Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

Memória de Aula 05:
Segurança e Auditoria de Sistemas

Prof. Paulo Rangel, MSc.

CURSO:
CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS
DISCIPLINA:
043004 - SEGURANCA E AUDITORIA DE SISTEMAS
TUTOR:
PROF. PAULO SÉRGIO RANGEL GARCIA, MSc.
CONTEUDO:
Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança.


Introdução
 As organizações necessitam implantar um processo de

segurança da informação.
 Que deve ser considerado como um dos ativos
intangíveis de proteção de valor.
 Ativos tangíveis são os bens físicos ou bens financeiros
 Os ativos intangíveis são aqueles que não podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.

Introdução
 Bens Tangíveis e Intangíveis possuem valor:

Introdução
 Intangíveis

Por exemplo: Marcas Globais

Introdução
 Os bens intangíveis possuem
valor:

Introdução
 Os ativos intangíveis podem ser divididos em

aqueles que geram valor e aqueles que protegem o
valor.

Exemplos de ativo intangíveis de
proteção de valor:
 Gestão de Riscos

 Governança Corporativa

 Segurança da Informação

Introdução
 Os bens intangíveis possuem valor e devem ser

protegidos:
Convém que a direção estabeleça uma clara orientação da politica, alinhada com os
objetivos de negócio e demonstre apoio e comprometimento com a segurança da
informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.

NBR ISO/IEC 27002:2005

Motivação
 Legislações:

 Setor Financeiro
 Normas do

Banco Central

 Normas da CVM

Motivação
 Normas e Acordos Internacionais
 Acordos da Basiléia

Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html

Motivação
 Lei Sarbanes Oxley (SOX)

Motivação

 Lei Sarbanes Oxley (SOX)
 Segurança e auditoria confiáveis
 Afeta empresas Brasileiras Com ADR (American

Depositary Receipts) na NYSE

Motivação
 Adesão a Normas de Segurança da Informação

 Pela conscientização do empresário e atitude madura

dos acionistas

Motivação
 Por pressão de organizações maiores que por estarem

obrigadas a possuírem uma estrutura de segurança da
informação também exigem o mesmo das organizações que
estão em sua cadeia de valor.

Motivação
 Movimentos setoriais

 Projeto da ABNT – 78:000.00-19 – Informática em Saúde

baseada na NBR ISO/IEC27002

Motivação
 Pesquisa

realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010

O que é Politica de Segurança

Politicas de Segurança
 As normas que abordam as Segurança, por exemplo a

NBR ISO 27002:2005 relacionam um série de requisitos
para a elaboração de uma Politica de Segurança;
 Não existe a definição de um padrão mínimo;
 As empresas que já implantaram as politicas de
segurança da informação não consideraram todos os
requisitos da norma;
 O que cada organização deverá adotar? Qual norma a
seguir?

Politicas de Segurança
 Processos, estruturas conceituais, normas:

 Processo de segurança da informação e gestão de riscos




 Governança Corporativa e Governança de Segurança da

Informação

(Control Objectives for Information and related Technology)

(Information Technology Infrastructure Library)

NBR ISO/IEC 27001
É a Norma Internacional que define os Requisitos para Sistemas de Gestão
de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurança em seus ativos e adequar as necessidades a área
de negócio.

Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Irá implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificação de sistema de gestão de segurança da informação;

NBR ISO/IEC 27001
Faz a abordagem da implementação segurança da Informação através de
processos que procura enfatizar aos usuários:
• O entendimento dos requisitos e a necessidade de se ter uma política
da segurança da informação.
• Implementar e operar controles para gerenciamento dos riscos
• Monitorar o desempenho e a eficácia da política de segurança da
informação.
• Promover a melhoria contínua.

NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA, conforme temos na figura abaixo:

http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA:
Planejar: Definição do escopo do sistema de gerenciamento de segurança
da informação. Identificação de riscos, analisar e avaliar riscos, opções de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no
sistema de segurança, conduzir auditorias internas, atualizar planos de
segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações
corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de
melhoria aos interessados.

NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, além de três anexos
informativos.

NBR ISO/IEC 27002
NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização”.

Também conhecida como uma norma para os códigos de práticas para
gestão de segurança da informação. E refere-se a quais requisitos devem ser
implementados pela organização, sendo também um guia que orienta a
utilização dos controles de segurança.

NBR ISO/IEC 27002
Mapa Mental da
ISO 27002

ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na
área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicação.
Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área
Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.

Com a implementação desta Norma, as organizações de saúde e outros depositários de informações
médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua
organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus
pacientes.

ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e
números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado
para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores
ou por via postal), e como informação deve ser sempre protegida apropriadamente.

Definição da Politica de Segurança
 Visão

metódica, criteriosa e técnica em seu
desenvolvimento.
 Envolve proposta de alterações de configurações de
equipamentos, na escolha de tecnologias, na definição de
responsabilidades, gerando politicas adequadas ao perfil
da organização e aderente aos negócios que ela prática e
alinhadas aos anseios dos seus proprietários ou acionistas.

Definição da Politica de Segurança
 Aspectos importantes a serem percebidos:

 Conceito que as informações são um ativo importante;
 Envolvimento da alta direção em relação à Segurança;
 Responsabilidade formal dos colaboradores;
 Definir padrões para a manutenção da segurança.

Desenvolvimento da Politica
 Criada antes de problemas ou após para evitar reincidências;

 Previne problemas legais e mostra aderência ao processo de

qualidade
 O que precisa ser protegido esta além do hardware e software;
 Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
 Recomenda-se a formação de um comitê multidepartamental;
 Catalogar e agrupar as informações por categoria estabelecendo
os seus proprietários

Desenvolvimento da Politica
 Politicas e normas devem ser:
 Simples;
 Compreensíveis (escritas de maneira clara e concisa)
 Homologadas e assinadas pela alta direção
 Estruturadas para permitir a implantação por fases
 Alinhadas com as estratégias de negócios da empresa, padrões e

procedimentos existentes;
 Orientadas aos riscos (contra);
 Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)
 Protetores dos ativos de informação, priorizando os de maior valor e
importância;
 Positivas e não apenas concentradas em ações proibitivas ou punitivas.

Etapas para o Desenvolvimento
 Pode ser dividida em quatro etapas:
 Fase I – Levantamento das Informações
 Fase II – Desenvolvimento do Conteúdo da

Politica e Normas de Segurança
 Fase III –Elaboração dos Procedimentos de
Segurança da Informação
 Fase IV – Revisão, aprovação e implantação das
Politicas, Normas e Procedimentos da Segurança
da Informação

Fase I Levantamento das Informações
 Padrões , normas e procedimentos de segurança em uso;
 Entender necessidades e uso dos recursos da TI nos negócios;

 Obtenção de informações sobre ambientes de negócios:
 Processos de negócios
 Tendências de mercado
 Controles e áreas de riscos
 Obtenção de informações sobre o ambiente tecnológico:
 Workflow entre ambientes
 Redes de aplicações
 Plataformas computacionais

Fase II Desenvolvimento do conteúdo
 Gerenciamento da política de segurança
 Definição da SI, objetivos do gerenciamento, Fatores críticos de

sucesso, gerenciamento de versão e manutenção da politica,
referencia para outras politicas, padrões e procedimentos.
 Atribuição de regras e responsabilidades
 Comitê de SI, Dono das Informações, Área de SI, Usuários da
informação, recursos humanos, auditoria interna
 Critérios para a classificação das informações
 Introdução, classificando a informação, níveis de classificação,
reclassificação, armazenamento e descarte, armazenamento e saídas.

 Procedimentos de segurança da informação
 Classificação e tratamento da informação,
 Notificação e Gerenciamento de incidentes de SI,

 Processos disciplinar,
 Aquisição e uso de software,
 Proteção contra software malicioso,
 Segurança e tratamento de mídias,
 Uso de internet,
 Uso de correio eletrônico,
 Uso de recursos de TI,

 Backup,

 Procedimentos de segurança da informação

 Manutenção de testes e equipamentos,
 Coleta e registro de falhas,
 Gerenciamento e controle de rede,

 Monitoração do uso e acesso aos sistemas,
 Uso de controles de criptografia e gerenciamento de chaves,
 Controle de Mudanças Operacionais,
 Inventário dos ativos de informação,
 Controle de acesso físico às áreas sensíveis,
 Segurança Física e Supervisão de visitantes e prestadores de serviço.

Fase III Elaboração dos Procedimentos
 Pesquisa sobre as melhores práticas em SI adotadas no mercado

(Benchmarking);
 Desenvolvimento de procedimentos e padrões, para discussão com a Alta
Administração, de acordo com as melhores práticas de mercado e com as
necessidades e metas da organização;
 Formalização dos procedimentos para integra-los às políticas corporativas

Fase IV Revisão, Aprovação e Implantação
 Revisão e aprovação das políticas, normas e procedimentos de

segurança da informação;
 Efetiva implantação das políticas, normas e procedimentos de
segurança da informação por meio das seguintes alternativas:
 Atuação junto á área responsável pela comunicação / mkt
(divulgar)
 Divulgar as responsabilidades dos usuários e a importância
das Politicas
 Realização de palestras para os executivos referentes às
politicas, normas e procedimentos de segurança

Fatores Comuns nas Políticas
 Especificação da Politica – Finalidade, o que é esperado, a quem







atinge;
Declaração da Alta Administração – Reafirma a toda
organização o compromisso da alta direção com o documento e seu
cumprimento;
Autores / Patrocinadores da Política – Quem desenvolveu e
que deverá receber sugestões de melhorias, duvidas, etc.;
Referências a outras politicas, normas e procedimentos;
Procedimentos para requisição de exceções à Política - Não
descrever em que condições, mas apenas o procedimento /
formulário de solicitação

Fatores Comuns nas Políticas
 Procedimentos para mudanças da política
 Quem serão os responsáveis e a metodologia para estabelecer as novas

revisões;
 Datas de Publicação, validade e revisão;

Pontos Críticos para o sucesso
 Formalização dos processos e instruções de trabalho
 Utilização de tecnologias capazes de prover segurança
 Atribuição formal das responsabilidades e das respectivas penalidades
 Classificação das informações
 Treinamento e conscientização constantes

 Estabelecer na politica um capitulo para destacar os seguintes pontos:

 Confidencialidade;
 Integridade;
 Disponibilidade;
 Legalidade;
 Auditabilidade;
 Não repudio.

