Auditoria e Segurança em TI
Click here to load reader
-
Upload
wagner-silva -
Category
Business
-
view
219 -
download
1
description
Transcript of Auditoria e Segurança em TI
Auditoria e Segurança em Tecnologia da Informação
Wagner Silva Gestão de Tecnologia da Informação
Segurança da Informação • A Informação existe em varias formas • Tem valor e necessita protegida • Crucial para o funcionamento de uma empresa
• As empresas estão mais vulneráveis às interrupções ou falhas • Quanto mais tempo, mais sérias são as consequências
• A Segurança da Informação é um problema organizacional e não tecnológico • Integração entre componentes de gestão e tecnologia • Envolve riscos e custos
Segurança da Informação Ciclo de Vida da Informação
Segurança da Informação Principais Aspectos • Confidencialidade: permissão de acesso apenas para
usuários autorizados
• Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida
• Disponibilidade: disponível sempre que requisitada
Segurança da Informação Demais aspectos
• Autenticação: garantir a identidade de um usuário
• Não-repúdio: capacidade de provar as ações executadas
• Legalidade: aderente à legislação
• Privacidade: quando necessário, garantir o anonimato
• Auditoria: capacidade de detectar fraudes ou tentativas de ataque
Segurança da Informação Ativo de Informação • Um ativo de informação é composto pela informação, o
meio que a suporta, que a mantém e que permite que ela exista, as pessoas que a manipulam e o ambiente onde ela está inserida:
• Aspectos Humanos
• Ambiente Físico
• Ambiente Lógico
• Controle de Acesso
Segurança da Informação Ativo de Informação
Fornecimento de TI corporativa • 75% do fornecimento de TI corporativa serão feitos por meio de
computação em nuvem até 2016
• Expectativas: • Redução de custos (68%), maior agilidade (59%) e melhorar os serviços
(55%)
• Principais barreiras: • Definição de SLAs (68%), conformidade com governança e
regulamentações (63%), gerenciamento de problemas com soberania de dados (62%) e identificação do parceiro estratégico adequado (62%)
• Aplicações: • CRM (71%), backup e armazenamento do banco de dados (67%) • Aplicações financeiras: menos prováveis de passarem por essa transição
• Capacidades: • Segurança (72%), SLAs (61%) e cargas de trabalho (59%)
Coleman Parkes Reserch, 2013
• Resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação.
• É uma parte do sistema global de gestão, baseado numa abordagem de risco, que permite definir, implementar, operacionalizar, monitorar, manter e melhorar a segurança da Informação.
• Considera, basicamente: • Os ativos que estão sendo protegidos • O gerenciamento de riscos • Os objetivos de controles e controles implementados
Sistema de Gestão de Segurança da Informação
• Composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente
• Avaliação de Risco: determina o nível de risco para a empresa caso uma atividade ou processo específico não sejam controlados adequadamente
• Política de Segurança: declaração que estabelece uma hierarquia para os riscos de informação e dentífrica metas de segurança aventáveis, assim como os mecanismos para atingi-las.
• Plano de recuperação de desastres: inclui estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos da natureza ou por ataques.
• Plano de continuidade dos negócios: concentra-se em como a empresa pode restaurar suas operações após um desastre.
Política de Segurança da Informação
Metodologias e Melhores Práticas em Segurança da Informação
• COBIT
• ITIL
• NBR ISO/IEC 27000
• 1995: Publicada a primeira versão da BS 7799-1 • 1998: Publicada a primeira versão da BS 7799-2 • 1999: Publicada a primeira revisão da BS 7799-1 • 2000: Publicada a primeira versão da ISO/IEC 17799 • 2001: Publicada a primeira versão da NBR ISO/IEC
17799 • 2002: Publicada revisão da BS 7799-2 • 2005: Publicada a segunda versão da NBR ISO/IEC
17799 • Publicada a primeira versão da ISO/IEC 27001
• 2006: 2001: Publicada a primeira versão da NBR ISO/IEC 27001
• 2007: Alteração do nome da NBR 17799 para NBR 27002
Segurança da Informação NBR ISO/IEC 27000
• Série de padrões relacionados a temática de Segurança da Informação
• Conjunto de normas desenvolvidas, que fornecem uma estrutura para gerenciamento de segurança da informação para qualquer organização, pública ou privada, grande ou pequeno porte.
• Melhores práticas sobre Gestão de Segurança da Informação e quais os requisitos e metodologias para implementá-la dentro de uma organização.
• Base de gestão de Segurança da Informação usada pelo COBIT,
ITIL e outras metodologias de Governança e Gestão de TI.
Segurança da Informação NBR ISO/IEC 27000
27001 Vocabulário e definições a serem utilizadas pelas restantes Normas
27002 Define boas práticas para a gestão da segurança da Informação
27003 Guia para a implementação de um SGSI
27004 Define métricas e meios de medição para Avaliar a eficácia de um SGSI
27005 Define linhas de orientação para a gestão do risco da segurança da Informação
27006 Guia para o processo de acreditação de entidades certificadoras
Segurança da Informação NBR ISO/IEC 27000
• Política de Segurança da Informação; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gestão das Operações e Comunicações; • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas
de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Continuidade do Negócio; • Conformidade.
Segurança da Informação NBR ISO/IEC 27002
Auditoria em Segurança da Informação
• Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade
• Compreender por completo as operações, instalações físicas, telecomunicações, sistemas de controle, objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e aplicações individuais da organização
• Lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos