Audit Segs is 02
21
Auditoria e Segurança de Sistemas • Segurança da Informação: Conceitos Básicos • Segurança é um assunto muito falado nos dias de hoje; pensa-se muito em segurança residencial, física/pessoal, automobilística/trânsito; • O foco desta disciplina é a segurança da Informação • Segurança da Informação tem 3 pilares, são eles: l CONFIDENCIALIDADE: Característica de um determinado sistema permitir que alguns usuários acessem algumas informações do sistema e, ao mesmo tempo, impeça outros usuáiros de acessar. Ou seja, sistema dá acessoa determiandos módulos do sistema e nega a outros usuários; l INTEGRIDADE: Mesmo conceito de banco de dados: Informação correta. Representa um mundo real, não pode ser ou estar corrompida; l DISPONIBILIDADE: A informação deve estar disponível a todos que dela precisarem, a todo tempo de qualquer local.
-
Upload
brunnoeclipse374440 -
Category
Documents
-
view
221 -
download
0
description
Auditoria e Segurança em sistemas de Informações
Transcript of Audit Segs is 02
Apresentao do PowerPoint
Auditoria e Segurana de SistemasSegurana da Informao: Conceitos BsicosSegurana um assunto muito falado nos dias de hoje; pensa-se muito em segurana residencial, fsica/pessoal, automobilstica/trnsito;O foco desta disciplina a segurana da Informao
Segurana da Informao tem 3 pilares, so eles:CONFIDENCIALIDADE: Caracterstica de um determinado sistema permitir que alguns usurios acessem algumas informaes do sistema e, ao mesmo tempo, impea outros usuiros de acessar. Ou seja, sistema d acessoa determiandos mdulos do sistema e nega a outros usurios;INTEGRIDADE: Mesmo conceito de banco de dados: Informao correta. Representa um mundo real, no pode ser ou estar corrompida;DISPONIBILIDADE: A informao deve estar disponvel a todos que dela precisarem, a todo tempo de qualquer local.Auditoria e Segurana de SistemasSegurana da Informao: Conceitos Bsicos
A essncia dos trs pilares est nos seguintes conceitos:
AUTENTICAO: Significa que o sistema capaz de certificar que usurio realmente quem ele diz ser;NO-REPDIO: Sistema capaz de provar que um determinado usurio executou determinada ao. QUEM FEZ O QU? E ONDE? Significado da rea jurdica: suficiente evidncia para persuadir a autoridade legal (juiz/jurado/rbitro) a respeito de sua origem, submisso entrega e integridade, apesar da tentativa de negao pelo suposto responsvel pelo envio. Ex.: O no-repdio, fornece provas de que um usurio realizou determinada ao, como uma transao bancria;LEGALIDADE: Garantir que um sistema seja e esteja coerente com a legislao vigente e pertinente ao negcio atendido pelo sistema;PRIVACIDADE: Capacidade de o sistema manter annimo um usurio, impossibilitando o relacionamento entre o usurio e suas aes. Ex.: voto eletrnico;AUDITORIA: Capacidade de o sistema auditar todas as aes realizadas pelo usurio, detectando fraudes e tentativas de ataque.Auditoria e Segurana de SistemasSegurana da Informao: Conceitos Bsicos
Quando falamos em segurana da informao, nos referimos a tomar aes para garantir a confidencialidade, integridade, disponibilidade e os demais aspectos, claro, dentro das necessidade e condies do cliente, seja ele interno ou externo.Auditoria e Segurana de SistemasSegurana da Informao: Conceitos Bsicos
Alguns outros conceitos importantes:
INCIDENTE DE SEGURANA: Algum evento que causa interrupo nos processos de negcio da empresa, quando h violao de algum dos aspectos estudados anteriormenteAlguns fatores, como intempries, greves, manifestaes, podem, tambm, ser consideradas incidentes de segurana, pois podem causar indisponibilidade e/ou afetar a integridade de uma informao;ATIVO DE INFORMAO: toda a informao/dados relacionados aos processos de negcio da empresa, mas tambm tudo aquilo que a suporta ou utiliza, ou seja, toda tecnologia necessria para criar e manter tal informao, bem como tudo e todos que utilizam;;
ATAQUE: todo incidente de segurana causado por algum agente que busque obter lucro/vantagem atingindo algum ativo de valor;
VULNERABILIDADE: Ativos da informao possuem vulnerabilidades ou fraquezas que podem causar com ou sem inteno, indisponibilidade, e/ou quebra de confidencialidade ou integridade; Essas vulnerabilidades podem ou ser exploradas;Auditoria e Segurana de SistemasSegurana da Informao: Conceitos Bsicos
Alguns outros conceitos importantes:
AMEAA: Ataque potencial a um ativo de informao. Algum agente externo que se aproveita de alguma vulnerabilidade para quebrar um ou mais princpios de segurana da informao;
PROBABILIDADE: Possibilidade de alguma falha de segurana ocorrer frente s vulnerabilidades de um ativo, e as ameaas que venham a explorar tais vulnerabilidades;Pode haver um ativo com vrias vulnerabilidades, mas sem ameaa de ataque, o que indica probabilidade prxima de zero.
