aula 5 - segurança e auditoria de sistemas - organizando a segurança - 1o sem 2014 turma b
TRANSCRIPT
Análise e Desenvolvimento de Sistemas
4º semestre B
Aula nº 05 (26/02/13)
Prof. Paulo Rangel
Segurança e auditoria de sistemas
Seminário
Sobre o seminário, conforme falamos na última aula devemos observar o seguinte:
Data de Entrega da Parte Textual e da Apresentação com slides (PPT) do Grupo: 30 de abril de 2014
Parte Textual deve observar e seguir o padrão ABNT de Artigo Acadêmico
Os grupos e seus respectivos temas são os que seguem abaixo:
O tema 9 está disponível para algum grupo que não participou da aula anterior.
Grupo Tema do seminário Representante do Grupo
1 Plano de Continuidade de Negócios; Erick
2 Politicas de Segurança da Informação Vandre
3 Governança de TI; Yuri
4 Auditoria de Sistemas; Luiz Gomes
5 Normas ISO de Segurança da Informação (27001 e 27002) Johnatha
6 — ISO/EIC 15408 (Common Criteria) Nilson
7 — ISO/IEC 27034 (Implementando Segurança em Desenvolvimento) Daniel
8 O comportamento humano face a Segurança da Informação – A Engenharia Social Adriano Silva
9 Segurança no Ciclo de Vida de Desenvolvimento da Aplicação.
Resenha Critica
Sobre a Resenha Critica, conforme falamos na última aula devemos observar o
seguinte:
Este trabalho será desenvolvido individualmente, cada aluno apresenta o seu e todos
devem ser originais e composto apenas pelo entendimento do próprio aluno.
Data de Entrega da Trabalho: 30 de abril de 2014.
Deve observar e seguir o padrão ABNT para Resenha Critica.
Para alinhamento de todos sobre as diferenças de Resenha Critica e Resumo:
A resenha – também conhecida como crítica – é um texto, de opinião, que procura fazer uma
avaliação elogiosa, construtiva ou negativa de um objeto sociocultural, como um show, um DVD,
um filme, um espetáculo, um livro, etc.
Sua estrutura divide-se em duas partes, sendo a primeira um pequeno resumo ou visão geral do
autor do objeto avaliado. Na segunda parte, o resenhista desfila sua crítica, com critério e
impessoalidade.
A resenha portanto não é apenas um resumo. Este é apenas um elemento da estrutura da resenha.
Além disso se, por um lado, o resumo não admite o juízo valorativo, o comentário, a crítica; a
resenha, por outro, exige tais elementos.
Segurança e auditoria de sistemas
Conteúdo Previsto
Organizando a segurança
Modelo de gestão corporativa de segurança
Comitês de segurança
Introdução
As organizações necessitam implantar um processo de
segurança da informação.
Que deve ser considerado como um dos ativos
intangíveis de proteção de valor.
Ativos tangíveis são os bens físicos ou bens financeiros
Os ativos intangíveis são aqueles que não podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.
Introdução
Bens Tangíveis e Intangíveis possuem valor:
Introdução
Intangíveis Por exemplo: Marcas Globais
Introdução
Intangíveis
Introdução
Os bens intangíveis possuem
valor:
Introdução
Os ativos intangíveis podem ser divididos em
aqueles que geram valor e aqueles que protegem o
valor.
Exemplos de ativo intangíveis de
proteção de valor:
Gestão de Riscos
Exemplos de ativo intangíveis de
proteção de valor:
Governança Corporativa
Exemplos de ativo intangíveis de
proteção de valor:
Governança Corporativa
Exemplos de ativo intangíveis de
proteção de valor:
Segurança da Informação
Introdução
Os bens intangíveis possuem valor e devem ser
protegidos:
Convém que a direção estabeleça uma clara orientação da politica, alinhada com os
objetivos de negócio e demonstre apoio e comprometimento com a segurança da
informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.
NBR ISO/IEC 27002:2005
Motivação
Legislações:
Setor Financeiro
Normas do
Banco Central
Normas da CVM
Motivação
Normas e Acordos Internacionais
Acordos da Basiléia
Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Motivação
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Motivação
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Segurança e auditoria confiáveis
Afeta empresas Brasileiras Com ADR
(American Depositary Receipts) na NYSE
Motivação
Adesão a Normas de Segurança da Informação
Pela conscientização do empresário e atitude madura
dos acionistas
Motivação
Por pressão de organizações maiores que por estarem
obrigadas a possuírem uma estrutura de segurança da
informação também exigem o mesmo das
organizações que estão em sua cadeia de valor.
Motivação
Movimentos setoriais
Projeto da ABNT – 78:000.00-19 – Informática em Saúde
baseada na NBR ISO/IEC27002
Motivação
Pesquisa
realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010
O que é Politica de Segurança
Politicas de Segurança
As normas que abordam as Segurança, por exemplo a
NBR ISO 27002:2005 relacionam um série de requisitos
para a elaboração de uma Politica de Segurança;
Não existe a definição de um padrão mínimo;
As empresas que já implantaram as politicas de
segurança da informação não consideraram todos os
requisitos da norma;
O que cada organização deverá adotar? Qual norma a
seguir?
Politicas de Segurança
Processos, estruturas conceituais, normas:
Processo de segurança da informação e gestão de riscos
NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006
Governança Corporativa e Governança de Segurança da
Informação
(Control Objectives for Information and related Technology)
(Information Technology Infrastructure Library)
NBR ISO/IEC 27001
É a Norma Internacional que define os Requisitos para Sistemas de Gestão
de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurança em seus ativos e adequar as necessidades a área
de negócio.
Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Irá implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificação de sistema de gestão de segurança da informação;
NBR ISO/IEC 27001
Faz a abordagem da implementação segurança da Informação através de
processos que procura enfatizar aos usuários:
• O entendimento dos requisitos e a necessidade de se ter uma política
da segurança da informação.
• Implementar e operar controles para gerenciamento dos riscos
• Monitorar o desempenho e a eficácia da política de segurança da
informação.
• Promover a melhoria contínua.
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA, conforme temos na figura abaixo:
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA:
Planejar: Definição do escopo do sistema de gerenciamento de segurança
da informação. Identificação de riscos, analisar e avaliar riscos, opções de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no
sistema de segurança, conduzir auditorias internas, atualizar planos de
segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações
corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de
melhoria aos interessados.
NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, além de três anexos
informativos.
NBR ISO/IEC 27001
NBR ISO/IEC 27002
NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização”.
Também conhecida como uma norma para os códigos de práticas para
gestão de segurança da informação. E refere-se a quais requisitos devem ser
implementados pela organização, sendo também um guia que orienta a
utilização dos controles de segurança.
NBR ISO/IEC 27002
NBR ISO/IEC 27002
NBR ISO/IEC 27002
Mapa Mental da
ISO 27002
ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na
área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicação.
Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área
Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.
Com a implementação desta Norma, as organizações de saúde e outros depositários de informações
médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua
organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus
pacientes.
ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002
Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e
números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado
para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores
ou por via postal), e como informação deve ser sempre protegida apropriadamente.
Definição da Politica de Segurança
Visão metódica, criteriosa e técnica em seu
desenvolvimento.
Envolve proposta de alterações de configurações de
equipamentos, na escolha de tecnologias, na definição de
responsabilidades, gerando politicas adequadas ao perfil
da organização e aderente aos negócios que ela prática e
alinhadas aos anseios dos seus proprietários ou acionistas.
Definição da Politica de Segurança
Aspectos importantes a serem percebidos:
Conceito que as informações são um ativo importante;
Envolvimento da alta direção em relação à Segurança;
Responsabilidade formal dos colaboradores;
Definir padrões para a manutenção da segurança.
Desenvolvimento da Politica
Criada antes de problemas ou após para evitar reincidências;
Previne problemas legais e mostra aderência ao processo de
qualidade
O que precisa ser protegido esta além do hardware e software;
Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
Recomenda-se a formação de um comitê multidepartamental;
Catalogar e agrupar as informações por categoria estabelecendo
os seus proprietários
Desenvolvimento da Politica
Politicas e normas devem ser:
Simples;
Compreensíveis (escritas de maneira clara e concisa)
Homologadas e assinadas pela alta direção
Estruturadas para permitir a implantação por fases
Alinhadas com as estratégias de negócios da empresa, padrões e
procedimentos existentes;
Orientadas aos riscos (contra);
Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)
Protetores dos ativos de informação, priorizando os de maior valor e
importância;
Positivas e não apenas concentradas em ações proibitivas ou punitivas.
Etapas para o Desenvolvimento
Pode ser dividida em quatro etapas:
Fase I – Levantamento das Informações
Fase II – Desenvolvimento do Conteúdo da
Politica e Normas de Segurança
Fase III –Elaboração dos Procedimentos de
Segurança da Informação
Fase IV – Revisão, aprovação e implantação das
Politicas, Normas e Procedimentos da Segurança
da Informação
Fase I Levantamento das Informações
Padrões , normas e procedimentos de segurança em uso;
Entender necessidades e uso dos recursos da TI nos
negócios;
Obtenção de informações sobre ambientes de negócios:
Processos de negócios
Tendências de mercado
Controles e áreas de riscos
Obtenção de informações sobre o ambiente
tecnológico:
Workflow entre ambientes
Redes de aplicações
Plataformas computacionais
Fase II Desenvolvimento do conteúdo
Gerenciamento da política de segurança
Definição da SI, objetivos do gerenciamento, Fatores críticos de
sucesso, gerenciamento de versão e manutenção da politica,
referencia para outras politicas, padrões e procedimentos.
Atribuição de regras e responsabilidades
Comitê de SI, Dono das Informações, Área de SI, Usuários da
informação, recursos humanos, auditoria interna
Critérios para a classificação das informações
Introdução, classificando a informação, níveis de classificação,
reclassificação, armazenamento e descarte, armazenamento e
saídas.
Fase II Desenvolvimento do conteúdo
Procedimentos de segurança da informação
Classificação e tratamento da informação,
Notificação e Gerenciamento de incidentes de SI,
Processos disciplinar,
Aquisição e uso de software,
Proteção contra software malicioso,
Segurança e tratamento de mídias,
Uso de internet,
Uso de correio eletrônico,
Uso de recursos de TI,
Backup,
Fase II Desenvolvimento do conteúdo
Procedimentos de segurança da informação
Manutenção de testes e equipamentos,
Coleta e registro de falhas,
Gerenciamento e controle de rede,
Monitoração do uso e acesso aos sistemas,
Uso de controles de criptografia e gerenciamento de chaves,
Controle de Mudanças Operacionais,
Inventário dos ativos de informação,
Controle de acesso físico às áreas sensíveis,
Segurança Física e Supervisão de visitantes e prestadores de
serviço.
Fase III Elaboração dos Procedimentos
Pesquisa sobre as melhores práticas em SI adotadas no
mercado (Benchmarking);
Desenvolvimento de procedimentos e padrões, para
discussão com a Alta Administração, de acordo com as
melhores práticas de mercado e com as necessidades e
metas da organização;
Formalização dos procedimentos para integra-los às
políticas corporativas
Fase IV Revisão, Aprovação e Implantação
Revisão e aprovação das políticas, normas e procedimentos
de segurança da informação;
Efetiva implantação das políticas, normas e procedimentos
de segurança da informação por meio das seguintes
alternativas:
Atuação junto á área responsável pela comunicação /
mkt (divulgar)
Divulgar as responsabilidades dos usuários e a
importância das Politicas
Realização de palestras para os executivos referentes
às politicas, normas e procedimentos de segurança
Modelo de Cronograma
Fatores Comuns nas Políticas
Especificação da Politica – Finalidade, o que é esperado, a quem atinge;
Declaração da Alta Administração – Reafirma a toda organização o compromisso da alta direção com o documento e seu cumprimento;
Autores / Patrocinadores da Política – Quem desenvolveu e que deverá receber sugestões de melhorias, duvidas, etc.;
Referências a outras politicas, normas e procedimentos; Procedimentos para requisição de exceções à
Política - Não descrever em que condições, mas apenas o procedimento / formulário de solicitação
Fatores Comuns nas Políticas
Procedimentos para mudanças da política
Quem serão os responsáveis e a metodologia para
estabelecer as novas revisões;
Datas de Publicação, validade e revisão;
Pontos Críticos para o sucesso
Formalização dos processos e instruções de trabalho
Utilização de tecnologias capazes de prover segurança
Atribuição formal das responsabilidades e das respectivas
penalidades
Classificação das informações
Treinamento e conscientização constantes
Pontos Críticos para o sucesso
Estabelecer na politica um capitulo para destacar os
seguintes pontos:
Confidencialidade;
Integridade;
Disponibilidade;
Legalidade;
Auditabilidade;
Não repudio.
