You are on page 1of 100

Auditoria em

Tecnologia da
Informao
Por Andr Campos
Especialista em Segurana da Informao (UNESA)
Especialista em Gesto Estratgica de Tecnologia da Informao (UFRJ)
MCSO Mdulo Security Office
Auditor Lder BS 7799 Det Norske Veritas
Autor do livro: Sistema de Segurana da Informao Controlando riscos.
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com segurana da informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos
autorais, ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Crdito das imagens
Diversas figuras foram obtidas a partir do acesso pblico permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alterao foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra Sistema de Segurana da Informao Controlando
Riscos.
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no visam a obteno de
lucro.
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Bibliografia
Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Ativo de informao
Ameaa
Vulnerabilidade
Incidente
Probabilidade
Impacto
Risco
Incidente
5
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Ativo de informao
A informao elemento essencial para todos os
processos de negcio da organizao, sendo,
portanto, um bem ou ativo de grande valor.
DADOS INFORMAO CONHECIMENTO
6
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Propriedades de segurana da informao
I
N
T
E
G
R
I
D
A
D
E
DISPONIBILIDADE
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
E
A segurana da
informao garantida
pela preservao de
trs aspectos
essenciais:
confidencialidade,
integridade, e
disponibilidade (CID).
7
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Confidencialidade
O princpio da
confidencialidade
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso informao.
8
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Integridade
O princpio da
integridade
respeitado quando a
informao acessada
est completa, sem
alteraes e, portanto,
confivel.
9
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Disponibilidade
O princpio da
disponibilidade
respeitado quando a
informao est
acessvel, por pessoas
autorizadas, sempre
que necessrio.
10
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Vulnerabilidade
So as fraquezas
presentes nos ativos de
informao, que podem
causar, intencionalmente
ou no, a quebra de um
ou mais dos trs
princpios de segurana
da informao:
confidencialidade,
integridade, e
disponibilidade.
11
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Ameaa
A ameaa um agente
externo ao ativo de
informao, que
aproveitando-se das
vulnerabilidades deste
ativo, poder quebrar a
confidencialidade,
integridade ou
disponibilidade da
informao suportada ou
utilizada por este ativo.
12
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Probabilidade
A probabilidade a
chance de uma falha de
segurana ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negcio e o
grau das ameaas que
possam explorar estas
vulnerabilidades.
13
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Impacto
O impacto de um
incidente so as
potenciais
conseqncias que este
incidente possa causar
ao negcio da
organizao.
14
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
O risco a relao entre a probabilidade e o
impacto. a base para a identificao dos
pontos que demandam por investimentos em
segurana da informao.
15
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conceitos bsicos de SI
Incidente de Segurana da Informao
16
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Quando uma ameaa
explora vulnerabilidades
de um ativo de
informao, violando
uma de suas
caractersticas de
segurana (CID), temos
o incidente de
segurana da
informao. Este
incidente tem uma
chance de acontecer, e
se acontecer gera um
determinado impacto ou
prejuzo.
Incidente de segurana
Negcio da organizao
Informao
Ativos de informao
Vulnerabilidades Ameaas
Confidencialidade
Integridade
Disponibilidade
Grau
vulnerabilidade
Grau ameaa
PROBABILIDADE IMPACTO
Como implementar um sistema de segurana
Conhecer os conceitos
sobre segurana da
informao no significa
necessariamente saber
garantir esta segurana.
Muitos tm experimentado
esta sensao quando
elaboram seus planos de
segurana e acabam no
atingindo os resultados
desejados.
17
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
Um gerente de segurana da
informao de verdade trabalha com
fatos, com resultados de anlise e
exames da organizao em questo.
A partir destes resultados ele
estabelece um conjunto de aes
coordenadas no sentido de garantir a
segurana da informao; um
conjunto de aes, um conjunto de
mecanismos integrados entre si, de
fato, um sistema de segurana da
informao.
18
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
A implantao de um
sistema de segurana da
informao no uma
tarefa trivial.
O modelo proposto pela
Qualidade (famlia ISO)
o caminho adequado
superar este desafio.
Este modelo baseado
no conceito de melhoria
contnua (PDCA).
Planejar
(PLAN)
Implementar
(DO)
Monitorar
(CHECK)
Melhorar
(ACT)
19
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
A primeira fase de planejamento (PLAN). Nesta fase,
definido o escopo e abrangncia esperada para o sistema
de segurana da informao, e realizada a anlise de risco,
e feito o planejamento para o tratamento do risco.
Defini o
do esc opo
Anlise
do risc o
Planejamento de
tratamento do risc o
20
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
Escopo
ORGANIZAO
Vendas
Recursos Humanos
Produo
Tecnologia da
Informao
Escopo inicial.
Escopo ampliado.
Escopo final.
Nem sempre fcil
implantar o sistema em
toda a organizao. Por
isso, definir escopos
sucessivamente
maiores talvez seja o
caminho para se chegar
ao objetivo final:
segurana da
informao em toda a
organizao.
21
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
Anlise de risco
Manter
servios de
rede
Firewall
Tecnologia da
informao
Servidor de
arquivos
Servidor de
correio
Invasor
interno
Variao
de
energia
Vrus
Invasor
externo
Bloqueio
portas TCP
Nobreak
Sistema
antivrus
Controle
de acesso
fsico
M

d
i
o
A
l
t
o
Mdio
Depois do escopo definido, a
hora de pensar que controles
implementar.
Para otimizar esta deciso
imprescindvel realizar a anlise
de risco. Ela apontar para as
prioridades dentro do escopo.
A anlise deve ser feita
considerando as seguintes
dimenses: processos,
tecnolgica, ambiental, e
pessoas.
22
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
23
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Anlise de risco
Como implementar um sistema de segurana
Anlise de risco
Os processos,
tecnologias, ambientes e
pessoas so, de fato,
ativos de informao; ou
categorizaes destes
ativos.
As pessoas ocupam uma
posio central entre
estas categorias, pois
sua importncia maior
do que a das outras.
24
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
O que fazer com o risco?
Com o risco j identificado,
importante decidir o que fazer
com ele. possvel:
Evitar
Controlar
Transferir
Aceitar
Isto fica claro na declarao
de aplicabilidade.
25
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
Declarao de aplicabilidade
26
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Como implementar um sistema de segurana
Implementando o sistema
Aps a etapa de planejamento, o prximo passo executar
o planejado. Isto envolve o planejamento da fase de
implementao, a execuo e o controle da implementao,
e por fim, o encerramento da implementao.
Planejar a
implementao
Implementar
Encerrar a
implementao
Controlar a
implementao
27
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Monitorando o sistema de segurana
28
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Monitorar
controles
Reavaliar
sistema
Reavaliar
riscos
Realizar
auditorias
Realizar
registros
O monitoramento ou
controle do sistema
implica em avaliar
sistematicamente se os
controles implementados
esto atendendo as
expectativas originais.
Para tanto, os processos
ao lado precisam ser
executados com
regularidade.
Controles de segurana da informao
A implementao de um
sistema de segurana da
informao se d pela
instalao de controles
especficos nas mais
diversas reas da
organizao, sempre
pensando nas dimenses
de processos,
tecnologias, ambientes e
pessoas.
29
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Controles de segurana da informao
30
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Poltica (PSI)
Estrutura organizacional
Controle de acesso
Pessoas
Segurana fsica
Segurana lgica
Operao de sistemas
Desenvolvimento de
sistemas
Continuidade do negcio
Incidentes de segurana
Aspectos legais
Poltica de segurana
da informao
31
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Controles de segurana da informao
Poltica
D
I
R
E
T
R
I
Z
E
S
N
O
R
M
A
S
P
R
O
C
E
D
I
M
E
N
T
O
S
D1
N2 N3 N1
P4 P5 P3 P2 P1 P6 P7
A poltica de
segurana da
informao (PSI)
deve estar alinhada
com os objetivos de
negcio da
organizao.
