4 semestre B
Aula n 05 (26/02/13)
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e auditoria de sistemas
Seminrio
Sobre o seminrio, conforme falamos na ltima aula devemos observar o seguinte:
Data de Entrega da Parte Textual e da Apresentao com slides (PPT) do Grupo: 30 de
abril de 2014
Parte Textual deve observar e seguir o padro ABNT de Artigo Acadmico
Os grupos e seus respectivos temas so os que seguem abaixo:
O tema 9 est disponvel para algum grupo que no participou da aula anterior.
Grupo Tema do seminrio Representante do Grupo
1 Plano de Continuidade de Negcios; Erick
2 Politicas de Segurana da Informao Vandre
3 Governana de TI; Yuri
4 Auditoria de Sistemas; Luiz Gomes
5 Normas ISO de Segurana da Informao (27001 e 27002) Johnatha
6 ISO/EIC 15408 (Common Criteria) Nilson
7 ISO/IEC 27034 (Implementando Segurana em Desenvolvimento) Daniel
8 O comportamento humano face a Segurana da Informao A Engenharia Social Adriano Silva
9 Segurana no Ciclo de Vida de Desenvolvimento da Aplicao.
Resenha Critica
Sobre a Resenha Critica, conforme falamos na ltima aula devemos observar o
seguinte:
Este trabalho ser desenvolvido individualmente, cada aluno apresenta o seu e todos
devem ser originais e composto apenas pelo entendimento do prprio aluno.
Data de Entrega da Trabalho: 30 de abril de 2014.
Deve observar e seguir o padro ABNT para Resenha Critica.
Para alinhamento de todos sobre as diferenas de Resenha Critica e Resumo:
A resenha tambm conhecida como crtica um texto, de opinio, que procura fazer uma
avaliao elogiosa, construtiva ou negativa de um objeto sociocultural, como um show, um DVD,
um filme, um espetculo, um livro, etc.
Sua estrutura divide-se em duas partes, sendo a primeira um pequeno resumo ou viso geral do
autor do objeto avaliado. Na segunda parte, o resenhista desfila sua crtica, com critrio e
impessoalidade.
A resenha portanto no apenas um resumo. Este apenas um elemento da estrutura da resenha.
Alm disso se, por um lado, o resumo no admite o juzo valorativo, o comentrio, a crtica; a
resenha, por outro, exige tais elementos.
Segurana e auditoria de sistemas
Contedo Previsto
Organizando a segurana
Modelo de gesto corporativa de segurana
Comits de segurana
Introduo
As organizaes necessitam implantar um processo de
segurana da informao.
Que deve ser considerado como um dos ativos
intangveis de proteo de valor.
Ativos tangveis so os bens fsicos ou bens financeiros
Os ativos intangveis so aqueles que no podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.
Introduo
Bens Tangveis e Intangveis possuem valor:
Introduo
Intangveis Por exemplo: Marcas Globais
Introduo
Intangveis
Introduo
Os bens intangveis possuem
valor:
Introduo
Os ativos intangveis podem ser divididos em
aqueles que geram valor e aqueles que protegem o
valor.
Exemplos de ativo intangveis de
proteo de valor:
Gesto de Riscos
Exemplos de ativo intangveis de
proteo de valor:
Governana Corporativa
Exemplos de ativo intangveis de
proteo de valor:
Governana Corporativa
Exemplos de ativo intangveis de
proteo de valor:
Segurana da Informao
Introduo
Os bens intangveis possuem valor e devem ser
protegidos:
Convm que a direo estabelea uma clara orientao da politica, alinhada com os
objetivos de negcio e demonstre apoio e comprometimento com a segurana da
informao por meio da publicao e manuteno de uma poltica de segurana da
informao para toda a organizao.
NBR ISO/IEC 27002:2005
Motivao
Legislaes:
Setor Financeiro
Normas do
Banco Central
Normas da CVM
Motivao
Normas e Acordos Internacionais
Acordos da Basilia
Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Motivao
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Motivao
Normas e Acordos Internacionais
Lei Sarbanes Oxley (SOX)
Segurana e auditoria confiveis
Afeta empresas Brasileiras Com ADR
(American Depositary Receipts) na NYSE
Motivao
Adeso a Normas de Segurana da Informao
Pela conscientizao do empresrio e atitude madura
dos acionistas
Motivao
Por presso de organizaes maiores que por estarem
obrigadas a possurem uma estrutura de segurana da
informao tambm exigem o mesmo das
organizaes que esto em sua cadeia de valor.
Motivao
Movimentos setoriais
Projeto da ABNT 78:000.00-19 Informtica em Sade
baseada na NBR ISO/IEC27002
Motivao
Pesquisa
realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010
O que Politica de Segurana
Politicas de Segurana
As normas que abordam as Segurana, por exemplo a
NBR ISO 27002:2005 relacionam um srie de requisitos
para a elaborao de uma Politica de Segurana;
No existe a definio de um padro mnimo;
As empresas que j implantaram as politicas de
segurana da informao no consideraram todos os
requisitos da norma;
O que cada organizao dever adotar? Qual norma a
seguir?
Politicas de Segurana
Processos, estruturas conceituais, normas:
Processo de segurana da informao e gesto de riscos
NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006
Governana Corporativa e Governana de Segurana da
Informao
(Control Objectives for Information and related Technology)
(Information Technology Infrastructure Library)
NBR ISO/IEC 27001
a Norma Internacional que define os Requisitos para Sistemas de Gesto
de Segurana da Informao (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurana em seus ativos e adequar as necessidades a rea
de negcio.
Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Ir implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificao de sistema de gesto de segurana da informao;
NBR ISO/IEC 27001
Faz a abordagem da implementao segurana da Informao atravs de
processos que procura enfatizar aos usurios:
O entendimento dos requisitos e a necessidade de se ter uma poltica
da segurana da informao.
Implementar e operar controles para gerenciamento dos riscos
Monitorar o desempenho e a eficcia da poltica de segurana da
informao.
Promover a melhoria contnua.
NBR ISO/IEC 27001
Esta abordagem de processos feita com base na to conhecida estrutura
PDCA, conforme temos na figura abaixo:
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
NBR ISO/IEC 27001
Esta abordagem de processos feita com base na to conhecida estrutura
PDCA:
Planejar: Definio do escopo do sistema de gerenciamento de segurana
da informao. Identificao de riscos, analisar e avaliar riscos, opes de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementao de controles, medio da eficcia dos controles.
Monitorar e revisar: Monitoramento e controle, revises peridicas no
sistema de segurana, conduzir auditorias internas, atualizar planos de
segurana.
Manter e melhorar: Implementar melhorias identificadas, tomar aes
corretivas e preventivas, aplicar lies aprendidas, comunicar as aes de
melhoria aos interessados.
NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, alm de trs anexos
informativos.
NBR ISO/IEC 27001
NBR ISO/IEC 27002
NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto de Segurana da
Informao, que tem como objetivo estabelecer diretrizes e princpios gerais
para iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao.
Tambm conhecida como uma norma para os cdigos de prticas para
gesto de segurana da informao. E refere-se a quais requisitos devem ser
implementados pela organizao, sendo tambm um guia que orienta a
utilizao dos controles de segurana.
NBR ISO/IEC 27002
NBR ISO/IEC 27002
NBR ISO/IEC 27002
Mapa Mental da
ISO 27002
ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretao e aplicao da segurana da informao na
rea de Medicina e Sade sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicao.
Ela especifica um conjunto de controles detalhados para a gesto de segurana da informao na rea
Mdica, fornecendo diretrizes das melhores prticas para segurana da informao nessa rea.
Com a implementao desta Norma, as organizaes de sade e outros depositrios de informaes
mdicas sero capazes de garantir um nvel mnimo de segurana, apropriado s circunstncias da sua
organizao e que vai manter a confidencialidade, integridade e disponibilidade das informaes de seus
pacientes.
ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Ela aplica-se as informaes de sade em todos os seus aspectos, sob qualquer formato (palavras e
nmeros, gravaes sonoras, desenhos, vdeo e imagens mdicas), independentemente do meio utilizado
para armazen-lo (impresso ou digital) ou transmiti-lo (manual, fax, atravs de redes de computadores
ou por via postal), e como informao deve ser sempre protegida apropriadamente.
Definio da Politica de Segurana
Viso metdica, criteriosa e tcnica em seu
desenvolvimento.
Envolve proposta de alteraes de configuraes de
equipamentos, na escolha de tecnologias, na definio de
responsabilidades, gerando politicas adequadas ao perfil
da organizao e aderente aos negcios que ela prtica e
alinhadas aos anseios dos seus proprietrios ou acionistas.
Definio da Politica de Segurana
Aspectos importantes a serem percebidos:
Conceito que as informaes so um ativo importante;
Envolvimento da alta direo em relao Segurana;
Responsabilidade formal dos colaboradores;
Definir padres para a manuteno da segurana.
Desenvolvimento da Politica
Criada antes de problemas ou aps para evitar reincidncias;
Previne problemas legais e mostra aderncia ao processo de
qualidade
O que precisa ser protegido esta alm do hardware e software;
Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
Recomenda-se a formao de um comit multidepartamental;
Catalogar e agrupar as informaes por categoria estabelecendo
os seus proprietrios
Desenvolvimento da Politica
Politicas e normas devem ser:
Simples;
Compreensveis (escritas de maneira clara e concisa)
Homologadas e assinadas pela alta direo
Estruturadas para permitir a implantao por fases
Alinhadas com as estratgias de negcios da empresa, padres e
procedimentos existentes;
Orientadas aos riscos (contra);
Flexveis (moldveis aos mudanas da tecnologia e dos negcios)
Protetores dos ativos de informao, priorizando os de maior valor e
importncia;
Positivas e no apenas concentradas em aes proibitivas ou punitivas.
Etapas para o Desenvolvimento
Pode ser dividida em quatro etapas:
Fase I Levantamento das Informaes
Fase II Desenvolvimento do Contedo da
Politica e Normas de Segurana
Fase III Elaborao dos Procedimentos de
Segurana da Informao
Fase IV Reviso, aprovao e implantao das
Politicas, Normas e Procedimentos da Segurana
da Informao
Fase I Levantamento das Informaes
Padres , normas e procedimentos de segurana em uso;
Entender necessidades e uso dos recursos da TI nos
negcios;
Obteno de informaes sobre ambientes de negcios:
Processos de negcios
Tendncias de mercado
Controles e reas de riscos
Obteno de informaes sobre o ambiente
tecnolgico:
Workflow entre ambientes
Redes de aplicaes
Plataformas computacionais
Fase II Desenvolvimento do contedo
Gerenciamento da poltica de segurana
Definio da SI, objetivos do gerenciamento, Fatores crticos de
sucesso, gerenciamento de verso e manuteno da politica,
referencia para outras politicas, padres e procedimentos.
Atribuio de regras e responsabilidades
Comit de SI, Dono das Informaes, rea de SI, Usurios da
informao, recursos humanos, auditoria interna
Critrios para a classificao das informaes
Introduo, classificando a informao, nveis de classificao,
reclassificao, armazenamento e descarte, armazenamento e
sadas.
Fase II Desenvolvimento do contedo
Procedimentos de segurana da informao
Classificao e tratamento da informao,
Notificao e Gerenciamento de incidentes de SI,
Processos disciplinar,
Aquisio e uso de software,
Proteo contra software malicioso,
Segurana e tratamento de mdias,
Uso de internet,
Uso de correio eletrnico,
Uso de recursos de TI,
Backup,
Fase II Desenvolvimento do contedo
Procedimentos de segurana da informao
Manuteno de testes e equipamentos,
Coleta e registro de falhas,
Gerenciamento e controle de rede,
Monitorao do uso e acesso aos sistemas,
Uso de controles de criptografia e gerenciamento de chaves,
Controle de Mudanas Operacionais,
Inventrio dos ativos de informao,
Controle de acesso fsico s reas sensveis,
Segurana Fsica e Superviso de visitantes e prestadores de
servio.
Fase III Elaborao dos Procedimentos
Pesquisa sobre as melhores prticas em SI adotadas no
mercado (Benchmarking);
Desenvolvimento de procedimentos e padres, para
discusso com a Alta Administrao, de acordo com as
melhores prticas de mercado e com as necessidades e
metas da organizao;
Formalizao dos procedimentos para integra-los s
polticas corporativas
Fase IV Reviso, Aprovao e Implantao
Reviso e aprovao das polticas, normas e procedimentos
de segurana da informao;
Efetiva implantao das polticas, normas e procedimentos
de segurana da informao por meio das seguintes
alternativas:
Atuao junto rea responsvel pela comunicao /
mkt (divulgar)
Divulgar as responsabilidades dos usurios e a
importncia das Politicas
Realizao de palestras para os executivos referentes
s politicas, normas e procedimentos de segurana
Modelo de Cronograma
Fatores Comuns nas Polticas
Especificao da Politica Finalidade, o que esperado, a
quem atinge;
Declarao da Alta Administrao Reafirma a toda
organizao o compromisso da alta direo com o documento
e seu cumprimento;
Autores / Patrocinadores da Poltica Quem
desenvolveu e que dever receber sugestes de melhorias,
duvidas, etc.;
Referncias a outras politicas, normas e procedimentos;
Procedimentos para requisio de excees
Poltica - No descrever em que condies, mas apenas o
procedimento / formulrio de solicitao
Fatores Comuns nas Polticas
Procedimentos para mudanas da poltica
Quem sero os responsveis e a metodologia para
estabelecer as novas revises;
Datas de Publicao, validade e reviso;
Pontos Crticos para o sucesso
Formalizao dos processos e instrues de trabalho
Utilizao de tecnologias capazes de prover segurana
Atribuio formal das responsabilidades e das respectivas
penalidades
Classificao das informaes
Treinamento e conscientizao constantes
Pontos Crticos para o sucesso
Estabelecer na politica um capitulo para destacar os
seguintes pontos:
Confidencialidade;
Integridade;
Disponibilidade;
Legalidade;
Auditabilidade;
No repudio.
