Tecnologia da
Informao
Por Andr Campos
Especialista em Segurana da Informao (UNESA)
Especialista em Gesto Estratgica de Tecnologia da Informao (UFRJ)
MCSO Mdulo Security Office
Auditor Lder BS 7799 Det Norske Veritas
Autor do livro: Sistema de Segurana da Informao Controlando riscos.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com segurana da informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos
autorais, ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Crdito das imagens
Diversas figuras foram obtidas a partir do acesso pblico permitido pelo site www.images.com.
Estas imagens foram utilizadas em seu estado original, com 72DPI, e nenhuma alterao foi
aplicada sobre elas.
Algumas imagens foram obtidas da obra Sistema de Segurana da Informao Controlando
Riscos.
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no visam a obteno de
lucro.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Bibliografia
Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2005.
Official (ISC)2 Guide to the CISSP exam; Hansche, Susan / Berti,
John / Hare, Chris; Editora Auerbach, 2004.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Conceitos bsicos de SI
Ativo de informao
Ameaa
Vulnerabilidade
Incidente
Probabilidade
Impacto
Risco
Incidente
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Conceitos bsicos de SI
Ativo de informao
DADOS
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
INFORMAO
CONHECIMENTO
Conceitos bsicos de SI
CO
NF
ID
E
AD
EN
CI
AL
ID
RID
TEG
IN
A segurana da
informao garantida
pela preservao de
trs aspectos
essenciais:
confidencialidade,
integridade, e
disponibilidade (CID).
AD
E
DISPONIBILIDADE
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Conceitos bsicos de SI
Confidencialidade
O princpio da
confidencialidade
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso informao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Conceitos bsicos de SI
Integridade
O princpio da
integridade
respeitado quando a
informao acessada
est completa, sem
alteraes e, portanto,
confivel.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Conceitos bsicos de SI
Disponibilidade
O princpio da
disponibilidade
respeitado quando a
informao est
acessvel, por pessoas
autorizadas, sempre
que necessrio.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
10
Conceitos bsicos de SI
Vulnerabilidade
So as fraquezas
presentes nos ativos de
informao, que podem
causar, intencionalmente
ou no, a quebra de um
ou mais dos trs
princpios de segurana
da informao:
confidencialidade,
integridade, e
disponibilidade.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
11
Conceitos bsicos de SI
Ameaa
A ameaa um agente
externo ao ativo de
informao, que
aproveitando-se das
vulnerabilidades deste
ativo, poder quebrar a
confidencialidade,
integridade ou
disponibilidade da
informao suportada ou
utilizada por este ativo.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
12
Conceitos bsicos de SI
Probabilidade
A probabilidade a
chance de uma falha de
segurana ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negcio e o
grau das ameaas que
possam explorar estas
vulnerabilidades.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
13
Conceitos bsicos de SI
Impacto
O impacto de um
incidente so as
potenciais
conseqncias que este
incidente possa causar
ao negcio da
organizao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
14
Conceitos bsicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
15
Conceitos bsicos de SI
Incidente de Segurana da Informao
Quando uma ameaa
explora vulnerabilidades
de um ativo de
informao, violando
uma de suas
caractersticas de
segurana (CID), temos
o incidente de
segurana da
informao. Este
incidente tem uma
chance de acontecer, e
se acontecer gera um
determinado impacto ou
prejuzo.
Negcio da organizao
Confidencialidade
Incidente de segurana
Informao
Integridade
Ativos de informao
Disponibilidade
Ameaas
Vulnerabilidades
Grau ameaa
Grau
vulnerabilidade
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
PROBABILIDADE
IMPACTO
16
Conhecer os conceitos
sobre segurana da
informao no significa
necessariamente saber
garantir esta segurana.
Muitos tm experimentado
esta sensao quando
elaboram seus planos de
segurana e acabam no
atingindo os resultados
desejados.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
17
18
Planejar
(PLAN)
Melhorar
(ACT)
Implementar
(DO)
Monitorar
(CHECK)
19
D e fin i o
d o e sc o p o
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
A n lis e
d o ris c o
P la n e ja m e n to d e
tra ta m e n to d o ris c o
20
ORGANIZAO
Vendas
Produo
Recursos Humanos
Tecnologia da
Informao
Escopo inicial.