Ela estruturada em
diretrizes, normas e
procedimentos.
32
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Controles de segurana da informao
Poltica
33
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Estabelecer o
mtodo de
trabalho
Avaliar as
questes de
negcio, legais e
contratuais
Definir contexto
estratgico
e de risco
Construir a
poltica
Aprovar a
poltica
Divulgar a
poltica
Legislao
Regulamento interno
Contratos
Definies gerais
Objetivos e metas
Diretrizes
Responsabilidades
Definies de registro de incidente
Frequncia de reviso
Critrios de risco
Risco aceitvel
A elaborao e implantao
de uma poltica de segurana
sem si mesmo um projeto a
ser gerido.
Os passos essenciais so
demonstrados na figura ao
lado.
O governo federal est
obrigado por decreto a possuir
e respeitar uma poltica de
segurana, conforme Decreto
3.505 de 13 de junho de 2000.
Controles de segurana da informao
34
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Ser
simples
Definir
responsabilidades
Definir
metas
Definir
penalidades
Ser
consistente
Ser
objetiva
ACESSVEL
CONHECIDA
APROVADA
DINMICA
EXEQUVEL
F
A
T
O
R
E
S

I
N
T
E
R
N
O
S
F
A
T
O
R
E
S

E
X
T
E
R
N
O
S
Poltica
A poltica possui
caractersticas, ou
fatores, internos e
externos, que
precisam ser
respeitados por
ocasio de sua
elaborao e
implantao.
Estrutura
organizacional
35
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Estrutura organizacional
Escritrio de segurana
ESCRITRIO DE
SEGURANA DA
INFORMACO
COMIT
COORDENADOR
Security Officer
IMPLEMENTAO
AUDITORIA
INTERNA
Deve haver uma rea designada
na organizao para cuidar da
segurana da informao em
tempo integral.
O escritrio de segurana
gerencia o sistema de
segurana e faz a interlocuo
entre o frum de segurana e o
comit gestor de segurana.
36
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Estrutura organizacional
Frum de segurana
D ire t o r d e R e c u rso s H u m a n o s
D ire t o r d e Te c n o lo g ia d a In f o rm a o
D ire t o r d e V e n d a s
D ire t o r d e P ro d u o
D ire t o r d e L o g st ic a
Re p re se n ta o e x e c u tiv a
O
R
G
A
N
I
Z
A

O
F RU M D E
SEG U RA N A D A
IN FO RM A O
O frum de segurana da informao quem decide, em ltima anlise,
sobre a implantao ou no dos controles de segurana da informao.
Este frum, em geral, a prpria diretoria da organizao, ou uma
comisso por ela indicada.
37
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Estrutura organizacional
Comit gestor
O comit gestor de
segurana da informao
uma estrutura matricial
formada por representantes
das reas mais relevantes
da organizao.
Este grupo ajuda a detectar
necessidades e a implantar
os controles.
A coordenao do grupo,
em geral, do Gerente de
Segurana.
38
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Classificao da
informao
39
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Classificao da informao
As informaes possuem
valor e usos diferenciados, e
portanto, precisam de graus
diferenciados de proteo.
Cada tipo de proteo possui
seu prprio custo, e classificar
a informao um esforo
para evitar o desperdcio de
investimento ao se tentar
proteger toda a informao.
40
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Classificao da informao
41
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A informao deve ser classificada em nvel
corporativo, e no por aplicao ou
departamento. Os principais benefcios so:
CID fortalecido pelos controles
implementados em toda a organizao;
O investimento em proteo otimizado;
A qualidade das decises aumentada, j
que as informaes so mais confiveis;
A organizao controla melhor suas
informaes e pode fazer uma re-anlise
peridica de seus processos e informaes.
Classificao da informao
Para comear, algumas perguntas:
Existe um patrocinador para o projeto
de classificao?
O que voc est tentando proteger, e
do qu?
Existe algum requerimento regulatrio
a ser considerado? (Decreto 4.554/2003)
O negcio entende sua
responsabilidade sobre a informao?
Existem recursos disponveis para o
projeto?
42
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Classificao da informao
A poltica de segurana da informao
deve contemplar as polticas de
classificao. Alguns critrios essenciais
precisam ser definidos nesta poltica:
As definies para cada uma das
classificaes;
Os critrios de segurana para cada
classificao, tanto em termos de dados
quanto em termos de software;
As responsabilidades e obrigaes de
cada grupo de indivduos responsvel pela
implementao da classificao e por seu
uso.
43
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Classificao da informao
Ainda, a poltica precisa estabelecer as
seguintes regras:
A informao um bem e precisa ser
protegido;
Os gerentes so proprietrios da
informao;
A rea de TI custodiante da
informao;
Obrigaes e responsabilidades para os
proprietrios da informao;
Propor um conjunto mnimo de controles
que devem ser estabelecidos.
44
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das pessoas
45
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto de pessoas
46
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
As pessoas so o elemento
central de um sistema de
segurana da informao.
Os incidentes de segurana da
informao sempre envolve
pessoas, quer no lado das
vulnerabilidades exploradas,
quer no lado das ameaas que
exploram estas
vulnerabilidades.
Pessoas so suscetveis
ataques de engenharia social.
Gesto de pessoas
A engenharia social a
forma de ataque mais
comum para este tipo de
ativo.
Engenharia social o
processo de mudar o
comportamento das
pessoas de modo que suas
aes sejam previsveis,
objetivando obter acesso a
informaes e sistemas no
autorizados.
47
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto de pessoas
Um ataque de engenharia
social realizado em trs
fases:
1 Levantamento de
informaes;
2 Seleo do alvo;
3 Execuo do ataque.
48
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto de pessoas
Devem ser criadas polticas
para aplicao antes do
contrato de pessoal.
Papis e
responsabilidades;
Seleo;
Termos e condies de
contratao.
49
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto de pessoas
Polticas para aplicao durante contrato de pessoal.
Responsabilidades da Direo;
Conscientizao e treinamento;
Processo disciplinar.
50
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto de pessoas
E polticas para aplicao no
encerramento do contrato de
pessoal.
Encerramento de
atividades;
Devoluo de ativos;
Retirada dos direitos de
acesso.
51
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Segurana fsica
52
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Segurana fsica
53
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
As polticas de segurana
fsica devem proteger os
ativos de informao que
sustentam os negcios da
organizao.
Atualmente a informao
est distribuda fisicamente
em equipamentos mveis,
tais como laptops, celulares,
PDAs, memory keys,
estaes de trabalho,
impressoras, telefones,
FAXs, entre outros.
Segurana fsica
54
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A segurana fsica precisa garantir a
segurana da informao para todos
estes ativos.
Esta segurana deve ser aplicada
para as seguintes categorias de
ativos:
Sistemas estticos, que so
instalaes em estruturas fixadas no
espao;
Sistemas mveis, que so aqueles
instalados em veculos ou
mecanismos mveis;
Sistemas portteis, que so
aqueles que podem ser operados
em qualquer lugar.
Segurana fsica
55
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Diversas ameaas que podem
explorar vulnerabilidades fsicas,
tais como:
Naturais Enchentes,
tempestades, erupes
vulcnicas, temperaturas
extremas, alta umidade...
Sistemas de apoio Comunicao
interrompida, falta de energia,
estouro em tubulaes...
Humanas Exploses, invases
fsicas, sabotagens, contaminao
qumica...
Eventos polticos Ataque
terrorista, espionagem, greves...
Segurana fsica
A segurana
fsica requer
que a rea
seja
protegida, e
uma forma
simples de
enxergar a
segurana
fsica
definindo
permetro de
segurana, ou
camadas de
acesso.
Sala dos computadores
servidores
Suporte operacional
Atendimento
ao cliente
Recepo
1 2
3
4
Porta, e
equipamento
para
digitao de
senha e
leitura de
impresso
digital
Porta, e
equipamento
para
digitao de
senha
Porta
Porta e
recepcionista
56
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Segurana fsica
57
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
As seguintes polticas de segurana fsica
devem ser consideradas:
Controle de entrada fsica;
Segurana em escritrios, salas e
instalaes;
Proteo contra ameaas externas e
naturais;
Proteo das reas crticas;
Acesso de pessoas externas;
Instalao e proteo dos equipamentos;
Equipamentos fora da organizao;
Estrutura de rede;
Manuteno dos equipamentos;
Reutilizao e alienao de equipamentos;
Remoo de propriedade.
Gesto das operaes
de TI
58
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
59
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
As operaes de TI
envolve o controle sobre
o hardware, mdias,
gesto de privilgios,
rede, segurana Internet,
mtodos de transmisso
de informaes, entre
outros.
O objetivo garantir o
CID em todas estas
operaes.
Polticas devem ser
criadas para este fim.
Gesto das operaes de TI
As responsabilidades
operacionais devem ser
atribudas, e
procedimentos precisam
ser escritos, aprovados e
publicados.
60
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
Os servios operacionais
de tecnologia da
informao prestados
por terceiros precisam
ser regulados e
devidamente
gerenciados.
61
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
A necessidade de
sistemas precisa ser
planejada de acordo com
as necessidades
demonstradas nos
processos de negcio.
Estes sistemas devem
passar por avaliao e
homologao antes da
entrada definitiva em
operao.
62
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
Uma poltica de cpia de
segurana (backup) deve
ser estabelecida.
As operaes de backup
precisam ser
gerenciadas.
63
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
A segurana das
operaes em rede um
importante fator a ser
considerado na poltica
de segurana da
informao.
64
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
Uma poltica para
manuseio de mdias
deve ser elaborada.
Questes tais como o
gerenciamento, o
descarte, procedimentos
para tratamento da
informao, e a
segurana para os
documentos de sistema,
so importantes nesta
poltica.
65
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
A troca de informaes
deve ser considerada.
Questes importantes
so: estabelecer
procedimentos para
troca de informaes,
mdias em trnsito,
mensagens eletrnicas,
sistemas de informaes
do negcio, entre outros.
66
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto das operaes de TI
67
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Por fim, importante considerar
o monitoramento de todas as
operaes em TI.
Para tanto, devem existir
registros de auditoria,
monitoramento do uso dos
sistemas, proteo das
informaes de registro (log),
registro de log tanto de operador
quanto de administrador, registro
em log das falhas, e mecanismo
de sincronizao dos relgios
das mquinas.
Controle de acesso
lgico
68
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Controle de acesso lgico
69
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
preciso elaborar uma
poltica de controle de
acesso, que apontar
para os requisitos de
negcio e para as regras
de controle de acesso.
Na idade mdia j existia
o conceito de controle de
acesso, quando uma
senha ou frase secreta
era a chave para entrar
em um determinado
recinto.
Controle de acesso lgico
O conceito de controle
de acesso baseia-se em
dois princpios:
1 Separao de
responsabilidades;
2 Privilgios mnimos.
70
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Controle de acesso lgico
71
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
O conceito de separao
de responsabilidades
implica na separao de
um determinado processo
de modo que cada parte
possa ser realizada por
uma pessoa diferente.
Isto obriga os
colaboradores a interagir
para concluir um
determinado processo,
diminuindo as chances de
fraudes.
Controle de acesso lgico
72
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
O conceito de privilgio
mnimo implica na concesso
apenas dos privilgios
mnimos necessrios para
que uma pessoa realize suas
atividades.
Isto evita o conhecimento de
outras possibilidades, que
eventualmente poderiam levar
a incidentes de segurana da
informao. H um termo em
ingls para este conceito:
need-to-know.
Controle de acesso lgico
73
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A poltica de controle de acesso deve
abranger pelo menos os seguintes
temas:
1 Definio dos requisitos de negcio
para controle de acesso;
2 Gerenciamento dos acessos pelos
usurios;
3 Definio das responsabilidades
dos usurios;
4 Controle de acesso rede;
5 Controle de acesso ao sistema
operacional;
6 Controle de acesso aos sistemas
de informao;
7 Computao mvel e trabalho
remoto.
Desenvolvimento e
aquisio de sistemas
74
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
75
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A segurana dos dados e
informaes em sistemas um
dos mais importantes objetivos de
um sistema de segurana da
informao.
Os procedimentos de
desenvolvimento destes sistemas
so uma questo vital para a
segurana, para a manuteno
do CID das informaes.
A poltica de desenvolvimento de
sistemas o mecanismos para
garantir estes resultados.
Aquisio, desenvolvimento e manuteno de sistemas
A aquisio de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
A utilizao de cdigos abertos
disponibilizados por comunidades
um dos perigos muitas vezes
ignorados.
A poltica de sistemas precisa
garantir a diminuio destas
vulnerabilidades.
76
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
O desenvolvimento e manuteno
de sistemas tambm contm
diversas vulnerabilidades.
Se no houver uma poltica
explicita que oriente este
desenvolvimento,
vulnerabilidades podero ser
introduzidas no levantamento de
requisitos, na construo do
projeto, e na implantao do
sistema.
77
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Aquisio, desenvolvimento e manuteno de sistemas
78
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A poltica de sistemas de informao
deve se preocupar com os seguintes
assuntos:
1 - Definio dos requisitos de
segurana para sistemas;
2 Processamento correto nas
aplicaes;
3 Controles criptogrficos;
4 - Segurana dos arquivos de
sistema;
5 Segurana nos processos de
desenvolvimento e manuteno;
6 Gesto das vulnerabilidades
tcnicas.
Gesto de incidentes
de segurana
79
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto dos incidentes de segurana da informao
Apesar de todos os
controles
implementados,
eventualmente ocorrero
incidentes de segurana
da informao.
Estes incidentes podem
ser uma indicao de
que alguns dos controles
no esto sendo
eficazes, e este um
bom motivo para
reavaliar os mesmos.
80
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Gesto dos incidentes de segurana da informao
A poltica de segurana
da informao deve se
preocupar com pelo
menos os seguintes
assuntos sobre gesto
de incidentes:
1 Notificao e registro
dos incidentes;
2 Tratamento dos
incidentes e melhoria
contnua.
81
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade
de negcio
82
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
O plano de continuidade de negcio
de fato uma poltica para que os
negcios da organizao no sejam
interrompidos por incidentes de
segurana da informao.
Isto significa que esta poltica deve
garantir a existncia de
procedimentos de preparao, teste,
e manuteno de aes especficas
para proteger os processos crticos
do negcio.
Um PCN constitudo de 5 fases.
83
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
1 - Iniciao e
gesto do
projeto.
Nesta fase so
estabelecidos o
gerente e a equipe
do projeto, que
elaboram o plano
deste projeto.
84
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
2 - Anlise de
impacto para o
negcio.
Nesta fase so
identificados os
tempos crticos dos
processos essenciais
da organizao, e
determinados os
tempos mximos de
tolerncia de parada
para estes processos
(downtime).
85
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
3 Estratgias de
recuperao.
Nesta fase so identificadas
e selecionadas as
alternativas adequadas de
recuperao para cada tipo
de incidente, respeitando os
tempos definidos na etapa
anterior (anlise de impacto
para o negcio).
86
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
4 Elaborao dos
planos.
Nesta fase so construdos
os documentos, os planos
de continuidade
propriamente ditos. Estes
documentos so resultados
da anlise de impacto para
o negcio, e estratgias de
recuperao.