 Também se recomendar desmembrá-la em 4 grandes aspectos:
 Segurança Computacional – Conceitos e técnicas para proteger o

ambiente de TI contra incidentes;
 Segurança Lógica – Prevenção contra acessos não autorizados;
 Segurança Física – Procedimentos e recursos para prevenir acessos
a áreas criticas
 Continuidade dos negócios – Procedimentos para reduzir a um
nível aceitável o risco de interrupção causada por desastres e falhas
(ISO 22031)

Características
 Para ser efetiva a politica deve:
 Ser verdadeira – Exprimir o pensamento da empresa e ser coerente

com suas ações;
 Ser complementada com a disponibilidade de recursos –
Recursos materiais e humanos para sua plena implantação;
 Ser válida para todos – Deve ser cumprida por todos, do Presidente
ao estagiário;
 Ser simples – Fácil leitura e compreensão. Evite termos técnicos;
 Comprometimento da Alta Direção – Deve ser assinada pelo mais
alto executivo da empresa;

Treinamento, publicação e divulgação
 Mudança da cultura através de:
 Avisos (comunicação interna, e-mail, intranet) sobre o

esclarecimento dos principais pontos relativos as
responsabilidades;
 Palestras de conscientização / sensibilização;
 Elaboração de material promocional (endomarketing)
 Treinamento direcionado (Financeiro, Comercial, etc.)
 NBR ISO/IEC 27002
 “deve-se garantir que os usuários estejam cientes das ameaças e
preocupações de segurança da informação e estejam equipados
para apoiar a política de segurança da organização durante a
execução normal de seu trabalho”

 Para a disseminação das políticas, deve-se considerar:
 Uso de diferentes tipos de mídias;
 Diferenciação dos tipos de treinamento , por exemplo, básico e

avançado;
 Orientação para os novos funcionários (integração);
 Informativos sobre as atuais tendências dos incidentes de
segurança
 O elemento humano é fundamental. Quem não participa dos
programas de treinamentos se torna o elo fraco da corrente!

 O Programa de conscientização precisa ser planejado, implantado,

mantido/corrigido e periodicamente reavaliado. Deve englobar as
seguintes fases:
 Identificação do escopo, metas e objetivos;
 Identificação dos instrutores;
 Identificação do público alvo
 Motivação dos funcionários e da Alta Direção;
 Administração do programa;
 Continuidade do programa;
 Avaliação do programa.

 Modelo de Matriz de Treinamento

 É responsabilidade da Alta Direção assegurar que todos os

usuários dos sistemas de informação da organização saibam
como proteger os seus ativos (informações, hardware,
software, etc.) e estejam de acordo com as Políticas de
Segurança desenvolvidas a partir desta proposta de modelo.

Benefícios
 Curto prazo:
 Formalização e documentação dos procedimentos de SI;
 Implementação de novos procedimentos e controles de SI;
 Prevenção de acessos não autorizados, danos ou interferências nos

negócios, mesmo em casos de falhas ou desastres;
 Maior segurança ao processo de negócios.

Benefícios
 Médio prazo:

 Padronização dos procedimentos de segurança incorporados a rotina

da Companhia;
 Adaptação segura de novos processos de negócios;
 Qualificação e quantificação dos sistemas de respostas a incidentes;
 Conformidade com padrões de segurança como a NBR ISO/IEC
27002.

Benefícios
 Longo prazo:
 Retorno sobre o investimento realizado pela redução dos

problemas e incidentes de SI;
 Consolidação da imagem corporativa associada à Segurança da
Informação

BIBLIOGRAFIA BÁSICA
IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas,
1
2008.
LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de
2
Janeiro: Ciência Moderna, 2009.
3

MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de
Janeiro: Ciência Moderna, 2010.

BIBLIOGRAFIA COMPLEMENTAR
CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os
1
riscos. 2ª Edição. Florianópolis: Visual Books, 2007.
2

3
4

5

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da
Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo:
Brasport, 2008.
Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet
no Brasil.
PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa.
1ª. Edição – São Paulo. Brasport, 2006

BIBLIOGRAFIA RECOMENDADA
MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator
1
Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro:
2
Editora Campus, 2003.


• Dúvidas
• As dúvidas devem ser encaminhadas, e serão respondidas
pelo Professor, através do MAIL disponível no TutorWeb.


Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

Mais conteúdo relacionado

Mais procurados (20)

Destaque (20)

Semelhante a Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança (20)

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança