Baixe o app para aproveitar ainda mais
Prévia do material em texto
ProfProf Luiz Roberto Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas SEMINÁRIOS INTEGRADOS EM GESTÃO DA TECNOLOGIA DA INFORMAÇÃO SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas Conteúdo programático • Modelagem dos Processos de Negócio. • Normas de Segurança NBR ISO/IEC 27001, 27002 e 15999; • Auditoria de Sistemas: fases, técnicas e tipos SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas SEGURANÇA DA INFORMAÇÃO Aplicar elementos de proteção que agem sobre um ou mais ativos da empresa, preservando informações, focado em no tripé: Confidencialidade, Integridade e Disponibilidade (CID). SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas SEGURANÇA DA INFORMAÇÃO É necessário uma estrutura que garanta a atualização, adequação e avaliação do processo, justificando assim um Sistema de Gestão de Segurança da Informação (SGSI). Deve contemplar revisões periódicas e melhoria contínua. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas SEGURANÇA DA INFORMAÇÃO A International Organization for Standardization (ISO) organiza as normas afins em famílias que mantêm uma estrutura similar em qualquer tema a ser tratado. Uma dessas famílias, da segurança da informação, é a ISO 27000. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ISO/IEC 27001:2006 – Requisitos O objetivo é especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio da organização. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ABORDAGEM DO PROCESSO Confidencialidade IntegridadeDisponibilidade • Política e objetivos para a segurança da informação; • Gerenciar os riscos visando o negócio; • Monitorar o desempenho do SGSI; • Melhoria contínua. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ISO/IEC 27001 – PDCA P D C A Planejar SGSI Operação do SGSI Melhoria Monitorar e analisar SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas AUDITORIAS INTERNAS DO SGSI Conduzir periodicamente e verificar: • Atendem aos requisitos da ISO 27001 e à legislação ou regulamentações; • Atendem aos requisitos de segurança; • Estão mantidos e implementados eficazmente; • São executados conforme esperado. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ABNT NBR ISO/IEC 27002:2005 – CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO Tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ISO/IEC 27002:2005 - Política e Organização da Segurança da Informação; - Gestão de Ativos; - Segurança em Recursos Humanos, Segurança Física e do Ambiente; - Gestão das Operações e Comunicações; - Aquisição, Desenvolvimento e Manutenção de SI; - Gestão de Incidentes e Controle de Acesso; - Gestão da Continuidade do Negócio; SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas FATORES CRÍTICOS DE SUCESSO • Política de Segurança da Informação alinhada ao negócio e à cultura da empresa; • Comprometimento e do apoio de todos os níveis gerenciais; • Análise e avaliação de riscos; • A divulgação da segurança da informação para todos; • A existência de recursos financeiros; • Gestão de incidentes eficiente; • Avaliar o desempenho da gestão da segurança. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas PRINCIPAIS FONTE DE REQUISITOS DE SEGURANÇA DA INFORMAÇÃO Requisitos Legais Requisitos de Negócio Análise de Riscos Políticas de Segurança Controles R e c o m e n d a ç õ e s SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas POLÍTICA DE SEGURANÇA DE TI Estratégia geral da organização Planos de desenvolvimento de sistemas Plano de continuidade de serviços Planejamento de capacidade Outros projetos contribui para a estabelece define especifica gera impactos sobre Política de segurança de informações Plano estratégico da TI SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ESTRATÉGIA DE SEGURANÇA DA INFORMAÇÃO P a d r o n i z a ç ã o A c o m p a n h a m e n t o ESTRATÉGICO TÁTICO OPERACIONAL Dire- trizes Procedimentos T e c n o l o g i a P e s s o a s P r o c e s s o s Normas Comitê de Segurança da Informação SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ABNT NBR 15999-1:2007 - GESTÃO DE CONTINUIDADE Referência única para situações que envolva a continuidade de negócio. Usada por organizações de grande, médio e pequeno portes: indústria, comércio, setor público. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas PLANO DE CONTINUIDADE DE NEGÓCIO (PCN) Agir, de forma proativa, realizando um planejamento que assegure a sobrevivência da empresa nos períodos de contingência, identificando as atividades críticas e as possíveis ameaças que impeçam a continuação do negócio. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas OBJETIVOS ESPECÍFICOS DO PCN • Manter a integridade de dados • Proteger as informações vitais • Manter operacionais os serviços • Prover serviços temporários até que os normais sejam restaurados. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas PLANO DE GERENCIAMENTO DE INCIDENTES O PCN é muitas vezes colocado em segundo plano pela alta gerência por ser considerado muito caro e por não apresentar resultados visíveis e lucrativos. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas O PCN não visa lucro, mas evita maiores prejuízos. Seus resultados só são notados quando algo de errado acontece. Muitas vezes a gerência não tem consciência dos riscos a que a organização está sujeita e menospreza os impactos que um incidente pode causar. SEMINÁRIOS INTEGRADOS EMTI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas de todos os tipos provenientes de diversas fontes arquivados de diversos modos oriundos de diversos meios PORQUE O PLANO DE CONTINGÊNCIAS É NECESSÁRIO? SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas PLANO DE GERENCIAMENTO DE INCIDENTES GCN Entender a organização Análise crítica Implantar o GCN Estra- tégia de Cont.Neg SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas AUDITORIA DE SISTEMAS Toda auditoria deve ser planejada, estabelecendo todo o escopo do que será realizado. Auditoria faz com que os sistemas e a TI fiquem mais seguros. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas EQUIPE DE AUDITORES DE SISTEMAS • Equipes especializadas em ATI • Equipes multidisciplinar �Generalistas �Auditores de TI �Auditores de TI especialistas SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas ETAPAS DA AUDITORIA DE SISTEMAS PLANEJAMENTO DA AUDITORIA PROGRAMA DE AUDITORIA CHECK-LIST AVALIAÇÃO DOS PROCESSOS EXECUÇÃO/METODOLOGIA/TESTES RELATÓRIOS REVISÃO E AVALIAÇÃO DA AUDITORIA SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas METODOLOGIAS DE ENTREVISTAS Entrevista inicial – Planos, cronograma, objetivos, áreas a serem auditadas e metodologias que serão adotadas. Entrevista de coleta de dados – Identifica pontos fortes, falhas e irregularidades. Entrevistas de discussão das deficiências encontradas – Expor os pontos de vista e justificativas. Entrevista de encerramento – resultados da auditoria: pontos fortes e Falhas relevantes e recomendações. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas CONTROLES ORGANIZACIONAIS Políticas, procedimentos e estrutura organizacional que definem as responsabilidades do pessoal da TI. A partir das políticas, são estabelecidos padrões de: · recursos (humanos ou computacionais); · desenvolvimento e documentação de sistemas; • prestação de serviços de TI. SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas CONTROLES DE OPERAÇÃO DOS SISTEMAS Operação / Escalonamento do serviço Desempenho / Capacidade Helpdesk / Gerência de problemas / Controle de acesso Backup / Manutenção de hardware / Gerência de rede SLA – O auditor verifica se os usuários estão satisfeitos (disponibilidade/tempo de recuperação após uma falha). SEMINÁRIOS INTEGRADOS EM TI Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas RELATÓRIO FINAL DE AUDITORIA Revisão - conformidade com os padrões da organização. Estrutura – definir o público alvo. Dados – nome, endereço, setor etc. Síntese – resumo de seu conteúdo. Introdução – estrutura hierárquica da TI, principais sistemas e projetos. Falhas detectadas - descrição das falhas. Conclusão – recomendações para a correção das falhas.
Compartilhar