Pontos Críticos para o sucesso
Também se recomendar desmembrá-la em 4 grandes aspectos:
Segurança Computacional – Conceitos e técnicas para proteger o ambiente de TI contra incidentes;
Segurança Lógica – Prevenção contra acessos não autorizados;
Segurança Física – Procedimentos e recursos para prevenir acessos a áreas criticas
Continuidade dos negócios – Procedimentos para reduzir a um nível aceitável o risco de interrupção causada por desastres e falhas (ISO 22031)
Características
Para ser efetiva a politica deve:
Ser verdadeira – Exprimir o pensamento da empresa e ser coerente com suas ações;
Ser complementada com a disponibilidade de recursos – Recursos materiais e humanos para sua plena implantação;
Ser válida para todos – Deve ser cumprida por todos, do Presidente ao estagiário;
Ser simples – Fácil leitura e compreensão. Evite termos técnicos;
Comprometimento da Alta Direção – Deve ser assinada pelo mais alto executivo da empresa;
Treinamento, publicação e divulgação
Mudança da cultura através de:
Avisos (comunicação interna, e-mail, intranet) sobre o esclarecimento dos principais pontos relativos as responsabilidades;
Palestras de conscientização / sensibilização;
Elaboração de material promocional (endomarketing)
Treinamento direcionado (Financeiro, Comercial, etc.)
NBR ISO/IEC 27002
“deve-se garantir que os usuários estejam cientes das ameaças e preocupações de segurança da informação e estejam equipados para apoiar a política de segurança da organização durante a execução normal de seu trabalho”
Treinamento, publicação e divulgação
Para a disseminação das políticas, deve-se considerar:
Uso de diferentes tipos de mídias;
Diferenciação dos tipos de treinamento , por exemplo, básico e avançado;
Orientação para os novos funcionários (integração);
Informativos sobre as atuais tendências dos incidentes de segurança
O elemento humano é fundamental. Quem não participa dos programas de treinamentos se torna o elo fraco da corrente!
Treinamento, publicação e divulgação
O Programa de conscientização precisa ser planejado,
implantado, mantido/corrigido e periodicamente
reavaliado. Deve englobar as seguintes fases:
Identificação do escopo, metas e objetivos;
Identificação dos instrutores;
Identificação do público alvo
Motivação dos funcionários e da Alta Direção;
Administração do programa;
Continuidade do programa;
Avaliação do programa.
Treinamento, publicação e divulgação
Modelo de Matriz de Treinamento
Treinamento, publicação e divulgação
É responsabilidade da Alta Direção assegurar que todos os
usuários dos sistemas de informação da organização
saibam como proteger os seus ativos (informações,
hardware, software, etc.) e estejam de acordo com as
Políticas de Segurança desenvolvidas a partir desta
proposta de modelo.
Benefícios
Curto prazo:
Formalização e documentação dos procedimentos de SI;
Implementação de novos procedimentos e controles de SI;
Prevenção de acessos não autorizados, danos ou
interferências nos negócios, mesmo em casos de falhas ou
desastres;
Maior segurança ao processo de negócios.
Benefícios
Médio prazo:
Padronização dos procedimentos de segurança
incorporados a rotina da Companhia;
Adaptação segura de novos processos de negócios;
Qualificação e quantificação dos sistemas de respostas a
incidentes;
Conformidade com padrões de segurança como a NBR
ISO/IEC 27002.
Benefícios
Longo prazo:
Retorno sobre o investimento realizado pela redução dos
problemas e incidentes de SI;
Consolidação da imagem corporativa associada à Segurança
da Informação
Segurança e auditoria de sistemas
DÚVIDAS
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.
http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/
http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/
http://seguridad-de-la-informacion.blogspot.com.br/2008/11/la-seguridad-de-la-informacion-en-el.html
REFERENCIAS