Anlise e Desenvolvimento de Sistemas

4 semestre B
Aula n 05 (26/02/13)
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e auditoria de sistemas
Seminrio

Sobre o seminrio, conforme falamos na ltima aula devemos observar o seguinte:

Data de Entrega da Parte Textual e da Apresentao com slides (PPT) do Grupo: 30 de
abril de 2014
Parte Textual deve observar e seguir o padro ABNT de Artigo Acadmico
Os grupos e seus respectivos temas so os que seguem abaixo:






O tema 9 est disponvel para algum grupo que no participou da aula anterior.

Grupo Tema do seminrio Representante do Grupo
1 Plano de Continuidade de Negcios; Erick
2 Politicas de Segurana da Informao Vandre
3 Governana de TI; Yuri
4 Auditoria de Sistemas; Luiz Gomes
5 Normas ISO de Segurana da Informao (27001 e 27002) Johnatha
6 ISO/EIC 15408 (Common Criteria) Nilson
7 ISO/IEC 27034 (Implementando Segurana em Desenvolvimento) Daniel
8 O comportamento humano face a Segurana da Informao A Engenharia Social Adriano Silva
9 Segurana no Ciclo de Vida de Desenvolvimento da Aplicao.
Resenha Critica

Sobre a Resenha Critica, conforme falamos na ltima aula devemos observar o
seguinte:
Este trabalho ser desenvolvido individualmente, cada aluno apresenta o seu e todos
devem ser originais e composto apenas pelo entendimento do prprio aluno.
Data de Entrega da Trabalho: 30 de abril de 2014.
Deve observar e seguir o padro ABNT para Resenha Critica.
Para alinhamento de todos sobre as diferenas de Resenha Critica e Resumo:
A resenha tambm conhecida como crtica um texto, de opinio, que procura fazer uma
avaliao elogiosa, construtiva ou negativa de um objeto sociocultural, como um show, um DVD,
um filme, um espetculo, um livro, etc.
Sua estrutura divide-se em duas partes, sendo a primeira um pequeno resumo ou viso geral do
autor do objeto avaliado. Na segunda parte, o resenhista desfila sua crtica, com critrio e
impessoalidade.
A resenha portanto no apenas um resumo. Este apenas um elemento da estrutura da resenha.
Alm disso se, por um lado, o resumo no admite o juzo valorativo, o comentrio, a crtica; a
resenha, por outro, exige tais elementos.

Segurana e auditoria de sistemas

Contedo Previsto
Organizando a segurana
Modelo de gesto corporativa de segurana
Comits de segurana

Introduo

As organizaes necessitam implantar um processo de
segurana da informao.
Que deve ser considerado como um dos ativos
intangveis de proteo de valor.
Ativos tangveis so os bens fsicos ou bens financeiros
Os ativos intangveis so aqueles que no podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.
Introduo
Bens Tangveis e Intangveis possuem valor:
Introduo
Intangveis Por exemplo: Marcas Globais
Introduo
Intangveis
Introduo

Os bens intangveis possuem
valor:
Introduo

Os ativos intangveis podem ser divididos em
aqueles que geram valor e aqueles que protegem o
valor.

Exemplos de ativo intangveis de
proteo de valor:
Gesto de Riscos
Exemplos de ativo intangveis de
proteo de valor:
Governana Corporativa
Exemplos de ativo intangveis de
proteo de valor:
Governana Corporativa
Exemplos de ativo intangveis de
proteo de valor:
Segurana da Informao
Introduo

Os bens intangveis possuem valor e devem ser
protegidos:

Convm que a direo estabelea uma clara orientao da politica, alinhada com os
objetivos de negcio e demonstre apoio e comprometimento com a segurana da
informao por meio da publicao e manuteno de uma poltica de segurana da
informao para toda a organizao.

NBR ISO/IEC 27002:2005
Motivao

Legislaes:
Setor Financeiro

Normas do
Banco Central


Normas da CVM

Motivao

Normas e Acordos Internacionais
Acordos da Basilia








Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Motivao

Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)


Motivao

Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Segurana e auditoria confiveis
Afeta empresas Brasileiras Com ADR
(American Depositary Receipts) na NYSE


Motivao

Adeso a Normas de Segurana da Informao
Pela conscientizao do empresrio e atitude madura
dos acionistas

Motivao

Por presso de organizaes maiores que por estarem
obrigadas a possurem uma estrutura de segurana da
informao tambm exigem o mesmo das
organizaes que esto em sua cadeia de valor.


Motivao

Movimentos setoriais
Projeto da ABNT 78:000.00-19 Informtica em Sade
baseada na NBR ISO/IEC27002


Motivao

Pesquisa
realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010

O que Politica de Segurana

Politicas de Segurana

As normas que abordam as Segurana, por exemplo a
NBR ISO 27002:2005 relacionam um srie de requisitos
para a elaborao de uma Politica de Segurana;
No existe a definio de um padro mnimo;
As empresas que j implantaram as politicas de
segurana da informao no consideraram todos os
requisitos da norma;
O que cada organizao dever adotar? Qual norma a
seguir?
Politicas de Segurana

Processos, estruturas conceituais, normas:
Processo de segurana da informao e gesto de riscos
NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006

Governana Corporativa e Governana de Segurana da
Informao
(Control Objectives for Information and related Technology)
(Information Technology Infrastructure Library)


NBR ISO/IEC 27001

a Norma Internacional que define os Requisitos para Sistemas de Gesto
de Segurana da Informao (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurana em seus ativos e adequar as necessidades a rea
de negcio.

Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Ir implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificao de sistema de gesto de segurana da informao;

NBR ISO/IEC 27001

Faz a abordagem da implementao segurana da Informao atravs de
processos que procura enfatizar aos usurios:
O entendimento dos requisitos e a necessidade de se ter uma poltica
da segurana da informao.
Implementar e operar controles para gerenciamento dos riscos
Monitorar o desempenho e a eficcia da poltica de segurana da
informao.
Promover a melhoria contnua.
NBR ISO/IEC 27001

Esta abordagem de processos feita com base na to conhecida estrutura
PDCA, conforme temos na figura abaixo:

http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
NBR ISO/IEC 27001

Esta abordagem de processos feita com base na to conhecida estrutura
PDCA:
Planejar: Definio do escopo do sistema de gerenciamento de segurana
da informao. Identificao de riscos, analisar e avaliar riscos, opes de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementao de controles, medio da eficcia dos controles.
Monitorar e revisar: Monitoramento e controle, revises peridicas no
sistema de segurana, conduzir auditorias internas, atualizar planos de
segurana.
Manter e melhorar: Implementar melhorias identificadas, tomar aes
corretivas e preventivas, aplicar lies aprendidas, comunicar as aes de
melhoria aos interessados.
NBR ISO/IEC 27001

Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, alm de trs anexos
informativos.
NBR ISO/IEC 27001

NBR ISO/IEC 27002

NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto de Segurana da
Informao, que tem como objetivo estabelecer diretrizes e princpios gerais
para iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao.
Tambm conhecida como uma norma para os cdigos de prticas para
gesto de segurana da informao. E refere-se a quais requisitos devem ser
implementados pela organizao, sendo tambm um guia que orienta a
utilizao dos controles de segurana.
NBR ISO/IEC 27002

NBR ISO/IEC 27002

NBR ISO/IEC 27002

Mapa Mental da
ISO 27002
ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002

Esta norma define diretrizes para suportar a interpretao e aplicao da segurana da informao na
rea de Medicina e Sade sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicao.

Ela especifica um conjunto de controles detalhados para a gesto de segurana da informao na rea
Mdica, fornecendo diretrizes das melhores prticas para segurana da informao nessa rea.

Com a implementao desta Norma, as organizaes de sade e outros depositrios de informaes
mdicas sero capazes de garantir um nvel mnimo de segurana, apropriado s circunstncias da sua
organizao e que vai manter a confidencialidade, integridade e disponibilidade das informaes de seus
pacientes.


ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002

Ela aplica-se as informaes de sade em todos os seus aspectos, sob qualquer formato (palavras e
nmeros, gravaes sonoras, desenhos, vdeo e imagens mdicas), independentemente do meio utilizado
para armazen-lo (impresso ou digital) ou transmiti-lo (manual, fax, atravs de redes de computadores
ou por via postal), e como informao deve ser sempre protegida apropriadamente.

Definio da Politica de Segurana

Viso metdica, criteriosa e tcnica em seu
desenvolvimento.
Envolve proposta de alteraes de configuraes de
equipamentos, na escolha de tecnologias, na definio de
responsabilidades, gerando politicas adequadas ao perfil
da organizao e aderente aos negcios que ela prtica e
alinhadas aos anseios dos seus proprietrios ou acionistas.
Definio da Politica de Segurana

Aspectos importantes a serem percebidos:
Conceito que as informaes so um ativo importante;
Envolvimento da alta direo em relao Segurana;
Responsabilidade formal dos colaboradores;
Definir padres para a manuteno da segurana.
Desenvolvimento da Politica

Criada antes de problemas ou aps para evitar reincidncias;
Previne problemas legais e mostra aderncia ao processo de
qualidade
O que precisa ser protegido esta alm do hardware e software;
Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
Recomenda-se a formao de um comit multidepartamental;
Catalogar e agrupar as informaes por categoria estabelecendo
os seus proprietrios

Desenvolvimento da Politica

Politicas e normas devem ser:
Simples;
Compreensveis (escritas de maneira clara e concisa)
Homologadas e assinadas pela alta direo
Estruturadas para permitir a implantao por fases
Alinhadas com as estratgias de negcios da empresa, padres e
procedimentos existentes;
Orientadas aos riscos (contra);
Flexveis (moldveis aos mudanas da tecnologia e dos negcios)
Protetores dos ativos de informao, priorizando os de maior valor e
importncia;
Positivas e no apenas concentradas em aes proibitivas ou punitivas.

Etapas para o Desenvolvimento

Pode ser dividida em quatro etapas:
Fase I Levantamento das Informaes
Fase II Desenvolvimento do Contedo da
Politica e Normas de Segurana
Fase III Elaborao dos Procedimentos de
Segurana da Informao
Fase IV Reviso, aprovao e implantao das
Politicas, Normas e Procedimentos da Segurana
da Informao

Fase I Levantamento das Informaes

Padres , normas e procedimentos de segurana em uso;
Entender necessidades e uso dos recursos da TI nos
negcios;
Obteno de informaes sobre ambientes de negcios:
Processos de negcios
Tendncias de mercado
Controles e reas de riscos
Obteno de informaes sobre o ambiente
tecnolgico:
Workflow entre ambientes
Redes de aplicaes
Plataformas computacionais
Fase II Desenvolvimento do contedo

Gerenciamento da poltica de segurana
Definio da SI, objetivos do gerenciamento, Fatores crticos de
sucesso, gerenciamento de verso e manuteno da politica,
referencia para outras politicas, padres e procedimentos.
Atribuio de regras e responsabilidades
Comit de SI, Dono das Informaes, rea de SI, Usurios da
informao, recursos humanos, auditoria interna
Critrios para a classificao das informaes
Introduo, classificando a informao, nveis de classificao,
reclassificao, armazenamento e descarte, armazenamento e
sadas.
Fase II Desenvolvimento do contedo

Procedimentos de segurana da informao
Classificao e tratamento da informao,
Notificao e Gerenciamento de incidentes de SI,
Processos disciplinar,
Aquisio e uso de software,
Proteo contra software malicioso,
Segurana e tratamento de mdias,
Uso de internet,
Uso de correio eletrnico,
Uso de recursos de TI,
Backup,
Fase II Desenvolvimento do contedo

Procedimentos de segurana da informao
Manuteno de testes e equipamentos,
Coleta e registro de falhas,
Gerenciamento e controle de rede,
Monitorao do uso e acesso aos sistemas,
Uso de controles de criptografia e gerenciamento de chaves,
Controle de Mudanas Operacionais,
Inventrio dos ativos de informao,
Controle de acesso fsico s reas sensveis,
Segurana Fsica e Superviso de visitantes e prestadores de
servio.
Fase III Elaborao dos Procedimentos

Pesquisa sobre as melhores prticas em SI adotadas no
mercado (Benchmarking);
Desenvolvimento de procedimentos e padres, para
discusso com a Alta Administrao, de acordo com as
melhores prticas de mercado e com as necessidades e
metas da organizao;
Formalizao dos procedimentos para integra-los s
polticas corporativas

Fase IV Reviso, Aprovao e Implantao

Reviso e aprovao das polticas, normas e procedimentos
de segurana da informao;
Efetiva implantao das polticas, normas e procedimentos
de segurana da informao por meio das seguintes
alternativas:
Atuao junto rea responsvel pela comunicao /
mkt (divulgar)
Divulgar as responsabilidades dos usurios e a
importncia das Politicas
Realizao de palestras para os executivos referentes
s politicas, normas e procedimentos de segurana

Modelo de Cronograma





Fatores Comuns nas Polticas

Especificao da Politica Finalidade, o que esperado, a
quem atinge;
Declarao da Alta Administrao Reafirma a toda
organizao o compromisso da alta direo com o documento
e seu cumprimento;
Autores / Patrocinadores da Poltica Quem
desenvolveu e que dever receber sugestes de melhorias,
duvidas, etc.;
Referncias a outras politicas, normas e procedimentos;
Procedimentos para requisio de excees
Poltica - No descrever em que condies, mas apenas o
procedimento / formulrio de solicitao



Fatores Comuns nas Polticas

Procedimentos para mudanas da poltica
Quem sero os responsveis e a metodologia para
estabelecer as novas revises;
Datas de Publicao, validade e reviso;




Pontos Crticos para o sucesso

Formalizao dos processos e instrues de trabalho
Utilizao de tecnologias capazes de prover segurana
Atribuio formal das responsabilidades e das respectivas
penalidades
Classificao das informaes
Treinamento e conscientizao constantes

Pontos Crticos para o sucesso

Estabelecer na politica um capitulo para destacar os
seguintes pontos:
Confidencialidade;
Integridade;
Disponibilidade;
Legalidade;
Auditabilidade;
No repudio.
Pontos Crticos para o sucesso

Tambm se recomendar desmembr-la em 4 grandes
aspectos:
Segurana Computacional Conceitos e tcnicas para
proteger o ambiente de TI contra incidentes;
Segurana Lgica Preveno contra acessos no
autorizados;
Segurana Fsica Procedimentos e recursos para
prevenir acessos a reas criticas
Continuidade dos negcios Procedimentos para
reduzir a um nvel aceitvel o risco de interrupo causada
por desastres e falhas (ISO 22031)

Caractersticas

Para ser efetiva a politica deve:
Ser verdadeira Exprimir o pensamento da empresa e ser
coerente com suas aes;
Ser complementada com a disponibilidade de
recursos Recursos materiais e humanos para sua plena
implantao;
Ser vlida para todos Deve ser cumprida por todos, do
Presidente ao estagirio;
Ser simples Fcil leitura e compreenso. Evite termos
tcnicos;
Comprometimento da Alta Direo Deve ser assinada
pelo mais alto executivo da empresa;
Treinamento, publicao e divulgao

Mudana da cultura atravs de:
Avisos (comunicao interna, e-mail, intranet) sobre o
esclarecimento dos principais pontos relativos as
responsabilidades;
Palestras de conscientizao / sensibilizao;
Elaborao de material promocional (endomarketing)
Treinamento direcionado (Financeiro, Comercial, etc.)
NBR ISO/IEC 27002
deve-se garantir que os usurios estejam cientes das ameaas e
preocupaes de segurana da informao e estejam equipados
para apoiar a poltica de segurana da organizao durante a
execuo normal de seu trabalho




Treinamento, publicao e divulgao

Para a disseminao das polticas, deve-se
considerar:
Uso de diferentes tipos de mdias;
Diferenciao dos tipos de treinamento , por exemplo,
bsico e avanado;
Orientao para os novos funcionrios (integrao);
Informativos sobre as atuais tendncias dos incidentes de
segurana
O elemento humano fundamental. Quem no participa
dos programas de treinamentos se torna o elo fraco da
corrente!
Treinamento, publicao e divulgao

O Programa de conscientizao precisa ser planejado,
implantado, mantido/corrigido e periodicamente
reavaliado. Deve englobar as seguintes fases:
Identificao do escopo, metas e objetivos;
Identificao dos instrutores;
Identificao do pblico alvo
Motivao dos funcionrios e da Alta Direo;
Administrao do programa;
Continuidade do programa;
Avaliao do programa.

Treinamento, publicao e divulgao

Modelo de Matriz de Treinamento


Treinamento, publicao e divulgao

responsabilidade da Alta Direo assegurar que todos os
usurios dos sistemas de informao da organizao
saibam como proteger os seus ativos (informaes,
hardware, software, etc.) e estejam de acordo com as
Polticas de Segurana desenvolvidas a partir desta
proposta de modelo.
Benefcios

Curto prazo:
Formalizao e documentao dos procedimentos de SI;
Implementao de novos procedimentos e controles de SI;
Preveno de acessos no autorizados, danos ou
interferncias nos negcios, mesmo em casos de falhas ou
desastres;
Maior segurana ao processo de negcios.




Benefcios

Mdio prazo:
Padronizao dos procedimentos de segurana
incorporados a rotina da Companhia;
Adaptao segura de novos processos de negcios;
Qualificao e quantificao dos sistemas de respostas a
incidentes;
Conformidade com padres de segurana como a NBR
ISO/IEC 27002.




Benefcios

Longo prazo:
Retorno sobre o investimento realizado pela reduo dos
problemas e incidentes de SI;
Consolidao da imagem corporativa associada Segurana
da Informao




Segurana e auditoria de sistemas

DVIDAS
FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio T. Poltica de Segurana
da Informao. 2 Edio. Rio de Janeiro: Cincia Moderna, 2009.





ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC
27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica
para a gesto de segurana da informao. ABNT, 2005.

http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-
iso-27002/

http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/

http://seguridad-de-la-informacion.blogspot.com.br/2008/11/la-seguridad-de-la-
informacion-en-el.html


REFERENCIAS