Segurança e auditoria
de sistemas
Carlos Oberdan Rolim
Ciência da Computação
Créditos: Apostila entitulada “Auditoria em Tecnologia da
Informação” – 100 páginas
Autor: Não disponível na referida
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Conceitos básicos de SI
Controles de Segurança de Informaçao
Controles de Segurança de Informaçao
Política: Conjunto de regras e práticas que regulam
como
gerenciar, proteger e distribuir suas informações e recursos
Deve-se estabelecer comprometimento entre
gerentes x atividades organizacionais
Para garantir a gerencia da segurança da informação
A política de segurança deve ser devidamente
documentada
Sempre atentar para:
Serviços fornecidos x segurança fornecida
Facilidades de uso x segurança fornecida
Custo da segurança x riscos de perdas
Controles de Segurança de Informaçao
Controles de Segurança de Informaçao
Controles de Segurança de Informaçao
Propósitos de uma política de segurança
Informar aos usuários, equipes e gerentes, as suas
obrigações para a proteção da tecnologia e do acesso às
informações
A política deve especificar os mecanismos, através dos
quais, os requisitos de segurança devem ser alcançados
A política deve oferecer um ponto de referência, a partir do
qual, seja possível adquirir, configurar e realizar auditoria de
sistemas computacionais e redes
Premissas de uma boa política de
segurança
A política deve ser implementável
Através de procedimentos administrativos, publicação das regras de
uso aceitável ou outros métodos aceitáveis
A política deve ser exigida
A política de segurança não
determina o negócio da empresa
Utilizando ferramentas de segurança, onde apropriado, e com sansões
onde a prevenção efetiva não seja tecnicamente possível
A política deve definir claramente
As áreas de responsabilidade para os usuários, administradores de
rede
Porém a natureza dos negócios
deve se adequar as políticas
Componentes de uma boa política
Normas para aquisição de
tecnologia
Parâmetros de
disponibilidade
Políticas de privacidade
Política de autenticação
Políticas de
responsabilidade
Política de manutenção
Políticas de acesso
Politica de invasões
Divulgação das
informações
Pensar em todos os itens considerando aspectos legais
Normas para aquisição de tecnologia
Especifica características de segurança necessárias para
aquisição de dispositivos de hardware
Política de privacidade
Definição das expectativas em relação a privacidade do
tráfego de emails, logs e arquivos de usuários
Política de responsabilidade
Definição das responsabilidades dos usuários, operações,
funcionários e gerentes para auditoria...
Envolve normas para agir no caso de incidentes de invasão
Política de acesso
Definição dos direitos de acesso e privilégios para
proteger as informações, especificando as normas, para as
operações, conexões externas, comunicação de dados,
dispositivos da rede etc..
Parâmetros de disponibilidade
Indica qual a disponibilidade dos recursos, incluindo horas
de operação, períodos fora do ar, informações sobre falhas
no sistemas, etc..
Política de autenticação
Estabelece a confiança do sistema em termos de uma
efetiva política de senhas, normas de autenticação de
usuários ou dispositivos remotos e a utilização de
dispositivos específicos
Política de manutenção
Estabelece normas para o uso pessoal (interno ou externo)
para acesso e execução das tarefas de manutenção
(corretiva ou preventiva) do sistema
Política de invasões
Definições de quais tipos de invasões (interna ou externa)
são informadas e quem deve ter conhecimento a respeito
Divulgação de informações
Informa aos usuários, funcionários e executivos como agir,
quando questionados por pessoas extra-empresa sobre:
incidentes de segurança, informações confidenciais ou
proprietárias, entre outros