Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC Pós-Graduação em Segurança da Informação Conceitos Básicos • Qual a importância da informação? • O uso das informações evoluiu nas organizações? Conceitos Básicos • Qual a importância da informação? – Financeira; Estratégica; Operacional, etc... • Antigamente... – Centralizados e não automático; • Depois... – Automatização dos processos; Conceitos Básicos • Atualmente... – Tecnologia da informação; – Informação de alto nível; – Alta conectividade; – Aplicações conectadas: • • • • B2B; B2C; Comércio eletrônico; ERPs; Conceitos Básicos • Fundamental para os processos e negócios da empresa; • Clientes, fornecedores, parceiros e governos conectados; • Este cenário traz risco para as empresas. • Quais riscos? Conceitos Básicos • As empresas têm grande atenção aos seus ativos físicos e financeiros; • E não protegem os ativos de informação; • Ativos da informação: – A própria informação; – Meio de armazenamento; – Todo processo e manipulação; Conceitos Básicos • Então é preciso criar medida para proteção dos ativos da informação; • Segurança da Informação: – Área responsável pela proteção dos ativo da informação; – Acesso não autorizado; – Alterações indevidas; – Indisponibilidade. Conceitos Básicos • Três propriedades da segurança da informação: – Confidencialidade; – Integridade; – Disponibilidade; Conceitos Básicos • Confidencialidade: – Protege o conteúdo; – Apenas lê quem tem direito; – Protege por grau de sigilo; Conceitos Básicos • Integridade: – Modificação durante o trânsito; – Informação não pode ser alterada; – Informação igual a original; – Apenas quem tem direito pode modificar; Conceitos Básicos • Disponibilidade: – A informação deve estar disponível; – Quando quem tem direito deseja acessar; – Exceto em situações previstas, como manutenção. Conceitos Básicos • Gestão Corporativa de Segurança: – Considera o negócio da empresa como um todo; • Incluí mais dois conceitos: – Autenticidade; – Legalidade; Conceitos Básicos • Autenticidade: – Identificação dos elementos da transação; – Acesso através da identificação; – Comunicação, transações eletrônicas, documentos, etc. Conceitos Básicos • Legalidade: – Valor legal da informação; – Análise de cláusulas contratuais; – Concordância com a legislação. Conceitos Básicos – Outros • • • • • • Autorização; Auditoria; Relevância do ativo; Relevância do Processo; Criticidade; Irretratabilidade; Conceitos Básicos • Autorização: – Concessão de permissão; – Acesso a informações ou aplicações; – Em um processo de troca de informações; – Depende da identificação e autenticação; Conceitos Básicos • Relevância do Ativo: – Grau de importância de uma informação; – Quando os processos dependem da informação; – Quando a organização depende da informação; Conceitos Básicos • Relevância do Processo: – Grau de importância do processo; – Objetivos da organização dependem dele; – Sobrevivência da organização depende do processo; Conceitos Básicos • Criticidade: – Gravidade do impacto no negócio; – Ausência de um ativo da informação; – Perda ou redução de funcionalidade; – Uso indevido ou não autorizado de ativos da informação. Conceitos Básicos • Irretratabilidade: – Sinônimo de não-repúdio; – Informação possuí a identificação do emissor; – A identificação autentica o autor; – Autor não pode negar a geração da informação. Ameaças e Ataques • Ameaças: – Agentes ou condições; – Causam incidentes que comprometem as informações; – Exploram vulnerabilidades; – Perda de confidencialidade, integridade e disponibilidade; – Causam impacto nos negócios da organização. Ameaças e Ataques • Ameaças externas ou internas; • As ameaças sempre existirão; – Independente dos controles de segurança; • As medidas podem eliminar as vulnerabilidades; • E neutralizar as ameaças; Ameaças e Ataques • Classificação das ameaças: – Intencionais; – Acidentais; – Internas; – Externas; Ameaças e Ataques • Ameaças exploram vulnerabilidade para realizar ataques. • Ataques: – Tentativa de quebras as propriedades de segurança; – Confidencialidade, integridade e disponibilidade; – Outras propriedades estudadas; O papel das Ameaças Definição de Controles • Políticas de Segurança; • Normas ISO; • Tipos de Políticas; Definições • Conjunto de regras; • Determina como as informações são geridas; • Deve ser ampla e simples; • Revisão contínua; • Apoio da alta administração; Definições • Define objetivos; • Define responsabilidades; • Define Penalidades; Definições • BS7799: norma inglesa; • BS7799-1 = ISO 17799: código de boas práticas de segurança; • BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI; • ISO 17799 e 27001 foram traduzidos pela ABNT. Definição • CobiT: modelo de governança de TI; – 30% relacionado com segurança; • ISO 15408 (Common Criteria): – Define e avalia requisitos de segurança em sistemas; – Volume 1: Definições e Metodologia; – Volume 2: Requisitos de Segurança; – Volume 3: Metodologias de Avaliação; ISO 27001 • Define um “Sistemas de Gestão da Segurança da Informação” • Usa o ciclo PDCA – Planejar (plain); – Fazer ou implementar (do); – Monitorar (check); – Melhorar (act); ISO 27001 ISO 27001 • Possui 11 seções: – Política de Segurança; – Organizando a Segurança da Informação; – Gestão de Ativos; – Segurança em Recursos Humanos; – Segurança Física e do Ambiente; – Gerenciamento das Operações e Comunicações; ISO 27001 • Possui 11 seções: – Controle de Acesso; – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; – Gestão de Incidentes de Segurança; – Gestão de Continuidade do Negócio; – Conformidade; ISO 27001 • Norma encoraja: – Entendimento de requisitos de segurança; – Necessidade de uma política de segurança; – Implementação de controles; – Gerência de riscos; – Monitoração e revisão do SGSI; – Melhoria contínua; Políticas Organizacionais • • • • • Aplicada a toda a organização; Define objetivos; Define responsabilidades; Define escopo; Cita leis e regulamentos; Políticas Organizacionais • Observações: – Não existem modelos prontos de política; – Não existe política certa ou errada; – A política deve ser definida de acordo com cada organização; Políticas Específicas • • • • Trata que questões detalhas; De um determinado setor; Do uso de um determinado serviços; Ex: e-mail: – Uma política específica pode definir detalhes sobre o relacionamento dos usuários com o serviços de e-mail; Políticas de Sistemas • Definem as configurações dos sistemas; • Ex.: Banco de Dados, Sistemas Operacionais; • De forma que os sistemas estejam de acordo com a política organizacional; Plano de Contingência • É mais amplo que o plano de recuperação de desastres; • Plano global para manter os ativos em funcionamento; • São procedimentos pré-estabelecidos para o caso de ataques; • Muitas empresas não sobrevivem à perda de seus ativos; Plano de Contingência • Preservação: tentar evitar a destruição dos ativos; • Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos; • São 2 conceitos importantes para a continuidade; Gestão de Segurança... Gestão de Segurança... Conceitos Básicos • Auditoria: – Coleta de evidências; – Busca a identificação de entidades; – Busca a origem, o destino e os meios de tráfego da informação. Serviços e Mecanismos Auditoria • Auditoria engloba análise: – das operações; – dos processos; – dos sistemas; – das responsabilidades; • Objetivo de verificar conformidade com normas, regras, políticas ou padrões; Serviços e Mecanismos Auditoria • Auditoria abrange: 1. Identificação de Controles; 2. Aplicação de Procedimentos de Auditoria; 3. Descoberta de Achados da Auditoria; 4. Geração de Papéis de Trabalho; 5. Recomendações de auditoria; Serviços e Mecanismos Auditoria • Identificação de Controles: – Fiscalização sobre atividades de pessoas, órgãos ou produtos; • Três tipos de controles: – Preventivo: prevenir ataques. Ex: Senhas; – Detectivo: detectar ataques. Ex: Relatório de acesso; – Corretivo: reduzir impactos. Ex: Plano de Continuidade; Serviços e Mecanismos Auditoria • Aplicação de Procedimentos: – Geralmente são Checklists; – Averiguação de procedimentos; – Para formação do opinião do auditor; Serviços e Mecanismos Auditoria • Achados da Auditoria: – Fatos observados pelo auditor; – Devem ser relevantes; – Devem ser baseados em evidências; Serviços e Mecanismos Auditoria • Papéis de Trabalho: – Registros que provam os fatos observados pelo auditor; – Documentos, tabelas, listas, etc; – Dão suporte ao relatório de auditoria; – Contêm verificações, testes, etc; Serviços e Mecanismos Auditoria • Recomendações de auditoria: – É feito na fase de relatório; – Apresentação dos achados; – Apresentação dos papéis de auditoria; – Sugestões de medidas corretivas; Serviços e Mecanismos Auditoria • Uma Auditoria geralmente envolve: – Avaliação da política de segurança; – Controle de acessos lógicos; – Controle de acessos físicos; – Plano de Continuidade de Negócio; Atividade 1 • Escolher um capítulo da ISO 27002 e definir \ exemplificar em um estudo de caso: 1. Identificação de Controles; 2. Aplicação de Procedimentos de Auditoria; 3. Descoberta de Achados da Auditoria; 4. Geração de Papéis de Trabalho; 5. Recomendações de auditoria; 53 Fases do Processo – ISO 15504-5 • Descreve o processo de auditoria • Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado. 54 Resultados do Processo • O processo de auditoria envolve: 1. Uma estratégia de auditoria 2. Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia 55 Resultados do Processo • O processo de auditoria envolve: 3. Realização por uma empresa independente 4. Comunicação de problemas identificados para a tomada de ações corretivas. 56 Fases do Processo • Fase 1 – Estratégia de auditoria: – Definir o objetivo, escopo, marcos de acompanhamento, critério e equipe de auditoria • Fase 2 – Selecionar os auditores: – Independentes, imparciais e objetivos. 57 Estudo de Caso e-frete • Apresentar estudo de caso e-frete... – Plano de Auditoria 58 Atividades 2.1 • Definir um plano de auditoria para a política recebida por seu grupo. 59 Fases do Processo • Fase 3 – Verificação de conformidade: – Verificar os itens definidos na estratégia – Registrar as não conformidades • Fase 4 – Relatório de auditoria: – Confecção e divulgação do relatório de auditoria 60 Estudo de Caso e-frete • Apresentar estudo de caso e-frete... – Relatórios com evidências – Aplicabilidade dos controles 61 Atividades 2.2 • Descrever relatório de auditoria para a política recebida por seu grupo. 62 Fases do Processo • Fase 5 – Tomada de ações corretivas: – Pode ser ação imediata ao prevista para próxima auditoria. • Fase 6 – Acompanhar a resolução: – Auditor deve revisar as ações corretivas e atualizar seus relatório com base na mudanças 63 Estudo de Caso e-frete • Apresentar estudo de caso e-frete... – Solicitação de plano de ação até o final da auditoria!!! 64 Atividades 2.3 • Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo. www.inf.furb.br/~paulofernando/download/pos • DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!! 65 Auditoria Interna – ISO 27003 • Orientação para auditoria interna • Realizada em intervalos regulares • Resultados com base em evidências • Reservar tempo adequado para coleta de evidências 66 Auditoria Interna – ISO 27003 • Avaliar controles, processos e questões legais • E se são efetivamente implementados e mantidos • Convém que métricas de implementação sejam analisadas 67 Auditoria Interna – ISO 27003 • Deve ser considerada a importância do controle para a organização • Deve analisar o resultado de auditorias anteriores • Convém documentar critérios, escopo aplicável, frequência e método utilizados 68 Auditoria Interna – ISO 27003 • Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria • Sugestão de fases: 1. Planejamento e execução da auditoria; 2. Divulgação dos resultados; 3. Proposição das ações corretivas e preventivas 69 Auditoria Interna – ISO 27003 • Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente • Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato • Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação 70 Atividade 3 – Checklist de SegInfo • Checklist de Auditoria ISO 19977 • Avaliar e definir evidências... • Discussão em grupo!!! 71 Atividade a ser entregue • Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo. • Documentos específicos (estudo de caso): – Plano de auditoria – Relatório de auditoria – Plano de ações corretivas 72