Aula_10

Prévia do material em texto

ProfProf Luiz Roberto
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEMINÁRIOS INTEGRADOS EM GESTÃO DA 
TECNOLOGIA DA INFORMAÇÃO
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
Conteúdo programático
• Modelagem dos Processos de Negócio.
• Normas de Segurança NBR ISO/IEC 27001, 27002 e 15999;
• Auditoria de Sistemas: fases, técnicas e tipos
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
Aplicar elementos de proteção que 
agem sobre um ou mais ativos da 
empresa, preservando informações, 
focado em no tripé: Confidencialidade, 
Integridade e Disponibilidade (CID).
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
É necessário uma estrutura que garanta 
a atualização, adequação e avaliação do 
processo, justificando assim um Sistema 
de Gestão de Segurança da Informação 
(SGSI). 
Deve contemplar revisões periódicas e 
melhoria contínua.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
A International Organization for 
Standardization (ISO) organiza as 
normas afins em famílias que mantêm 
uma estrutura similar em qualquer tema 
a ser tratado. Uma dessas famílias, da 
segurança da informação, é a ISO 27000.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27001:2006 – Requisitos
O objetivo é especificar os requisitos 
para estabelecer, implementar, operar, 
monitorar, analisar criticamente, 
manter e melhorar um SGSI 
documentado dentro do contexto dos 
riscos de negócio da organização.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABORDAGEM DO PROCESSO
Confidencialidade
IntegridadeDisponibilidade
• Política e objetivos para a
segurança da informação;
• Gerenciar os riscos visando o 
negócio;
• Monitorar o desempenho 
do SGSI; 
• Melhoria contínua.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27001 – PDCA
P
D
C
A
Planejar
SGSI
Operação
do SGSI
Melhoria
Monitorar 
e analisar
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
AUDITORIAS INTERNAS DO SGSI
Conduzir periodicamente e verificar:
• Atendem aos requisitos da ISO 27001 e 
à legislação ou regulamentações;
• Atendem aos requisitos de segurança;
• Estão mantidos e implementados 
eficazmente; 
• São executados conforme esperado.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABNT NBR ISO/IEC 27002:2005 – CÓDIGO DE 
PRÁTICA PARA A GESTÃO DA SEGURANÇA 
DA INFORMAÇÃO 
Tem como objetivo estabelecer 
diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a 
gestão de segurança da informação em 
uma organização.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27002:2005
- Política e Organização da Segurança da Informação; 
- Gestão de Ativos; 
- Segurança em Recursos Humanos, Segurança Física e do 
Ambiente; 
- Gestão das Operações e Comunicações; 
- Aquisição, Desenvolvimento e Manutenção de SI; 
- Gestão de Incidentes e Controle de Acesso; 
- Gestão da Continuidade do Negócio; 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
FATORES CRÍTICOS DE SUCESSO
• Política de Segurança da Informação alinhada ao negócio e
à cultura da empresa;
• Comprometimento e do apoio de todos os níveis gerenciais;
• Análise e avaliação de riscos;
• A divulgação da segurança da informação para todos;
• A existência de recursos financeiros;
• Gestão de incidentes eficiente;
• Avaliar o desempenho da gestão da segurança.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PRINCIPAIS FONTE DE 
REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
Requisitos
Legais
Requisitos
de Negócio
Análise de 
Riscos
Políticas de 
Segurança
Controles
R
e
c
o
m
e
n
d
a
ç
õ
e
s
 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
POLÍTICA DE SEGURANÇA DE TI
Estratégia geral da organização
Planos de desenvolvimento de sistemas
Plano de continuidade de serviços
Planejamento de capacidade
Outros projetos
contribui para a 
estabelece
define
especifica gera impactos sobre
Política de 
segurança de 
informações 
Plano 
estratégico da 
TI 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ESTRATÉGIA DE SEGURANÇA DA 
INFORMAÇÃO
P
a
d
r
o
n
i
z
a
ç
ã
o
A
c
o
m
p
a
n
h
a
m
e
n
t
o
ESTRATÉGICO
TÁTICO
OPERACIONAL
Dire-
trizes
Procedimentos 
T
e
c
n
o
l
o
g
i
a
P
e
s
s
o
a
s
P
r
o
c
e
s
s
o
s
Normas
Comitê de Segurança da 
Informação
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABNT NBR 15999-1:2007 - GESTÃO DE 
CONTINUIDADE
Referência única para situações que envolva a continuidade 
de negócio.
Usada por organizações de grande, médio e pequeno portes: 
indústria, comércio, setor público.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PLANO DE CONTINUIDADE DE NEGÓCIO 
(PCN)
Agir, de forma proativa, realizando um 
planejamento que assegure a 
sobrevivência da empresa nos períodos
de contingência, identificando as 
atividades críticas e as possíveis
ameaças que impeçam a continuação do 
negócio.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
OBJETIVOS ESPECÍFICOS DO PCN
• Manter a integridade de dados
• Proteger as informações vitais
• Manter operacionais os serviços
• Prover serviços temporários até
que os normais sejam restaurados.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PLANO DE GERENCIAMENTO DE INCIDENTES
O PCN é muitas vezes colocado
em segundo plano pela alta
gerência por ser considerado
muito caro e por não
apresentar resultados visíveis
e lucrativos. 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
O PCN não visa lucro, mas evita
maiores prejuízos. Seus resultados só
são notados quando algo de errado
acontece. Muitas vezes a gerência
não tem consciência dos riscos a que
a organização está sujeita e 
menospreza os impactos que um 
incidente pode causar.
SEMINÁRIOS INTEGRADOS EMTI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
de todos os tipos
provenientes de 
diversas fontes
arquivados de
diversos modos
oriundos de
diversos meios
PORQUE O PLANO DE CONTINGÊNCIAS É
NECESSÁRIO?
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PLANO DE GERENCIAMENTO DE INCIDENTES
GCN
Entender a 
organização
Análise
crítica
Implantar
o GCN
Estra-
tégia de
Cont.Neg
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
AUDITORIA DE SISTEMAS
Toda auditoria deve ser planejada, estabelecendo todo o 
escopo do que será realizado. 
Auditoria faz com que os sistemas e a TI fiquem mais seguros. 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
EQUIPE DE AUDITORES DE SISTEMAS
• Equipes especializadas em ATI
• Equipes multidisciplinar
�Generalistas
�Auditores de TI
�Auditores de TI especialistas 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ETAPAS DA AUDITORIA DE SISTEMAS
PLANEJAMENTO DA AUDITORIA
PROGRAMA DE AUDITORIA
CHECK-LIST
AVALIAÇÃO DOS PROCESSOS
EXECUÇÃO/METODOLOGIA/TESTES
RELATÓRIOS
REVISÃO E AVALIAÇÃO DA AUDITORIA 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
METODOLOGIAS DE ENTREVISTAS
Entrevista inicial – Planos, cronograma, objetivos, áreas 
a serem auditadas e metodologias que serão adotadas.
Entrevista de coleta de dados – Identifica pontos fortes, 
falhas e irregularidades.
Entrevistas de discussão das deficiências encontradas –
Expor os pontos de vista e justificativas.
Entrevista de encerramento –
resultados da auditoria: pontos fortes e 
Falhas relevantes e recomendações. 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
CONTROLES ORGANIZACIONAIS
Políticas, procedimentos e estrutura 
organizacional que definem as 
responsabilidades do pessoal da TI.
A partir das políticas, são 
estabelecidos padrões de:
· recursos (humanos ou 
computacionais); 
· desenvolvimento e documentação de 
sistemas;
• prestação de serviços de TI.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
CONTROLES DE OPERAÇÃO DOS SISTEMAS
Operação / Escalonamento do serviço
Desempenho / Capacidade
Helpdesk / Gerência de problemas / Controle de acesso
Backup / Manutenção de hardware / Gerência de rede
SLA – O auditor verifica se os usuários estão satisfeitos 
(disponibilidade/tempo de recuperação após uma falha).
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
RELATÓRIO FINAL DE AUDITORIA
Revisão - conformidade com os padrões da organização. 
Estrutura – definir o público alvo. 
Dados – nome, endereço, setor etc.
Síntese – resumo de seu conteúdo. 
Introdução – estrutura hierárquica 
da TI, principais sistemas e projetos. 
Falhas detectadas - descrição das falhas. 
Conclusão – recomendações para a correção das falhas.