87
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Plano de continuidade do negcio (PCN)
5 Teste, manuteno e
treinamento.
Nesta fase so
estabelecidos os processos
para teste das estratgias
de recuperao,
manuteno do PCN, e
garantia de que os
envolvidos esto cientes de
suas responsabilidades e
devidamente treinados nas
estratgias de recuperao.
88
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os
aspectos legais
89
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
90
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Todo o sistema de
segurana da informao,
com todos os seus
controles, deve estar em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e
com as eventuais
regulamentaes internas
da organizao, bem como
com as orientaes de
normatizao e
regulamentao do
mercado.
Conformidade com os aspectos legais
A poltica de segurana
precisa garantir que seja
avaliada a legislao
vigente, que existam
mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi
cometido, e que estes
procedimentos possibilitem
a preservao e coleta das
evidncias incriminatrias.
91
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
Os principais incidentes que
podem ter implicaes legais:
1 Viroses e cdigos
maliciosos;
2 Erro humano;
3 Ataques terroristas;
4 Acesso no autorizado;
5 Desastres naturais;
6 Mau funcionamento de
hardware e software;
7 Servios indisponveis.
92
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
93
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Mas como os crimes podem
envolver computadores?
Crime apoiado por
computador. Fraudes,
pornografia infantil, etc.
Crime especfico de
computador. DOS, sniffers,
roubo de senhas, etc.
Crimes em que o computador
um mero elemento. Lista de
clientes de traficantes, etc.
Vejamos alguns incidentes histricos...
Conformidade com os aspectos legais
Equity Funding. Considerado
o primeiro crime grande
envolvendo computadores. A
organizao usou seus
computadores para criar
falsos registros e outros
instrumentos para aumentar o
valor da organizao no
mercado.
Os auditores, que checavam
todas as evidencias nos
computadores ao invs de
avaliar as transaes reais,
foram enganados por muito
tempo.
94
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
412 Gang. Em 1982 um
grupo auto-intitulado
412 Gang ganhou fama
nacional nos Estados
Unidos quando derrubou
o servidor de banco de
dados do Memorial
Sloan Kettering Cancer
Center, e depois invadiu
os computadores de uma
organizao militar
chamada Los Alamos,
no Novo Mxico.
95
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
Kevin Mitnick. Sem dvida,
trata-se do mais famoso e
reconhecido hacker de todos
os tempos. Foi o mestre na arte
da engenharia social, tcnica
que empregou extensivamente
para obter acesso a muitos
sistemas de computores.
Hoje ele presta servios de
segurana da informao, e
seu site o
www.kevinmitnick.com.
96
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
97
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
A poltica de segurana deve
garantir procedimentos para
identificao e adequao
legislao vigente.
Isto inclui os direitos de
propriedade intelectual, a
proteo aos registros
organizacionais, a proteo de
dados e privacidade de
informaes pessoais, a
preveno de mau uso dos
recursos de processamento da
informao, e a regulamentao
dos controles de criptografia.
Conformidade com os aspectos legais
Conformidade entre as
polticas de segurana
da informao e
tambm a
conformidade tcnica.
Isto significa que
devem ser
consideradas as
polticas e normas de
segurana, e a
avaliao tcnica
destas normas.
98
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Conformidade com os aspectos legais
E finalmente as
questes referentes
auditoria.
A poltica deve garantir
que existam controles
de auditoria, e
proteo s
ferramentas de
auditoria, o que
garantir a
confiabilidade destas
ferramentas.
99
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Especialista em Segurana da Informao (UNESA)
Especialista em Gesto Estratgica de Tecnologia da Informao (UFRJ)
MCSO Mdulo Security Office
Auditor Lder BS 7799 Det Norske Veritas
Autor do livro: Sistema de Segurana da Informao Controlando riscos.
AUDITORIA EM
TECNOLOGIA DA
INFORMAO
Professor
Andr Campos