Análise e Desenvolvimento de Sistemas

4º semestre B

Aula nº 05 (26/02/13)

Prof. Paulo Rangel

paulo.rangel@tyaro.com.br

Segurança e auditoria de sistemas

Seminário

Sobre o seminário, conforme falamos na última aula devemos observar o seguinte:

Data de Entrega da Parte Textual e da Apresentação com slides (PPT) do Grupo: 30 de abril de 2014

Parte Textual deve observar e seguir o padrão ABNT de Artigo Acadêmico

Os grupos e seus respectivos temas são os que seguem abaixo:

O tema 9 está disponível para algum grupo que não participou da aula anterior.

Grupo Tema do seminário Representante do Grupo

1 Plano de Continuidade de Negócios; Erick

2 Politicas de Segurança da Informação Vandre

3 Governança de TI; Yuri

4 Auditoria de Sistemas; Luiz Gomes

5 Normas ISO de Segurança da Informação (27001 e 27002) Johnatha

6 — ISO/EIC 15408 (Common Criteria) Nilson

7 — ISO/IEC 27034 (Implementando Segurança em Desenvolvimento) Daniel

8 O comportamento humano face a Segurança da Informação – A Engenharia Social Adriano Silva

9 Segurança no Ciclo de Vida de Desenvolvimento da Aplicação.

Resenha Critica

Sobre a Resenha Critica, conforme falamos na última aula devemos observar o

seguinte:

Este trabalho será desenvolvido individualmente, cada aluno apresenta o seu e todos

devem ser originais e composto apenas pelo entendimento do próprio aluno.

Data de Entrega da Trabalho: 30 de abril de 2014.

Deve observar e seguir o padrão ABNT para Resenha Critica.

Para alinhamento de todos sobre as diferenças de Resenha Critica e Resumo:

A resenha – também conhecida como crítica – é um texto, de opinião, que procura fazer uma

avaliação elogiosa, construtiva ou negativa de um objeto sociocultural, como um show, um DVD,

um filme, um espetáculo, um livro, etc.

Sua estrutura divide-se em duas partes, sendo a primeira um pequeno resumo ou visão geral do

autor do objeto avaliado. Na segunda parte, o resenhista desfila sua crítica, com critério e

impessoalidade.

A resenha portanto não é apenas um resumo. Este é apenas um elemento da estrutura da resenha.

Além disso se, por um lado, o resumo não admite o juízo valorativo, o comentário, a crítica; a

resenha, por outro, exige tais elementos.

Segurança e auditoria de sistemas

Conteúdo Previsto

Organizando a segurança

Modelo de gestão corporativa de segurança

Comitês de segurança

Introdução

As organizações necessitam implantar um processo de

segurança da informação.

Que deve ser considerado como um dos ativos

intangíveis de proteção de valor.

Ativos tangíveis são os bens físicos ou bens financeiros

Os ativos intangíveis são aqueles que não podem ser

materializados, mas que existem e possuem valor, por

exemplo: Marcas, Patentes, Capital Humano, etc.

Introdução

Bens Tangíveis e Intangíveis possuem valor:

Introdução

Intangíveis Por exemplo: Marcas Globais

Introdução

Intangíveis

Introdução

Os bens intangíveis possuem

valor:

Introdução

Os ativos intangíveis podem ser divididos em

aqueles que geram valor e aqueles que protegem o

valor.

Exemplos de ativo intangíveis de

proteção de valor:

Gestão de Riscos

Exemplos de ativo intangíveis de

proteção de valor:

Governança Corporativa

Exemplos de ativo intangíveis de

proteção de valor:

Governança Corporativa

Exemplos de ativo intangíveis de

proteção de valor:

Segurança da Informação

Introdução

Os bens intangíveis possuem valor e devem ser

protegidos:

Convém que a direção estabeleça uma clara orientação da politica, alinhada com os

objetivos de negócio e demonstre apoio e comprometimento com a segurança da

informação por meio da publicação e manutenção de uma política de segurança da

informação para toda a organização.

NBR ISO/IEC 27002:2005

Motivação

Legislações:

Setor Financeiro

Normas do

Banco Central

Normas da CVM

Motivação

Normas e Acordos Internacionais

Acordos da Basiléia

Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html

Motivação

Normas e Acordos Internacionais

Lei Sarbanes Oxley (SOX)

Motivação

Normas e Acordos Internacionais

Lei Sarbanes Oxley (SOX)

Segurança e auditoria confiáveis

Afeta empresas Brasileiras Com ADR

(American Depositary Receipts) na NYSE

Motivação

Adesão a Normas de Segurança da Informação

Pela conscientização do empresário e atitude madura

dos acionistas

Motivação

Por pressão de organizações maiores que por estarem

obrigadas a possuírem uma estrutura de segurança da

informação também exigem o mesmo das

organizações que estão em sua cadeia de valor.

