Auditoria de Segurança da Informação

Auditoria de Segurança da Informação
Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação

Conceitos Básicos Qual a importância da informação?
O uso das informações evoluiu nas organizações?

Conceitos Básicos Qual a importância da informação? Antigamente...
Financeira; Estratégica; Operacional, etc... Antigamente... Centralizados e não automático; Depois... Automatização dos processos;

Conceitos Básicos Atualmente... Tecnologia da informação;
Informação de alto nível; Alta conectividade; Aplicações conectadas: B2B; B2C; Comércio eletrônico; ERPs;

Conceitos Básicos Fundamental para os processos e negócios da empresa;
Clientes, fornecedores, parceiros e governos conectados; Este cenário traz risco para as empresas. Quais riscos?

Conceitos Básicos As empresas têm grande atenção aos seus ativos físicos e financeiros; E não protegem os ativos de informação; Ativos da informação: A própria informação; Meio de armazenamento; Todo processo e manipulação;

Conceitos Básicos Então é preciso criar medida para proteção dos ativos da informação; Segurança da Informação: Área responsável pela proteção dos ativo da informação; Acesso não autorizado; Alterações indevidas; Indisponibilidade.

Conceitos Básicos Três propriedades da segurança da informação:
Confidencialidade; Integridade; Disponibilidade;

Conceitos Básicos Confidencialidade: Protege o conteúdo;
Apenas lê quem tem direito; Protege por grau de sigilo;

Conceitos Básicos Integridade: Modificação durante o trânsito;
Informação não pode ser alterada; Informação igual a original; Apenas quem tem direito pode modificar;

Conceitos Básicos Disponibilidade: A informação deve estar disponível;
Quando quem tem direito deseja acessar; Exceto em situações previstas, como manutenção.

Conceitos Básicos Gestão Corporativa de Segurança:
Considera o negócio da empresa como um todo; Incluí mais dois conceitos: Autenticidade; Legalidade;

Conceitos Básicos Autenticidade:
Identificação dos elementos da transação; Acesso através da identificação; Comunicação, transações eletrônicas, documentos, etc.

Conceitos Básicos Legalidade: Valor legal da informação;
Análise de cláusulas contratuais; Concordância com a legislação.

Conceitos Básicos – Outros
Autorização; Auditoria; Relevância do ativo; Relevância do Processo; Criticidade; Irretratabilidade;

Conceitos Básicos Autorização: Concessão de permissão;
Acesso a informações ou aplicações; Em um processo de troca de informações; Depende da identificação e autenticação;

Conceitos Básicos Relevância do Ativo:
Grau de importância de uma informação; Quando os processos dependem da informação; Quando a organização depende da informação;

Conceitos Básicos Relevância do Processo:
Grau de importância do processo; Objetivos da organização dependem dele; Sobrevivência da organização depende do processo;

Conceitos Básicos Criticidade: Gravidade do impacto no negócio;
Ausência de um ativo da informação; Perda ou redução de funcionalidade; Uso indevido ou não autorizado de ativos da informação.

Conceitos Básicos Irretratabilidade: Sinônimo de não-repúdio;
Informação possuí a identificação do emissor; A identificação autentica o autor; Autor não pode negar a geração da informação.

Ameaças e Ataques Ameaças: Agentes ou condições;
Causam incidentes que comprometem as informações; Exploram vulnerabilidades; Perda de confidencialidade, integridade e disponibilidade; Causam impacto nos negócios da organização.

Ameaças e Ataques Ameaças externas ou internas;
As ameaças sempre existirão; Independente dos controles de segurança; As medidas podem eliminar as vulnerabilidades; E neutralizar as ameaças;

Ameaças e Ataques Classificação das ameaças: Intencionais; Acidentais;
Internas; Externas;

Ameaças e Ataques Ameaças exploram vulnerabilidade para realizar ataques. Ataques: Tentativa de quebras as propriedades de segurança; Confidencialidade, integridade e disponibilidade; Outras propriedades estudadas;

O papel das Ameaças

Definição de Controles
Políticas de Segurança; Normas ISO; Tipos de Políticas;

Definições Conjunto de regras;
Determina como as informações são geridas; Deve ser ampla e simples; Revisão contínua; Apoio da alta administração;

Definições Define objetivos; Define responsabilidades;
Define Penalidades;

Definições BS7799: norma inglesa;
BS = ISO 17799: código de boas práticas de segurança; BS = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; ISO e foram traduzidos pela ABNT.

Definição CobiT: modelo de governança de TI;
30% relacionado com segurança; ISO (Common Criteria): Define e avalia requisitos de segurança em sistemas; Volume 1: Definições e Metodologia; Volume 2: Requisitos de Segurança; Volume 3: Metodologias de Avaliação;

ISO 27001 Define um “Sistemas de Gestão da Segurança da Informação”
Usa o ciclo PDCA Planejar (plain); Fazer ou implementar (do); Monitorar (check); Melhorar (act);

ISO 27001

ISO 27001 Possui 11 seções: Política de Segurança;
Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gerenciamento das Operações e Comunicações;

ISO 27001 Possui 11 seções: Controle de Acesso;
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Gestão de Incidentes de Segurança; Gestão de Continuidade do Negócio; Conformidade;

ISO 27001 Norma encoraja: Entendimento de requisitos de segurança;
Necessidade de uma política de segurança; Implementação de controles; Gerência de riscos; Monitoração e revisão do SGSI; Melhoria contínua;

