SEGURANCA E AUDITORIA DE SISTEMAS - Aula -04

Prévia do material em texto

Segurança e Auditoria
de Sistemas
Prof. M.Sc. Marcelo Tomio Hama
1
AULA 4
Controle de Acesso
Parte I
- Políticas de Segurança
- Autorização e permissionamento
2
Segurança e Auditoria
de Sistemas
Introdução
3
Necessidade das organizações em implantar um processo de segurança da 
informação que é considerado um dos ativos intangíveis de proteção de valor.
Ativos tangíveis são os bens físicos ou bens financeiros. Os ativos intangíveis 
são aqueles que não podem ser materializados, mas que existem e possuem 
valor, por exemplo: Marcas, Patentes, Capital Humano, etc.
Introdução
4
Ativos Intangíveis: Podem ser divididos em aqueles que geram valor e 
aqueles que protegem o valor.
GERAM VALOR PROTEGEM O VALOR
Introdução
5
Ativos Intangíveis
Motivações
6
Legislações
Setor Financeiro
Normas do Banco Central
Normas da Comissão de Valores Mobiliários (CVM)
Normas e Acordos Internacionais
Acordos da Basiléia
Fonte: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Lei Sarbanes Oxley (SOX)
Segurança e Auditoria Confiáveis
que afetam empresas brasileiras c/
American Depositary Receipts na
New York Stock Exchange
http://www.fontedosaber.com/administracao/acordo-da-basileia.html
http://www.google.com.br/url?sa=i&rct=j&q=banco+central&source=images&cd=&cad=rja&docid=TPuuHt3ZT0ZxeM&tbnid=KBTDfbs8Vs8HmM:&ved=0CAUQjRw&url=http://www.tribunahoje.com/noticia/53114/economia/2013/01/25/banco-central-diz-que-juros-no-brasil-caem-ao-menor-valor-em-18-anos.html&ei=ATQqUbmBLZHm8gTBwYCwCA&bvm=bv.42768644,d.eWU&psig=AFQjCNEKaeUpMahlsoWD-Km0e4rjskSiBg&ust=1361806702716576
Motivações
7
Adesão às normas de Segurança da Informação, 
conscientização do empresário e amadurecimento 
dos acionistas.
Por pressão de organizações maiores que, por 
serem obrigadas a possuir uma estrutura de 
segurança da informação, também exigem o 
mesmo das organizações que estão em sua 
cadeia de valor.
Movimentos setoriais, como o projeto da ABNT – 
78:000.00-19 – Informática em Saúde baseada na 
NBR ISO/IEC27002.
Políticas de Segurança
8
Barman, 2002: "Política de segurança é um conjunto de regras e padrões 
sobre o que deve ser feito para assegurar que as informações recebam a 
proteção conveniente que possibilite garantir a sua confidencialidade, 
integridade e disponibilidade".
Normas que abordam a Segurança, como a NBR ISO 27002:2005 relacionam 
uma série de requisitos para a elaboração de uma Política de Segurança. Não 
existe a definição de um padrão mínimo, e as empresas que já implantaram as 
políticas de segurança da informação não consideraram todos os requisitos da 
normas. O que cada organização deverá adotar? Qual norma a seguir?
Governança Corporativa e 
Governança de TI e seus serviços
Processo de segurança da 
informação e gestão de riscos
NBR ISO/IEC 
27002:2005
NBR ISO/IEC 
27001:2006
Control Objectives for Information 
and related Technology
Information Technology 
Infrastructure Library
http://www.google.com.br/url?sa=i&rct=j&q=logo+itil&source=images&cd=&cad=rja&docid=3Fe-VQRWibju7M&tbnid=b50V5fpO5KtlnM:&ved=0CAUQjRw&url=http://www.sorocabati.com.br/noticia/itil-conceito-casos-de-sucesso-e-vantagens&ei=Oj8qUcrSEMPz2QWfoIGIDQ&psig=AFQjCNH7Cj7-FMUm6AwcX3N9t_eUhi10XA&ust=1361809565882330
NBR ISO/IEC 27001
9
Define os Requisitos para Sistemas de Gestão de Segurança da Informação 
(SGSI), ajudando na sua adoção para buscar a mitigação de riscos de 
segurança em seus ativos e adequar as necessidades da área de negócio. 
Focado em estabelecer, implementar, operar, monitorar, rever, manter e 
melhorar um SGSI. Implanta os controles da ISO 27002 e foi publicada em 
out/2005, substituindo a norma BS 7799-2 na certificação de SGSI. Sua 
abordagem em processos baseia-se no PDCA, conforme figura abaixo:
NBR ISO/IEC 27002
10
Código de Práticas para a Gestão de Segurança da Informação
Tem como objetivo "estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma 
organização".
NBR ISO/IEC 27002
11
Os 11 capítulos da NBR ISO/IEC 27002.
ISO/IEC 27799:2008
Health informatics: Information security management 
in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação 
e aplicação da segurança da informação na área de 
Medicina e Saúde sendo um complemento para a 
ISO/IEC 27002 na qual se apoia em sua aplicação.
Aplica-se às informações de saúde em todos os seus 
aspectos, sob qualquer formato (palavras e números, 
gravações sonoras, desenhos, vídeo e imagens 
médicas), independentemente do meio utilizado para 
armazená-lo (impresso ou digital) ou transmiti-lo (manual, 
fax, através de redes de computadores ou por via postal), 
e como informação deve ser sempre protegida 
apropriadamente.
12
Desenvolvimento da Política
Deve ser criada antes dos problemas ou após para evitar suas
reincidências. Previne problemas legais e mostra aderência ao
processo de qualidade, pois o que precisa ser protegido está além
do hardware e software. Backups, propriedade intelectual e respostas
a incidentes devem ser considerados, recomendando-se a formação de um 
comitê multidepartamental. É preciso catalogar e agrupar as informações por 
categorias estabelecendo os seus proprietários.
Políticas e Normas Devem Ser
- Simples e Compreensíveis (escritas de maneira clara e concisa);
- Homologadas e assinadas pela alta direção;
- Estruturadas para permitir a implantação por fases;
- Alinhadas com as estratégias de negócios da empresa, padrões e procedimentos 
em uso;
- Orientadas aos riscos (contra);
- Flexíveis (moldáveis às mudanças da tecnologia e dos negócios);
- Protetoras dos ativos de informação, priorizando os de maior valor e importância;
- Positivas e não apenas concentradas em ações proibitivas ou punitivas.
13
Desenvolvimento da Política
Etapas para o Desenvolvimento
Pode ser dividida em quatro etapas:
Fase I: Levantamento das Informações;
Fase II: Desenvolvimento do Conteúdo da Política e Normas de Segurança;
Fase III: Elaboração dos Procedimentos de Segurança da Informação;
Fase IV: Revisão, aprovação e implantação das Políticas, Normas e 
Procedimentos da Segurança da Informação.
14
Desenvolvimento da Política: Fase I
15
Levantamento das Informações
- Padrões, normas e procedimentos de segurança em uso;
- Entendimento de necessidades e uso dos recursos da TI nos negócios;
- Levantamento de informações sobre os ambientes de negócios:
- Processos de negócios
- Tendências de mercado
- Controles e áreas de riscos
- Workflow entre ambientes
- Redes de aplicações
- Plataformas computacionais
Desenvolvimento da Política: Fase II
16
Desenvolvimento do Conteúdo
- Gerenciamento da Política de Segurança: Definição da SI, objetivos do 
gerenciamento, fatores críticos de sucesso, gerenciamento de versão e 
manutenção da política, referência para outras políticas, padrões e 
procedimentos;
- Atribuição de Regras e Responsabilidades: Comitê de SI, dono das 
informações, área de SI, usuários da informação, recursos humanos, 
auditoria interna;
- Critérios para a Classificação das Informações:
Introdução, classificando a informação, níveis
de classificação, reclassificação, armazenamento
e descarte, armazenamento e saídas.
Desenvolvimento da Política: Fase II
17
Desenvolvimento do Conteúdo: Procedimentos de segurança da informação
- Classificação e tratamento da informação;
- Notificação e Gerenciamento de incidentes de SI;
- Processos disciplinar;
- Aquisição e uso de software e proteção contra software malicioso;
- Segurança e tratamento de mídias
- Uso de internet, e de correio eletrônico;
- Uso de recursos de TI;
- Backup, manutenção de testes e equipamentos;
- Coleta e registro de falhas;
- Gerenciamento e controle de rede;
- Monitoração do uso e acesso aos sistemas;
- Controle de mudanças operacionais;
- Inventário dos ativos de informação;
- Controle de acesso físico às áreas sensíveis;
- Uso de controles de criptografia e gerenciamentode chaves;
- Segurança física e supervisão de visitantes e prestadores de serviço.
Desenvolvimento da Política: Fase III
18
Elaboração dos Procedimentos
Pesquisa sobre as melhores práticas em SI adotadas no mercado 
(Benchmarking):
- Desenvolvimento de procedimentos e padrões, para discussão com a alta 
administração, de acordo com as melhores práticas de mercado e com as 
necessidades e metas da organização;
- Formalizar procedimentos para integrá-los às políticas corporativas.
Desenvolvimento da Política: Fase IV
19
Revisão, Aprovação e Implantação
- Revisão e aprovação das políticas, normas e procedimentos de segurança 
da informação;
- Efetiva implantação das políticas, normas e procedimentos de segurança 
da informação por meio das seguintes alternativas:
- Atuação junto da área responsável pela comunicação / mkt (divulgar);
- Divulgar as responsabilidades dos usuários e a importância das 
políticas;
- Realização de palestras para os executivos com pauta nas políticas, 
normas e procedimentos de segurança.
Cronograma do Desenvolvimento da Política
20
Fatores Comuns nas Políticas
21
Especificação da Política: Finalidade, o que é esperado, e a quem atinge;
Declaração da Alta Administração: Reafirma a toda organização o compromisso da 
alta direção com o documento e seu cumprimento;
Autores / Patrocinadores da Política: Quem desenvolveu e quem deverá receber 
sugestões de melhorias, dúvidas, etc;
Referências a outras Políticas: normas e procedimentos;
Procedimentos para Requisição de Exceções à Política: Não descrever em que 
condições, mas apenas o procedimento / formulário de solicitação;
Procedimentos para Mudanças da Política:
Quem serão os responsáveis e qual a metodologia para estabelecer as novas revisões;
Quais serão as datas de publicação, validade e revisão.
Pontos Críticos para o Sucesso da Política
22
1. Formalização dos processos e instruções de trabalho;
2. Utilização de tecnologias capazes de prover segurança;
3. Atribuição formal das responsabilidades e das respectivas penalidades;
4. Classificação das informações;
5. Treinamento e conscientização constantes;
6. Estabelecer na política um capítulo para destacar pontos importantes:
a. Confidencialidade;
b. Integridade;
c. Disponibilidade;
d. Legalidade;
e. Auditabilidade;
f. Não repúdio.
Também recomendar o desmembramento em 4 grandes aspectos:
1. Segurança de TI: Conceitos e técnicas para proteger o ambiente contra incidentes;
2. Segurança Física: Procedimentos e recursos para prevenir acessos a áreas críticas;
3. Continuidade dos Negócios: Procedimentos para reduzir a um nível
aceitável o risco de interrupção com desastres/falhas (ISO 22031);
4. Segurança Lógica: Prevenção contra acessos não autorizados.
Características da Política
23
Para ser efetiva a política deve:
1. Ser verdadeira, exprimindo o pensamento da empresa, e sendo
coerente com suas ações;
2. Ser complementada com a disponibilidade de recursos, materiais
e humanos, para sua plena implantação;
3. Ser válida, aplicável, e cumprida por todos, do presidente ao estagiário;
4. Ser simples, de fácil leitura, e de fácil compreensão (evite termos técnicos);
5. Aderência da Alta Direção, devendo ser assinada pelo mais alto executivo da empresa.
Benefícios de Curto Prazo
- Formalização e documentação dos procedimentos de SI;
- Implementação de novos procedimentos e controles de SI;
- Prevenção de acessos não autorizados, danos ou interferências nos negócios;
- Maior segurança ao processo de negócios.
Benefícios de Médio Prazo
- Padronização dos procedimentos de segurança incorporados à rotina da Companhia;
- Adaptação segura de novos processos de negócios;
- Qualificação e quantificação dos sistemas de respostas a incidentes;
- Conformidade com padrões de segurança como a NBR ISO/IEC 27002.
Benefícios de Longo Prazo
- Retorno sobre o investimento realizado pela redução dos problemas e incidentes de SI;
- Consolidação da imagem corporativa associada à Segurança da Informação.
Treinamento, Divulgação, e Publicação
24
São necessárias mudança da cultura através de:
- Avisos (comunicações, e-mail, intranet) sobre os pontos relativos às 
responsabilidades;
- Palestras de conscientização / sensibilização;
- Elaboração de material promocional (endomarketing);
- Treinamento direcionado (Financeiro, Comercial, etc.);
Para a disseminação das políticas, deve-se considerar:
- Uso de diferentes tipos de mídias;
- Diferenciação dos tipos de treinamento, por exemplo, básico e avançado;
- Orientação para os novos funcionários (integração);
- Informativos sobre as atuais tendências dos incidentes de segurança
- O elemento humano é fundamental. Quem não participa se torna o elo fraco.
NBR ISO/IEC 27002
“Deve-se garantir que os usuários estejam cientes das ameaças e preocupações de 
segurança da informação e estejam equipados para apoiar a política de segurança da 
organização durante a execução normal de seu trabalho."
Exercícios para casa
25
Proponha de forma resumida, em 1~2 páginas, uma política de uso de 
informações para o ambiente de nossa sala de aula, considerando as 
informações que existem e são transmitidas entre nós (colegas, professor, 
funcionários, instituição, etc).
Dúvidas?
marcelo.hama@fmu.br
Referências:
- FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da 
Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009;
- ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – 
Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de 
segurança da informação. ABNT, 2005;
- Fontes, Edson Luiz Gonçalves. Política de Segurança da Informação: Uma Contribuição 
para o Estabelecimento de um Padrão Mínimo. 2011. 157 f. Dissertação (mestrado) - 
Centro Estadual de Educação Tecnológica Paula Souza, São Paulo, 2011.
Créditos:
Este material é uma adaptação das notas de aula do prof. Paulo Rangel
26
mailto:marcelo.hama@fmu.br