Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Auditoria de Segurança da Informação
Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação
2
Conceitos Básicos Qual a importância da informação?
O uso das informações evoluiu nas organizações?
3
Conceitos Básicos Qual a importância da informação? Antigamente...
Financeira; Estratégica; Operacional, etc... Antigamente... Centralizados e não automático; Depois... Automatização dos processos;
4
Conceitos Básicos Atualmente... Tecnologia da informação;
Informação de alto nível; Alta conectividade; Aplicações conectadas: B2B; B2C; Comércio eletrônico; ERPs;
5
Conceitos Básicos Fundamental para os processos e negócios da empresa;
Clientes, fornecedores, parceiros e governos conectados; Este cenário traz risco para as empresas. Quais riscos?
6
Conceitos Básicos As empresas têm grande atenção aos seus ativos físicos e financeiros; E não protegem os ativos de informação; Ativos da informação: A própria informação; Meio de armazenamento; Todo processo e manipulação;
7
Conceitos Básicos Então é preciso criar medida para proteção dos ativos da informação; Segurança da Informação: Área responsável pela proteção dos ativo da informação; Acesso não autorizado; Alterações indevidas; Indisponibilidade.
8
Conceitos Básicos Três propriedades da segurança da informação:
Confidencialidade; Integridade; Disponibilidade;
9
Conceitos Básicos Confidencialidade: Protege o conteúdo;
Apenas lê quem tem direito; Protege por grau de sigilo;
10
Conceitos Básicos Integridade: Modificação durante o trânsito;
Informação não pode ser alterada; Informação igual a original; Apenas quem tem direito pode modificar;
11
Conceitos Básicos Disponibilidade: A informação deve estar disponível;
Quando quem tem direito deseja acessar; Exceto em situações previstas, como manutenção.
12
Conceitos Básicos Gestão Corporativa de Segurança:
Considera o negócio da empresa como um todo; Incluí mais dois conceitos: Autenticidade; Legalidade;
13
Conceitos Básicos Autenticidade:
Identificação dos elementos da transação; Acesso através da identificação; Comunicação, transações eletrônicas, documentos, etc.
14
Conceitos Básicos Legalidade: Valor legal da informação;
Análise de cláusulas contratuais; Concordância com a legislação.
15
Conceitos Básicos – Outros
Autorização; Auditoria; Relevância do ativo; Relevância do Processo; Criticidade; Irretratabilidade;
16
Conceitos Básicos Autorização: Concessão de permissão;
Acesso a informações ou aplicações; Em um processo de troca de informações; Depende da identificação e autenticação;
17
Conceitos Básicos Relevância do Ativo:
Grau de importância de uma informação; Quando os processos dependem da informação; Quando a organização depende da informação;
18
Conceitos Básicos Relevância do Processo:
Grau de importância do processo; Objetivos da organização dependem dele; Sobrevivência da organização depende do processo;
19
Conceitos Básicos Criticidade: Gravidade do impacto no negócio;
Ausência de um ativo da informação; Perda ou redução de funcionalidade; Uso indevido ou não autorizado de ativos da informação.
20
Conceitos Básicos Irretratabilidade: Sinônimo de não-repúdio;
Informação possuí a identificação do emissor; A identificação autentica o autor; Autor não pode negar a geração da informação.
21
Ameaças e Ataques Ameaças: Agentes ou condições;
Causam incidentes que comprometem as informações; Exploram vulnerabilidades; Perda de confidencialidade, integridade e disponibilidade; Causam impacto nos negócios da organização.
22
Ameaças e Ataques Ameaças externas ou internas;
As ameaças sempre existirão; Independente dos controles de segurança; As medidas podem eliminar as vulnerabilidades; E neutralizar as ameaças;
23
Ameaças e Ataques Classificação das ameaças: Intencionais; Acidentais;
Internas; Externas;
24
Ameaças e Ataques Ameaças exploram vulnerabilidade para realizar ataques. Ataques: Tentativa de quebras as propriedades de segurança; Confidencialidade, integridade e disponibilidade; Outras propriedades estudadas;
25
O papel das Ameaças
26
Definição de Controles
Políticas de Segurança; Normas ISO; Tipos de Políticas;
27
Definições Conjunto de regras;
Determina como as informações são geridas; Deve ser ampla e simples; Revisão contínua; Apoio da alta administração;
28
Definições Define objetivos; Define responsabilidades;
Define Penalidades;
29
Definições BS7799: norma inglesa;
BS = ISO 17799: código de boas práticas de segurança; BS = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; ISO e foram traduzidos pela ABNT.
30
Definição CobiT: modelo de governança de TI;
30% relacionado com segurança; ISO (Common Criteria): Define e avalia requisitos de segurança em sistemas; Volume 1: Definições e Metodologia; Volume 2: Requisitos de Segurança; Volume 3: Metodologias de Avaliação;
31
ISO 27001 Define um “Sistemas de Gestão da Segurança da Informação”
Usa o ciclo PDCA Planejar (plain); Fazer ou implementar (do); Monitorar (check); Melhorar (act);
32
ISO 27001
33
ISO 27001 Possui 11 seções: Política de Segurança;
Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento das Operações e Comunicações;
34
ISO 27001 Possui 11 seções: Controle de Acesso;
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Gestão de Incidentes de Segurança; Gestão de Continuidade do Negócio; Conformidade;
35
ISO 27001 Norma encoraja: Entendimento de requisitos de segurança;
Necessidade de uma política de segurança; Implementação de controles; Gerência de riscos; Monitoração e revisão do SGSI; Melhoria contínua;
36
Políticas Organizacionais
Aplicada a toda a organização; Define objetivos; Define responsabilidades; Define escopo; Cita leis e regulamentos;
37
Políticas Organizacionais
Observações: Não existem modelos prontos de política; Não existe política certa ou errada; A política deve ser definida de acordo com cada organização;
38
Políticas Específicas
Trata que questões detalhas; De um determinado setor; Do uso de um determinado serviços; Ex: Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de ;
39
Políticas de Sistemas Definem as configurações dos sistemas;
Ex.: Banco de Dados, Sistemas Operacionais; De forma que os sistemas estejam de acordo com a política organizacional;
40
Plano de Contingência É mais amplo que o plano de recuperação de desastres; Plano global para manter os ativos em funcionamento; São procedimentos pré-estabelecidos para o caso de ataques; Muitas empresas não sobrevivem à perda de seus ativos;
41
Plano de Contingência Preservação: tentar evitar a destruição dos ativos; Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; São 2 conceitos importantes para a continuidade;
42
Gestão de Segurança...
43
Gestão de Segurança...
44
Conceitos Básicos Auditoria: Coleta de evidências;
Busca a identificação de entidades; Busca a origem, o destino e os meios de tráfego da informação.
45
Serviços e Mecanismos Auditoria
Auditoria engloba análise: das operações; dos processos; dos sistemas; das responsabilidades; Objetivo de verificar conformidade com normas, regras, políticas ou padrões;
46
Serviços e Mecanismos Auditoria
Auditoria abrange: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;
47
Serviços e Mecanismos Auditoria
Identificação de Controles: Fiscalização sobre atividades de pessoas, órgãos ou produtos; Três tipos de controles: Preventivo: prevenir ataques. Ex: Senhas; Detectivo: detectar ataques. Ex: Relatório de acesso; Corretivo: reduzir impactos. Ex: Plano de Continuidade;
48
Serviços e Mecanismos Auditoria
Aplicação de Procedimentos: Geralmente são Checklists; Averiguação de procedimentos; Para formação do opinião do auditor;
49
Serviços e Mecanismos Auditoria
Achados da Auditoria: Fatos observados pelo auditor; Devem ser relevantes; Devem ser baseados em evidências;
50
Serviços e Mecanismos Auditoria
Papéis de Trabalho: Registros que provam os fatos observados pelo auditor; Documentos, tabelas, listas, etc; Dão suporte ao relatório de auditoria; Contêm verificações, testes, etc;
51
Serviços e Mecanismos Auditoria
Recomendações de auditoria: É feito na fase de relatório; Apresentação dos achados; Apresentação dos papéis de auditoria; Sugestões de medidas corretivas;
52
Serviços e Mecanismos Auditoria
Uma Auditoria geralmente envolve: Avaliação da política de segurança; Controle de acessos lógicos; Controle de acessos físicos; Plano de Continuidade de Negócio;
53
Atividade 1 Escolher um capítulo da ISO e definir \ exemplificar em um estudo de caso: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;
54
Fases do Processo – ISO 15504-5
Descreve o processo de auditoria Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.
55
Resultados do Processo
O processo de auditoria envolve: Uma estratégia de auditoria Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia
56
Resultados do Processo
O processo de auditoria envolve: 3. Realização por uma empresa independente 4. Comunicação de problemas identificados para a tomada de ações corretivas.
57
Fases do Processo Fase 1 – Estratégia de auditoria:
Definir o objetivo, escopo, marcos de acompanhamento, critério e equipe de auditoria Fase 2 – Selecionar os auditores: Independentes, imparciais e objetivos.
58
Estudo de Caso e-frete Apresentar estudo de caso e-frete...
Plano de Auditoria
59
Atividades 2.1 Definir um plano de auditoria para a política recebida por seu grupo.
60
Fases do Processo Fase 3 – Verificação de conformidade:
Verificar os itens definidos na estratégia Registrar as não conformidades Fase 4 – Relatório de auditoria: Confecção e divulgação do relatório de auditoria
61
Estudo de Caso e-frete Apresentar estudo de caso e-frete...
Relatórios com evidências Aplicabilidade dos controles
62
Atividades 2.2 Descrever relatório de auditoria para a política recebida por seu grupo.
63
Fases do Processo Fase 5 – Tomada de ações corretivas:
Pode ser ação imediata ao prevista para próxima auditoria. Fase 6 – Acompanhar a resolução: Auditor deve revisar as ações corretivas e atualizar seus relatório com base na mudanças
64
Estudo de Caso e-frete Apresentar estudo de caso e-frete...
Solicitação de plano de ação até o final da auditoria!!!
65
Atividades 2.3 Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo. DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!
66
Auditoria Interna – ISO 27003
Orientação para auditoria interna Realizada em intervalos regulares Resultados com base em evidências Reservar tempo adequado para coleta de evidências
67
Auditoria Interna – ISO 27003
Avaliar controles, processos e questões legais E se são efetivamente implementados e mantidos Convém que métricas de implementação sejam analisadas
68
Auditoria Interna – ISO 27003
Deve ser considerada a importância do controle para a organização Deve analisar o resultado de auditorias anteriores Convém documentar critérios, escopo aplicável, frequência e método utilizados
69
Auditoria Interna – ISO 27003
Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria Sugestão de fases: Planejamento e execução da auditoria; Divulgação dos resultados; Proposição das ações corretivas e preventivas
70
Auditoria Interna – ISO 27003
Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação
71
Atividade 3 – Checklist de SegInfo
Checklist de Auditoria ISO 19977 Avaliar e definir evidências... Discussão em grupo!!!
72
Atividade a ser entregue
Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo. Documentos específicos (estudo de caso): Plano de auditoria Relatório de auditoria Plano de ações corretivas
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.