Motivação

Movimentos setoriais

Projeto da ABNT – 78:000.00-19 – Informática em Saúde

baseada na NBR ISO/IEC27002

Motivação

Pesquisa

realizada

pela PWC

e CIO

Magazine

e CSO

Magazine

em 2010

O que é Politica de Segurança

Politicas de Segurança

As normas que abordam as Segurança, por exemplo a

NBR ISO 27002:2005 relacionam um série de requisitos

para a elaboração de uma Politica de Segurança;

Não existe a definição de um padrão mínimo;

As empresas que já implantaram as politicas de

segurança da informação não consideraram todos os

requisitos da norma;

O que cada organização deverá adotar? Qual norma a

seguir?

Politicas de Segurança

Processos, estruturas conceituais, normas:

Processo de segurança da informação e gestão de riscos

NBR ISO/IEC 27002:2005

NBR ISO/IEC 27001:2006

Governança Corporativa e Governança de Segurança da

Informação

(Control Objectives for Information and related Technology)

(Information Technology Infrastructure Library)

NBR ISO/IEC 27001

É a Norma Internacional que define os Requisitos para Sistemas de Gestão

de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim

mitigar riscos de segurança em seus ativos e adequar as necessidades a área

de negócio.

Tem um modelo focado em estabelecer, implantar, operar, monitorar,

rever, manter e melhorar um SGSI. Irá implementar os controles da ISO

27002. Norma publicada em outubro de 2005, substituindo a norma BS

7799-2 para certificação de sistema de gestão de segurança da informação;

NBR ISO/IEC 27001

Faz a abordagem da implementação segurança da Informação através de

processos que procura enfatizar aos usuários:

• O entendimento dos requisitos e a necessidade de se ter uma política

da segurança da informação.

• Implementar e operar controles para gerenciamento dos riscos

• Monitorar o desempenho e a eficácia da política de segurança da

informação.

• Promover a melhoria contínua.

NBR ISO/IEC 27001

Esta abordagem de processos é feita com base na tão conhecida estrutura

PDCA, conforme temos na figura abaixo:

http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

NBR ISO/IEC 27001

Esta abordagem de processos é feita com base na tão conhecida estrutura

PDCA:

Planejar: Definição do escopo do sistema de gerenciamento de segurança

da informação. Identificação de riscos, analisar e avaliar riscos, opções de

tratamento de riscos entre outros.

Implementar e Operar: Plano para tratamento de riscos,

implementação de controles, medição da eficácia dos controles.

Monitorar e revisar: Monitoramento e controle, revisões periódicas no

sistema de segurança, conduzir auditorias internas, atualizar planos de

segurança.

Manter e melhorar: Implementar melhorias identificadas, tomar ações

corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de

melhoria aos interessados.

NBR ISO/IEC 27001

Esta norma possui 9 (nove)

capitulos, numerados de 0 a

8, além de três anexos

informativos.

NBR ISO/IEC 27001

NBR ISO/IEC 27002

NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da

Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais

para iniciar, implementar, manter e melhorar a gestão de segurança da informação em

uma organização”.

Também conhecida como uma norma para os códigos de práticas para

gestão de segurança da informação. E refere-se a quais requisitos devem ser

implementados pela organização, sendo também um guia que orienta a

utilização dos controles de segurança.

NBR ISO/IEC 27002

NBR ISO/IEC 27002

NBR ISO/IEC 27002

Mapa Mental da

ISO 27002

ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002

Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na

área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua

aplicação.

Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área

Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.

Com a implementação desta Norma, as organizações de saúde e outros depositários de informações

médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua

organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus

pacientes.

ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002

Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e

números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado

para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores

ou por via postal), e como informação deve ser sempre protegida apropriadamente.

Definição da Politica de Segurança

Visão metódica, criteriosa e técnica em seu

desenvolvimento.

Envolve proposta de alterações de configurações de

equipamentos, na escolha de tecnologias, na definição de

responsabilidades, gerando politicas adequadas ao perfil

da organização e aderente aos negócios que ela prática e

alinhadas aos anseios dos seus proprietários ou acionistas.

Definição da Politica de Segurança

Aspectos importantes a serem percebidos:

Conceito que as informações são um ativo importante;

Envolvimento da alta direção em relação à Segurança;

Responsabilidade formal dos colaboradores;

Definir padrões para a manutenção da segurança.

Desenvolvimento da Politica

Criada antes de problemas ou após para evitar reincidências;

Previne problemas legais e mostra aderência ao processo de

qualidade

O que precisa ser protegido esta além do hardware e software;

Backup, propriedade intelectual e respostas a incidentes devem

ser considerados;

Recomenda-se a formação de um comitê multidepartamental;

Catalogar e agrupar as informações por categoria estabelecendo

os seus proprietários

Desenvolvimento da Politica

Politicas e normas devem ser:

Simples;

Compreensíveis (escritas de maneira clara e concisa)

Homologadas e assinadas pela alta direção

Estruturadas para permitir a implantação por fases

Alinhadas com as estratégias de negócios da empresa, padrões e

procedimentos existentes;

Orientadas aos riscos (contra);

Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)

Protetores dos ativos de informação, priorizando os de maior valor e

importância;

Positivas e não apenas concentradas em ações proibitivas ou punitivas.

Etapas para o Desenvolvimento

Pode ser dividida em quatro etapas:

Fase I – Levantamento das Informações

Fase II – Desenvolvimento do Conteúdo da

Politica e Normas de Segurança

Fase III –Elaboração dos Procedimentos de

Segurança da Informação

Fase IV – Revisão, aprovação e implantação das

Politicas, Normas e Procedimentos da Segurança

da Informação

Fase I Levantamento das Informações

Padrões , normas e procedimentos de segurança em uso;

Entender necessidades e uso dos recursos da TI nos

negócios;

Obtenção de informações sobre ambientes de negócios:

Processos de negócios

Tendências de mercado

Controles e áreas de riscos

Obtenção de informações sobre o ambiente

tecnológico:

Workflow entre ambientes

Redes de aplicações

Plataformas computacionais

Fase II Desenvolvimento do conteúdo

Gerenciamento da política de segurança

Definição da SI, objetivos do gerenciamento, Fatores críticos de

sucesso, gerenciamento de versão e manutenção da politica,

referencia para outras politicas, padrões e procedimentos.

Atribuição de regras e responsabilidades

Comitê de SI, Dono das Informações, Área de SI, Usuários da

informação, recursos humanos, auditoria interna

Critérios para a classificação das informações

Introdução, classificando a informação, níveis de classificação,

reclassificação, armazenamento e descarte, armazenamento e

saídas.

Fase II Desenvolvimento do conteúdo

Procedimentos de segurança da informação

Classificação e tratamento da informação,

Notificação e Gerenciamento de incidentes de SI,

Processos disciplinar,

Aquisição e uso de software,

Proteção contra software malicioso,

Segurança e tratamento de mídias,

Uso de internet,

Uso de correio eletrônico,

Uso de recursos de TI,

Backup,

Fase II Desenvolvimento do conteúdo

Procedimentos de segurança da informação

Manutenção de testes e equipamentos,

Coleta e registro de falhas,

Gerenciamento e controle de rede,

Monitoração do uso e acesso aos sistemas,

Uso de controles de criptografia e gerenciamento de chaves,

Controle de Mudanças Operacionais,

Inventário dos ativos de informação,

Controle de acesso físico às áreas sensíveis,

Segurança Física e Supervisão de visitantes e prestadores de

serviço.

Fase III Elaboração dos Procedimentos

Pesquisa sobre as melhores práticas em SI adotadas no

mercado (Benchmarking);

Desenvolvimento de procedimentos e padrões, para

discussão com a Alta Administração, de acordo com as

melhores práticas de mercado e com as necessidades e

metas da organização;

Formalização dos procedimentos para integra-los às

políticas corporativas

Fase IV Revisão, Aprovação e Implantação

Revisão e aprovação das políticas, normas e procedimentos

de segurança da informação;

Efetiva implantação das políticas, normas e procedimentos

de segurança da informação por meio das seguintes

alternativas:

Atuação junto á área responsável pela comunicação /

mkt (divulgar)

Divulgar as responsabilidades dos usuários e a

importância das Politicas

Realização de palestras para os executivos referentes

às politicas, normas e procedimentos de segurança

Modelo de Cronograma

Fatores Comuns nas Políticas

Especificação da Politica – Finalidade, o que é esperado, a quem atinge;

Declaração da Alta Administração – Reafirma a toda organização o compromisso da alta direção com o documento e seu cumprimento;

Autores / Patrocinadores da Política – Quem desenvolveu e que deverá receber sugestões de melhorias, duvidas, etc.;

Referências a outras politicas, normas e procedimentos; Procedimentos para requisição de exceções à

Política - Não descrever em que condições, mas apenas o procedimento / formulário de solicitação

Fatores Comuns nas Políticas

Procedimentos para mudanças da política

Quem serão os responsáveis e a metodologia para

estabelecer as novas revisões;

Datas de Publicação, validade e revisão;

Pontos Críticos para o sucesso

Formalização dos processos e instruções de trabalho

Utilização de tecnologias capazes de prover segurança

Atribuição formal das responsabilidades e das respectivas

penalidades

Classificação das informações

Treinamento e conscientização constantes

Pontos Críticos para o sucesso

Estabelecer na politica um capitulo para destacar os

seguintes pontos:

Confidencialidade;

Integridade;

Disponibilidade;

Legalidade;

Auditabilidade;

Não repudio.

Pontos Críticos para o sucesso

Também se recomendar desmembrá-la em 4 grandes aspectos:

Segurança Computacional – Conceitos e técnicas para proteger o ambiente de TI contra incidentes;

Segurança Lógica – Prevenção contra acessos não autorizados;

Segurança Física – Procedimentos e recursos para prevenir acessos a áreas criticas

Continuidade dos negócios – Procedimentos para reduzir a um nível aceitável o risco de interrupção causada por desastres e falhas (ISO 22031)

Características

Para ser efetiva a politica deve:

Ser verdadeira – Exprimir o pensamento da empresa e ser coerente com suas ações;

Ser complementada com a disponibilidade de recursos – Recursos materiais e humanos para sua plena implantação;

Ser válida para todos – Deve ser cumprida por todos, do Presidente ao estagiário;

Ser simples – Fácil leitura e compreensão. Evite termos técnicos;

Comprometimento da Alta Direção – Deve ser assinada pelo mais alto executivo da empresa;

Treinamento, publicação e divulgação

Mudança da cultura através de:

Avisos (comunicação interna, e-mail, intranet) sobre o esclarecimento dos principais pontos relativos as responsabilidades;

Palestras de conscientização / sensibilização;

Elaboração de material promocional (endomarketing)

Treinamento direcionado (Financeiro, Comercial, etc.)

NBR ISO/IEC 27002

“deve-se garantir que os usuários estejam cientes das ameaças e preocupações de segurança da informação e estejam equipados para apoiar a política de segurança da organização durante a execução normal de seu trabalho”

Treinamento, publicação e divulgação

Para a disseminação das políticas, deve-se considerar:

Uso de diferentes tipos de mídias;

Diferenciação dos tipos de treinamento , por exemplo, básico e avançado;

Orientação para os novos funcionários (integração);

Informativos sobre as atuais tendências dos incidentes de segurança

O elemento humano é fundamental. Quem não participa dos programas de treinamentos se torna o elo fraco da corrente!

Treinamento, publicação e divulgação

O Programa de conscientização precisa ser planejado,

implantado, mantido/corrigido e periodicamente

reavaliado. Deve englobar as seguintes fases:

Identificação do escopo, metas e objetivos;

Identificação dos instrutores;

Identificação do público alvo

Motivação dos funcionários e da Alta Direção;

Administração do programa;

Continuidade do programa;

Avaliação do programa.

Treinamento, publicação e divulgação

Modelo de Matriz de Treinamento

Treinamento, publicação e divulgação

É responsabilidade da Alta Direção assegurar que todos os

usuários dos sistemas de informação da organização

saibam como proteger os seus ativos (informações,

hardware, software, etc.) e estejam de acordo com as

Políticas de Segurança desenvolvidas a partir desta

proposta de modelo.

Benefícios

Curto prazo:

Formalização e documentação dos procedimentos de SI;

Implementação de novos procedimentos e controles de SI;

Prevenção de acessos não autorizados, danos ou

interferências nos negócios, mesmo em casos de falhas ou

desastres;

Maior segurança ao processo de negócios.

Benefícios

Médio prazo:

Padronização dos procedimentos de segurança

incorporados a rotina da Companhia;

Adaptação segura de novos processos de negócios;

Qualificação e quantificação dos sistemas de respostas a

incidentes;

Conformidade com padrões de segurança como a NBR

ISO/IEC 27002.

Benefícios

Longo prazo:

Retorno sobre o investimento realizado pela redução dos

problemas e incidentes de SI;

Consolidação da imagem corporativa associada à Segurança

da Informação

Segurança e auditoria de sistemas

DÚVIDAS

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.

http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/

http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/

http://seguridad-de-la-informacion.blogspot.com.br/2008/11/la-seguridad-de-la-informacion-en-el.html

REFERENCIAS