Escopo ampliado.
Escopo final.
21
Tecnologia da
informao
M
d
io
Manter
servios de
rede
Mdio
to
Al
Firewall
Servidor de
arquivos
Bloqueio
portas TCP
Invasor
interno
Controle
de acesso
fsico
Invasor
externo
Sistema
antivrus
Vrus
Nobreak
Variao
de
energia
Servidor de
correio
22
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
23
24
25
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
26
Planejar a
implementao
Implementar
Encerrar a
implementao
Controlar a
implementao
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
27
O monitoramento ou
controle do sistema
implica em avaliar
sistematicamente se os
controles implementados
esto atendendo as
expectativas originais.
Para tanto, os processos
ao lado precisam ser
executados com
regularidade.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Realizar
registros
Monitorar
controles
Reavaliar
sistema
Realizar
auditorias
Reavaliar
riscos
28
A implementao de um
sistema de segurana da
informao se d pela
instalao de controles
especficos nas mais
diversas reas da
organizao, sempre
pensando nas dimenses
de processos,
tecnologias, ambientes e
pessoas.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
29
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Segurana fsica
Segurana lgica
Operao de sistemas
Desenvolvimento de
sistemas
Continuidade do negcio
Incidentes de segurana
Aspectos legais
30
Poltica de segurana
da informao
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
31
Ela estruturada em
diretrizes, normas e
procedimentos.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
D1
NORMAS
PROCEDIMENTOS
A poltica de
segurana da
informao (PSI)
deve estar alinhada
com os objetivos de
negcio da
organizao.
DIRETRIZES
Poltica
N1
P1
P2
P3
N2
P4
N3
P5
P6
P7
32
Definies gerais
Objetivos e metas
A elaborao e implantao
de uma poltica de segurana
sem si mesmo um projeto a
ser gerido.
Os passos essenciais so
demonstrados na figura ao
lado.
Estabelecer o
mtodo de
trabalho
Responsabilidades
Avaliar as
questes de
negcio, legais e
contratuais
Legislao
Definir contexto
estratgico
e de risco
Critrios de risco
Risco aceitvel
Regulamento interno
Contratos
Diretrizes
Construir a
poltica
Aprovar a
poltica
Divulgar a
poltica
33
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Ser
objetiva
Ser
consistente
Definir
penalidades
Definir
metas
Definir
responsabilidades
FATORES EXTERNOS
A poltica possui
caractersticas, ou
fatores, internos e
externos, que
precisam ser
respeitados por
ocasio de sua
elaborao e
implantao.
FATORES INTERNOS
Poltica
ACESSVEL
CONHECIDA
APROVADA
DINMICA
EXEQUVEL
34
Estrutura
organizacional
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
35
Estrutura organizacional
Escritrio de segurana
Security Officer
ESCRITRIO DE
SEGURANA DA
INFORMACO
COMIT
COORDENADOR
IMPLEMENTAO
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
AUDITORIA
INTERNA
36
Estrutura organizacional
Frum de segurana
ORGANIZAO
R e p r e s e n ta o e x e c u tiv a
D ir e t o r d e R e c u r s o s H u m a n o s
D ir e t o r d e T e c n o lo g ia d a In f o r m a o
D ir e t o r d e V e n d a s
D ir e t o r d e P r o d u o
F RU M D E
SEG U RA N A D A
IN F O R M A O
D ir e t o r d e L o g s t ic a
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
37
Estrutura organizacional
Comit gestor
O comit gestor de
segurana da informao
uma estrutura matricial
formada por representantes
das reas mais relevantes
da organizao.
Este grupo ajuda a detectar
necessidades e a implantar
os controles.
A coordenao do grupo,
em geral, do Gerente de
Segurana.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
38
Classificao da
informao
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
39
Classificao da informao
As informaes possuem
valor e usos diferenciados, e
portanto, precisam de graus
diferenciados de proteo.
Cada tipo de proteo possui
seu prprio custo, e classificar
a informao um esforo
para evitar o desperdcio de
investimento ao se tentar
proteger toda a informao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
40
Classificao da informao
41
Classificao da informao
Para comear, algumas perguntas:
Existe um patrocinador para o projeto
de classificao?
O que voc est tentando proteger, e
do qu?
Existe algum requerimento regulatrio
a ser considerado? (Decreto 4.554/2003)
O negcio entende sua
responsabilidade sobre a informao?
Existem recursos disponveis para o
projeto?
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
42
Classificao da informao
A poltica de segurana da informao
deve contemplar as polticas de
classificao. Alguns critrios essenciais
precisam ser definidos nesta poltica:
As definies para cada uma das
classificaes;
Os critrios de segurana para cada
classificao, tanto em termos de dados
quanto em termos de software;
As responsabilidades e obrigaes de
cada grupo de indivduos responsvel pela
implementao da classificao e por seu
uso.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
43
Classificao da informao
Ainda, a poltica precisa estabelecer as
seguintes regras:
A informao um bem e precisa ser
protegido;
Os gerentes so proprietrios da
informao;
A rea de TI custodiante da
informao;
Obrigaes e responsabilidades para os
proprietrios da informao;
Propor um conjunto mnimo de controles
que devem ser estabelecidos.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
44
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
45
Gesto de pessoas
As pessoas so o elemento
central de um sistema de
segurana da informao.
Os incidentes de segurana da
informao sempre envolve
pessoas, quer no lado das
vulnerabilidades
exploradas,
quer no lado das ameaas que
exploram
estas
vulnerabilidades.
Pessoas so suscetveis
ataques de engenharia social.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
46
Gesto de pessoas
A engenharia social a
forma de ataque mais
comum para este tipo de
ativo.
Engenharia social o
processo de mudar o
comportamento
das
pessoas de modo que suas
aes sejam previsveis,
objetivando obter acesso a
informaes e sistemas no
autorizados.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
47
Gesto de pessoas
Um ataque de engenharia
social realizado em trs
fases:
1 Levantamento
informaes;
de
2 Seleo do alvo;
3 Execuo do ataque.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
48
Gesto de pessoas
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
49
Gesto de pessoas
Polticas para aplicao durante contrato de pessoal.
Responsabilidades da Direo;
Conscientizao e treinamento;
Processo disciplinar.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
50
Gesto de pessoas
51
Segurana fsica
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
52
Segurana fsica
As polticas de segurana
fsica devem proteger os
ativos de informao que
sustentam os negcios da
organizao.
Atualmente a informao
est distribuda fisicamente
em equipamentos mveis,
tais como laptops, celulares,
PDAs, memory keys,
estaes de trabalho,
impressoras, telefones,
FAXs, entre outros.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
53
Segurana fsica
A segurana fsica precisa garantir a
segurana da informao para todos
estes ativos.
Esta segurana deve ser aplicada
para as seguintes categorias de
ativos:
Sistemas estticos, que so
instalaes em estruturas fixadas no
espao;
Sistemas mveis, que so aqueles
instalados em veculos ou
mecanismos mveis;
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
54
Segurana fsica
Diversas ameaas que podem
explorar vulnerabilidades fsicas,
tais como:
Naturais Enchentes,
tempestades, erupes
vulcnicas, temperaturas
extremas, alta umidade...
Sistemas de apoio Comunicao
interrompida, falta de energia,
estouro em tubulaes...
Humanas Exploses, invases
fsicas, sabotagens, contaminao
qumica...
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
55
Segurana fsica
Porta, e
equipamento
para
digitao de
senha e
leitura de
impresso
digital
3
Suporte operacional
Porta
Recepo
Atendimento
ao cliente
Porta e
recepcionista
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Porta, e
equipamento
para
digitao de
senha
A segurana
fsica requer
que a rea
seja
protegida, e
uma forma
simples de
enxergar a
segurana
fsica
definindo
permetro de
segurana, ou
camadas de
acesso.
56
Segurana fsica
As seguintes polticas de segurana fsica
devem ser consideradas:
Controle de entrada fsica;
Segurana em escritrios, salas e
instalaes;
Proteo contra ameaas externas e
naturais;
Proteo das reas crticas;
Acesso de pessoas externas;
Instalao e proteo dos equipamentos;
Equipamentos fora da organizao;
Estrutura de rede;
Manuteno dos equipamentos;
Reutilizao e alienao de equipamentos;
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Remoo de propriedade.
57
58
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
59
As responsabilidades
operacionais devem ser
atribudas, e
procedimentos precisam
ser escritos, aprovados e
publicados.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
60
Os servios operacionais
de tecnologia da
informao prestados
por terceiros precisam
ser regulados e
devidamente
gerenciados.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
61
A necessidade de
sistemas precisa ser
planejada de acordo com
as necessidades
demonstradas nos
processos de negcio.
Estes sistemas devem
passar por avaliao e
homologao antes da
entrada definitiva em
operao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
62
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
63
A segurana das
operaes em rede um
importante fator a ser
considerado na poltica
de segurana da
informao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
64
65
A troca de informaes
deve ser considerada.
Questes importantes
so: estabelecer
procedimentos para
troca de informaes,
mdias em trnsito,
mensagens eletrnicas,
sistemas de informaes
do negcio, entre outros.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
66
67
Controle de acesso
lgico
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
68
69
O conceito de controle
de acesso baseia-se em
dois princpios:
1 Separao de
responsabilidades;
2 Privilgios mnimos.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
70
71
72
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Desenvolvimento e
aquisio de sistemas
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
74
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
A poltica de desenvolvimento de
sistemas o mecanismos para
garantir estes resultados.
75
A aquisio de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
A utilizao de cdigos abertos
disponibilizados por comunidades
um dos perigos muitas vezes
ignorados.
A poltica de sistemas precisa
garantir a diminuio destas
vulnerabilidades.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
76
O desenvolvimento e manuteno
de sistemas tambm contm
diversas vulnerabilidades.
Se no houver uma poltica
explicita que oriente este
desenvolvimento,
vulnerabilidades podero ser
introduzidas no levantamento de
requisitos, na construo do
projeto, e na implantao do
sistema.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
77
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
78
Gesto de incidentes
de segurana
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
79
80
81
Plano de continuidade
de negcio
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
82
83
1 - Iniciao e
gesto do
projeto.
Nesta fase so
estabelecidos o
gerente e a equipe
do projeto, que
elaboram o plano
deste projeto.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
84
85
3 Estratgias de
recuperao.
Nesta fase so identificadas
e selecionadas as
alternativas adequadas de
recuperao para cada tipo
de incidente, respeitando os
tempos definidos na etapa
anterior (anlise de impacto
para o negcio).
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
86
4 Elaborao dos
planos.
Nesta fase so construdos
os documentos, os planos
de continuidade
propriamente ditos. Estes
documentos so resultados
da anlise de impacto para
o negcio, e estratgias de
recuperao.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
87
88
Conformidade com os
aspectos legais
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
89
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
Todo o sistema de
segurana da informao,
com todos os seus
controles, deve estar em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e
com as eventuais
regulamentaes internas
da organizao, bem como
com as orientaes de
normatizao e
regulamentao do
90
mercado.
A poltica de segurana
precisa garantir que seja
avaliada a legislao
vigente, que existam
mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi
cometido, e que estes
procedimentos possibilitem
a preservao e coleta das
evidncias incriminatrias.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
91
92
94
95
96
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO
98
99
Auditoria em
Tecnologia da
Informao
Por Andr Campos
Especialista em Segurana da Informao (UNESA)
Especialista em Gesto Estratgica de Tecnologia da Informao (UFRJ)
MCSO Mdulo Security Office
Auditor Lder BS 7799 Det Norske Veritas
Autor do livro: Sistema de Segurana da Informao Controlando riscos.
AUDITORIA EM
Professor
TECNOLOGIA DA
Andr Campos
INFORMAO