Pontos Crticos para o sucesso
Tambm se recomendar desmembr-la em 4 grandes
aspectos:
Segurana Computacional Conceitos e tcnicas para
proteger o ambiente de TI contra incidentes;
Segurana Lgica Preveno contra acessos no
autorizados;
Segurana Fsica Procedimentos e recursos para
prevenir acessos a reas criticas
Continuidade dos negcios Procedimentos para
reduzir a um nvel aceitvel o risco de interrupo causada
por desastres e falhas (ISO 22031)
Caractersticas
Para ser efetiva a politica deve:
Ser verdadeira Exprimir o pensamento da empresa e ser
coerente com suas aes;
Ser complementada com a disponibilidade de
recursos Recursos materiais e humanos para sua plena
implantao;
Ser vlida para todos Deve ser cumprida por todos, do
Presidente ao estagirio;
Ser simples Fcil leitura e compreenso. Evite termos
tcnicos;
Comprometimento da Alta Direo Deve ser assinada
pelo mais alto executivo da empresa;
Treinamento, publicao e divulgao
Mudana da cultura atravs de:
Avisos (comunicao interna, e-mail, intranet) sobre o
esclarecimento dos principais pontos relativos as
responsabilidades;
Palestras de conscientizao / sensibilizao;
Elaborao de material promocional (endomarketing)
Treinamento direcionado (Financeiro, Comercial, etc.)
NBR ISO/IEC 27002
deve-se garantir que os usurios estejam cientes das ameaas e
preocupaes de segurana da informao e estejam equipados
para apoiar a poltica de segurana da organizao durante a
execuo normal de seu trabalho
Treinamento, publicao e divulgao
Para a disseminao das polticas, deve-se
considerar:
Uso de diferentes tipos de mdias;
Diferenciao dos tipos de treinamento , por exemplo,
bsico e avanado;
Orientao para os novos funcionrios (integrao);
Informativos sobre as atuais tendncias dos incidentes de
segurana
O elemento humano fundamental. Quem no participa
dos programas de treinamentos se torna o elo fraco da
corrente!
Treinamento, publicao e divulgao
O Programa de conscientizao precisa ser planejado,
implantado, mantido/corrigido e periodicamente
reavaliado. Deve englobar as seguintes fases:
Identificao do escopo, metas e objetivos;
Identificao dos instrutores;
Identificao do pblico alvo
Motivao dos funcionrios e da Alta Direo;
Administrao do programa;
Continuidade do programa;
Avaliao do programa.
Treinamento, publicao e divulgao
Modelo de Matriz de Treinamento
Treinamento, publicao e divulgao
responsabilidade da Alta Direo assegurar que todos os
usurios dos sistemas de informao da organizao
saibam como proteger os seus ativos (informaes,
hardware, software, etc.) e estejam de acordo com as
Polticas de Segurana desenvolvidas a partir desta
proposta de modelo.
Benefcios
Curto prazo:
Formalizao e documentao dos procedimentos de SI;
Implementao de novos procedimentos e controles de SI;
Preveno de acessos no autorizados, danos ou
interferncias nos negcios, mesmo em casos de falhas ou
desastres;
Maior segurana ao processo de negcios.
Benefcios
Mdio prazo:
Padronizao dos procedimentos de segurana
incorporados a rotina da Companhia;
Adaptao segura de novos processos de negcios;
Qualificao e quantificao dos sistemas de respostas a
incidentes;
Conformidade com padres de segurana como a NBR
ISO/IEC 27002.
Benefcios
Longo prazo:
Retorno sobre o investimento realizado pela reduo dos
problemas e incidentes de SI;
Consolidao da imagem corporativa associada Segurana
da Informao
Segurana e auditoria de sistemas
DVIDAS
FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio T. Poltica de Segurana
da Informao. 2 Edio. Rio de Janeiro: Cincia Moderna, 2009.
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC
27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica
para a gesto de segurana da informao. ABNT, 2005.
http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-
iso-27002/
http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/
http://seguridad-de-la-informacion.blogspot.com.br/2008/11/la-seguridad-de-la-
informacion-en-el.html
REFERENCIAS