identificação de entidades; Busca a origem, o destino e os meios de tráfego da informação.
Serviços e Mecanismos Auditoria Auditoria engloba análise: das operações; dos processos; dos sistemas; das responsabilidades; Objetivo de verificar conformidade com normas, regras, políticas ou padrões;
Serviços e Mecanismos Auditoria Auditoria abrange: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;
Serviços e Mecanismos Auditoria Identificação de Controles: Fiscalização sobre atividades de pessoas, órgãos ou produtos; Três tipos de controles: Preventivo: prevenir ataques. Ex: Senhas; Detectivo: detectar ataques. Ex: Relatório de acesso; Corretivo: reduzir impactos. Ex: Plano de Continuidade;
Serviços e Mecanismos Auditoria Aplicação de Procedimentos: Geralmente são Checklists; Averiguação de procedimentos; Para formação do opinião do auditor;
Serviços e Mecanismos Auditoria Achados da Auditoria: Fatos observados pelo auditor; Devem ser relevantes; Devem ser baseados em evidências;
Serviços e Mecanismos Auditoria Papéis de Trabalho: Registros que provam os fatos observados pelo auditor; Documentos, tabelas, listas, etc; Dão suporte ao relatório de auditoria; Contêm verificações, testes, etc;
Serviços e Mecanismos Auditoria Recomendações de auditoria: É feito na fase de relatório; Apresentação dos achados; Apresentação dos papéis de auditoria; Sugestões de medidas corretivas;
Serviços e Mecanismos Auditoria Uma Auditoria geralmente envolve: Avaliação da política de segurança; Controle de acessos lógicos; Controle de acessos físicos; Plano de Continuidade de Negócio;
Atividade 1 Escolher um capítulo da ISO 27002 e definir \ exemplificar em um estudo de caso: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;
Fases do Processo – ISO 15504-5 Descreve o processo de auditoria Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.
Resultados do Processo O processo de auditoria envolve: Uma estratégia de auditoria Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia
Resultados do Processo O processo de auditoria envolve: 3. Realização por uma empresa independente 4. Comunicação de problemas identificados para a tomada de ações corretivas.
Fases do Processo Fase 1 – Estratégia de auditoria: Definir o objetivo, escopo, marcos de acompanhamento, critério e equipe de auditoria Fase 2 – Selecionar os auditores: Independentes, imparciais e objetivos.
Estudo de Caso e-frete Apresentar estudo de caso e-frete... Plano de Auditoria
Atividades 2.1 Definir um plano de auditoria para a política recebida por seu grupo.
Fases do Processo Fase 3 – Verificação de conformidade: Verificar os itens definidos na estratégia Registrar as não conformidades Fase 4 – Relatório de auditoria: Confecção e divulgação do relatório de auditoria
Estudo de Caso e-frete Apresentar estudo de caso e-frete... Relatórios com evidências Aplicabilidade dos controles
Atividades 2.2 Descrever relatório de auditoria para a política recebida por seu grupo.
Fases do Processo Fase 5 – Tomada de ações corretivas: Pode ser ação imediata ao prevista para próxima auditoria. Fase 6 – Acompanhar a resolução: Auditor deve revisar as ações corretivas e atualizar seus relatório com base na mudanças
Estudo de Caso e-frete Apresentar estudo de caso e-frete... Solicitação de plano de ação até o final da auditoria!!!
Atividades 2.3 Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo. www.inf.furb.br/~paulofernando/download/pos DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!
Auditoria Interna – ISO 27003 Orientação para auditoria interna Realizada em intervalos regulares Resultados com base em evidências Reservar tempo adequado para coleta de evidências
Auditoria Interna – ISO 27003 Avaliar controles, processos e questões legais E se são efetivamente implementados e mantidos Convém que métricas de implementação sejam analisadas
Auditoria Interna – ISO 27003 Deve ser considerada a importância do controle para a organização Deve analisar o resultado de auditorias anteriores Convém documentar critérios, escopo aplicável, frequência e método utilizados
Auditoria Interna – ISO 27003 Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria Sugestão de fases: Planejamento e execução da auditoria; Divulgação dos resultados; Proposição das ações corretivas e preventivas
Auditoria Interna – ISO 27003 Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação
Atividade 3 – Checklist de SegInfo Checklist de Auditoria ISO 19977 Avaliar e definir evidências... Discussão em grupo!!!
Atividade a ser entregue Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo. Documentos específicos (estudo de caso): Plano de auditoria Relatório de auditoria Plano de ações corretivas