IMPACTO: So as consequncias causadas por algum incidente de segurana, aos processos de negcio suportados pelo ativo em questo.
CONTROLE: Todo mecanismo utilizado para diminuir as vulnerabilidades do ativo;Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
O ciclo de vida da informao composto por algumas etapas:
Obteno: Etapa onde se desenvolve procedimentos para captura e recuperao da informao, bem como a sua criao. Nesta etapa h grande foco na INTEGRIDADE;
Tratamento: A necessidade do tratamento se faz evidente pois muitas vezes antes de ser consumida, a informao precise de alguma organizao, formatao ou anlise, oferecendo-a com maior inteligibilidade. No se pode afetar sua integridade, nem sua confidencialidade;
Distribuio: Etapa onde se leva a informao at seus consumidores. A distribuio deve ser objetiva e chegar onde se espera;
Uso: Etapa onde a informao usada para gerao de valor para a organizao. Nesta etapa do ciclo de vida fundamental a prtica da disponibilidade, integridade e da confidencialidade;Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
O ciclo de vida da informao composto por algumas etapas:
Armazenamento: Com o objetivo de uso futuro da informao, preciso armazen-la. O fato de a informao estar em diferentes formatos e mdias, torna o armazenamento mais oneroso. Integridade e disponibilidade so uma constante e, se a informao for classsificada com sigilosa a confidencialidade precisa ser forte;
Descarte: Quando a informao torna-se obsoleta ou perde sua utilidade na organizao ela deve constar em um processo de descarte, obedecendo as normas legais. Excluir informaes inteis melhora o processo gesto da informao;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Classificao e controle dos ativos da informao:
pela classificao da informao que se estabelece o grau de importncia de determinadas informaes para o negcio da empresa;
Os ativos da informao podem ser divididos em alguns grupos:
Ativos da InformaoSoftwareFsicoServiosPessoasDocumento em PapelInformaoAuditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Conceitos importantes para o processo de classificao:
Classificao: Atitude de atribuir o grau de sigiloa um ativo da informao;
Proprietrio: Responsvel pelo ativo da informao;
Custodiante: Responsvel pela guarda do ativo da informao
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4 eixos:
Confidencialidade: Nvel 1: Informao Pblica: Categoria onde esto os ativos pblicos ou no classificados. So informaes que se forem divulgadas fora da organizao no geram impactos para a empresa. E.: folders, folhetos, etc.;
Nivel 2: Informao Interna: Ativos cujo acesso para o pblico externo organizao deve ser evitado. Caso tal informao torne-se pblica (vaze), as consequncias no so crticas ou no causam impactos. Ex.: lista de ramais, agendas de executivos, etc.;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4 eixos:
Confidencialidade: Nivel 3: Informao confidencial: Acesso restrito dentro da organizao e protegido contra acesso externo. O acesso no autorizado essa informao pode comprometer as operaes da empresa, causando impacto. Ex.: Lista de clientes, dados sobre vulnerabilidades, etc.;
Nivel 4: Informao Secreta: Tanto o acesso interno quanto o acesso externo crtico para a organizao. Somente algumas pessoas dentro da empresa, em geral diretoria, tm acesso a tal informao. Ex.: informaes sobre concorrncia, contratos confidenciais que geram impactos na empresa, etc.;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4 eixos:
Disponibilidade: Que falta faz essa informao? Responder esta pergunta permite classific-la em nveis d criticidade e estabelecer um ordem para recuperao em caso de indisponibilidade:Nvel 1: Informaes devem ser recuperadas em minutos;Nvel 2: Informaes devem ser recuperadas horas;Nvel 3: Informaes devem ser recuperadas em dias;Nvel 4: informaes que no so crticas.(Se no so crticas, por que t-las?)
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4 eixos:
Integridade: Informa errada traz vrios transtornos, e at impactos no negcio. Portanto gerar informao ntegra pe sempre necessidade;
Autenticidade: de acordo com a ISO 17.799, dados e informaes oferecidas ao pblico externo devem ter requisitos mnimos de autenticidade. Assim deve-se estabelecer quais informaes esto neste contexto.Auditoria e Segurana de SistemasSegurana e o ciclo de vida da informao
Monitoramento contnuo
Aps classificar os ativos, deve-se estabelecer mecanismos para medir periodicamente se determinados ativos permanecem em sua classificao, se foram feridos/afetados, e/ou se devem mudar de classificao.Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Segurana da informao baseada em TIDependncia da TI;Vulnerabilidade da infraestrutura;Alto valor da informao armazenada;
Segurana da informao NO baseada em TIPapel, microfilmagem, e outros;Conhecimento;Processos;Fala;Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Aspectos humanos da segurana da informaoPessoas so os principais elementos de um sistema de segurana da informao;Incidentes de segurana sempre envolvem pessoas. Assim, o item pessoas deve ter uma relevncia considerada em um sistema de segurana;Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Para se ter uma ideia, alguns dados (Fonte: Datapro Research, 2010):Danos causados por:Funcionrios: 81%Pessoas externas: 13%Ex-Funcionrios: 6%
Grande ameaaErros humanos: 52%Incndio: 15%Atividades desonestas: 10%Sabotagem: 10%gua: 10%Terrorismo: 3%
Causa dos problemas:Acidentes ou erros: 55%Desonestidade: 30%Causas naturais: 15%Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Security Officer O profissional de segurana
A dedicao com a segurana da informao deve ser de todos os colaboradores da organizao e no apenas de um grupo de pessoas;
Em tempos onde crescente a dependncia da informao, bem como avana o nmero de vrus e os casos de invaso, cresce a importncia da existncia de um responsvel pelas atividades de segurana da informao
CSO: Chief Security Officer, o profissional responsvel pela coordenao do planejamento, implementao, monitoramento e melhoria do sistema de segurana da informao. Dentre suas atribuies esto:Coordenao da rea de segurana e da infraestrutura organizacional;Planejar e acompanhar os investimentos em segurana;Definir os ndices e indicadores para segurana corporativa;Definio, elaborao, divulgao, treinamento, implementao e administrao da poltica de segurana, plano de continuidade de negcios e plano de contingncia;Investigao sobre incidentes de segurana;Alm de todas as atribuies anteriores, o CSO deve conhecer a fundo o negcio da empresa.Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Engenharia social
SANS Institute, define: como sendo a arte de utilizar o comportamento humano para quebrar a segurana sem que a vtima perceba que foi manipulada;CERT.br, define como mtodo de ataque onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado aos ativos da informao;
Ou seja, para se mostrar prestativas, educadas, e por confiarem demais, pessoas fornecem informaes importantes;Pela engenharia social, indivduos se aproveitam para conseguir informaes importantes para preparar seus ataques;Engenharia social se divide em: Fsica e PsicolgicaFsica: procura informao no lixo, presena fsica, vasculha de papis sobre mesas, em gavetas, etc;Psicolgica: relacionado ao comportamento humano. Ligaes com texto que puxam informaes do atendente;Auditoria e Segurana de SistemasUm pouco mais sobre segurana
Segurana nos termos, condies e responsabilidades de trabalho:Registrar no contrato de trabalho as normas e requisitos de segurana;
Segurana no processo de contratao / seleo de pessoal:Fazer um levantamento minucioso do passado dos candidatos, certificar se todas as informaes que ele forneceu so verdicas, contatar as referncias, etc.;
Treinamento dos usuriosTreinar, educar e conscientizar, so essenciais para o sucesso de uma poltica de seguranaAuditoria e Segurana de SistemasSegurana empresarial Gerenciamento da Infraestrutura
Segurana em escritrios, salas e instalaes de processamento de dadosA ISO 17799 recomenda que sejam elaborados projetos de reas de segurana que contemple escritrios fechados , e/ou salas que identifique ameaas como fogo, poeira, fumaa, vibrao, etc;Equipamentos devem ser instalados e protegidos para reduzir riscos de ameaas e oportunidades de acesso no autorizados;
Segurana de equipamentos: os equipamentos tm