Políticas Organizacionais
Aplicada a toda a organização; Define objetivos; Define responsabilidades; Define escopo; Cita leis e regulamentos;

Políticas Organizacionais
Observações: Não existem modelos prontos de política; Não existe política certa ou errada; A política deve ser definida de acordo com cada organização;

Políticas Específicas
Trata que questões detalhas; De um determinado setor; Do uso de um determinado serviços; Ex: Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de ;

Políticas de Sistemas Definem as configurações dos sistemas;
Ex.: Banco de Dados, Sistemas Operacionais; De forma que os sistemas estejam de acordo com a política organizacional;

Plano de Contingência É mais amplo que o plano de recuperação de desastres; Plano global para manter os ativos em funcionamento; São procedimentos pré-estabelecidos para o caso de ataques; Muitas empresas não sobrevivem à perda de seus ativos;

Plano de Contingência Preservação: tentar evitar a destruição dos ativos; Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; São 2 conceitos importantes para a continuidade;

Gestão de Segurança...

Conceitos Básicos Auditoria: Coleta de evidências;
Busca a identificação de entidades; Busca a origem, o destino e os meios de tráfego da informação.

Serviços e Mecanismos Auditoria
Auditoria engloba análise: das operações; dos processos; dos sistemas; das responsabilidades; Objetivo de verificar conformidade com normas, regras, políticas ou padrões;

Auditoria abrange: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;

Identificação de Controles: Fiscalização sobre atividades de pessoas, órgãos ou produtos; Três tipos de controles: Preventivo: prevenir ataques. Ex: Senhas; Detectivo: detectar ataques. Ex: Relatório de acesso; Corretivo: reduzir impactos. Ex: Plano de Continuidade;

Aplicação de Procedimentos: Geralmente são Checklists; Averiguação de procedimentos; Para formação do opinião do auditor;

Achados da Auditoria: Fatos observados pelo auditor; Devem ser relevantes; Devem ser baseados em evidências;

Papéis de Trabalho: Registros que provam os fatos observados pelo auditor; Documentos, tabelas, listas, etc; Dão suporte ao relatório de auditoria; Contêm verificações, testes, etc;

Recomendações de auditoria: É feito na fase de relatório; Apresentação dos achados; Apresentação dos papéis de auditoria; Sugestões de medidas corretivas;

Uma Auditoria geralmente envolve: Avaliação da política de segurança; Controle de acessos lógicos; Controle de acessos físicos; Plano de Continuidade de Negócio;

Atividade 1 Escolher um capítulo da ISO e definir \ exemplificar em um estudo de caso: Identificação de Controles; Aplicação de Procedimentos de Auditoria; Descoberta de Achados da Auditoria; Geração de Papéis de Trabalho; Recomendações de auditoria;

Fases do Processo – ISO 15504-5
Descreve o processo de auditoria Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.

Resultados do Processo
O processo de auditoria envolve: Uma estratégia de auditoria Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia

Resultados do Processo
O processo de auditoria envolve: 3. Realização por uma empresa independente 4. Comunicação de problemas identificados para a tomada de ações corretivas.

Fases do Processo Fase 1 – Estratégia de auditoria:
Definir o objetivo, escopo, marcos de acompanhamento, critério e equipe de auditoria Fase 2 – Selecionar os auditores: Independentes, imparciais e objetivos.

Estudo de Caso e-frete Apresentar estudo de caso e-frete...
Plano de Auditoria

Atividades 2.1 Definir um plano de auditoria para a política recebida por seu grupo.

Fases do Processo Fase 3 – Verificação de conformidade:
Verificar os itens definidos na estratégia Registrar as não conformidades Fase 4 – Relatório de auditoria: Confecção e divulgação do relatório de auditoria

Relatórios com evidências Aplicabilidade dos controles

Atividades 2.2 Descrever relatório de auditoria para a política recebida por seu grupo.

Fases do Processo Fase 5 – Tomada de ações corretivas:
Pode ser ação imediata ao prevista para próxima auditoria. Fase 6 – Acompanhar a resolução: Auditor deve revisar as ações corretivas e atualizar seus relatório com base na mudanças

Solicitação de plano de ação até o final da auditoria!!!

Atividades 2.3 Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo. DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!

Auditoria Interna – ISO 27003
Orientação para auditoria interna Realizada em intervalos regulares Resultados com base em evidências Reservar tempo adequado para coleta de evidências

Avaliar controles, processos e questões legais E se são efetivamente implementados e mantidos Convém que métricas de implementação sejam analisadas

Deve ser considerada a importância do controle para a organização Deve analisar o resultado de auditorias anteriores Convém documentar critérios, escopo aplicável, frequência e método utilizados

Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria Sugestão de fases: Planejamento e execução da auditoria; Divulgação dos resultados; Proposição das ações corretivas e preventivas

Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação

Atividade 3 – Checklist de SegInfo
Checklist de Auditoria ISO 19977 Avaliar e definir evidências... Discussão em grupo!!!

Atividade a ser entregue
Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo. Documentos específicos (estudo de caso): Plano de auditoria Relatório de auditoria Plano de ações corretivas

Auditoria de Segurança da Informação

Apresentações semelhantes

Apresentação em tema: "Auditoria de Segurança da Informação"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

Auditoria de Segurança da Informação

Apresentações semelhantes

Apresentação em tema: "Auditoria de Segurança da Informação"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback