Auditoria e Controles de Segurança da Informação - Aula_07

Prévia do material em texto

Auditoria e Controles de Segurança da Informação
Aula 7
Controles de Segurança
Prof. Msc Sheila Monteiro
Controles de Segurança
ISO27001
COBIT
Matriz RACI
3
ISO27001
Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Informação (SGSI)
ISO27001
Controle de Segurança
4
Política de segurança
Organizando a segurança da informação
Segurança física e do ambiente
Segurança nas operações e comunicações
Aquis., desenv. e manut. de sistemas
 Gestão de incidentes de segurança da informação
Gestão da cont. do negócio
 Conformidade
Gestão de ativos
Segurança em recursos humanos
Controle de acessos
ISO27001
Controle de Segurança
A.5 Política de Segurança
Documento
Análise crítica
ISO27001
Controle de Segurança
A.6 Organizando a segurança da Informação
Parte Interna
Parte externa
Parte Interna
Comprometimento da direção 
Coordenação da Segurança
Atribuição de responsabilidades
Processo de autorização para os recursos de TI
Acordos de confidencialidade
Contato com autoridades
Contato com grupos especiais
Análise crítica independente
Parte Externa
Ident. dos riscos com as partes externas
Ident.a segurança (acordos com terceiros)
Ident. a segurança (clientes)
ISO27001
Controle de Segurança
A.7 Gestão de Ativos
Responsabilidades pelos ativos
Classificação da Informação
Responsabilidade pelos ativos
Inventário dos ativos
Proprietário dos ativos
Uso aceitável dos ativos
Classificação da Informação
Recomendação para a classificação
Rótulos e tratamento da Informação
ISO27001
Controle de Segurança
A.8 Segurança em recursos humanos
Antes da contratação
Durante a contratação
Termos e condições de contratação
Antes da contratação
Papéis e responsabilidades
Seleção
Termos e condições de contratação
Durante a contratação
Responsabilidade da direção
Rótulos e tratamento da Informação
Processo disciplinar
Encerramento ou mudança da contratação
Encerramento de atividades
Devolução de ativos
Retirada de direitos de acesso
ISO27001
Controle de Segurança
A.9 Segurança física e do ambiente
Áreas seguras
Segurança de equipamentos
Áreas seguras
Perímetro de segurança física
Proteção contra ameaças externas e do meio ambiente
Trabalhando em áreas seguras
Acesso do público, áreas de entrega e carregamento
Controles de entrada física
Segurança em escritórios, salas e instalações
Segurança de equipamentos
Instalação e proteção do equipamento
Manutenção dos equipamentos
Segurança dos equip. fora das depend. da org.
Reutilização e alienação segura de equipamentos
Utilidades
Segurança do cabeamento
Remoção de propriedade
ISO27001
Controle de Segurança
19
A.10 Gerenciamento das operações e comunicações
Procedimentos e responsabilidades operacionais
Gerenciamento de serviços terceirizados
Planejamento e aceitação dos sistemas
Proteção contra códigos maliciosos e códigos móveis
Cópias de segurança
Gerenciamento da segurança em redes
Manuseio de mídias
Troca de informações
Serviços de comércio eletrônico
Monitoramento
Procedimentos e responsabilidades operacionais
Documentação dos procedimentos de operação
Separação dos recursos de desenvolvimento, teste e de produção
Gestão de mudanças
Segregação de funções
Gerenciamento de serviços terceirizados
Entrega de serviços
Monitoramento e análise crítica de serviços terceirizados
Gerenciamento de mudanças para serviços terceirizados
Planejamento e aceitação dos sistemas
Entrega de serviços
Monitoramento e análise crítica de serviços terceirizados
Gerenciamento de mudanças para serviços terceirizados
Planejamento e aceitação dos sistemas
Entrega de serviços
Monitoramento e análise crítica de serviços terceirizados
Gerenciamento de mudanças para serviços terceirizados
Proteção contra códigos maliciosos e códigos móveis
Controle contra códigos maliciosos
Controles contra códigos móveis
Cópias de segurança
Cópias de segurança das informações
Gerenciamento da segurança em redes
Controles de redes Controle
Segurança dos serviços de rede
Manuseio de mídias
Gerenciamento de mídias removíveis
Descarte de mídias
Procedimentos para tratamento de informação
Segurança da documentação dos sistemas
Troca de informações
Políticas e procedimentos para troca de informações
Acordos para a troca de informações
Mídias em trânsito
Mensagens eletrônicas
Sistemas de informações do negócio
Serviços de comércio eletrônico
Comércio eletrônico
Transações on-line
Informações publicamente disponíveis
Monitoramento
 Registros de auditoria
 Monitoramento do uso do sistema
Proteção das informações dos registros (logs)
 Registros (log) de administrador e operador
 Registros (logs) de falhas
 Sincronização dos relógios
ISO27001
Controle de Segurança
31
A.11 Controle de acessos
Requisitos de negócio para controle de acesso
Gerenciamento de acesso do usuário
Responsabilidades dos usuários
Controle de acesso à rede
Controle de acesso à aplicação e à informação
Computação móvel e trabalho remoto
32
Requisitos de negócio para controle de acesso
 Política de controle de acessos
33
Gerenciamento de acesso do usuário
Registro de usuário
Gerenciamento de privilégios
Gerenciamento de senha do usuário
Análise crítica dos direitos de acesso de usuário
Responsabilidades dos usuários
Registro de usuário
Gerenciamento de privilégios
Gerenciamento de senha do usuário
Análise crítica dos direitos de acesso de usuário
Controle de acesso à rede
Política de uso dos serviços de rede
Autenticação para conexão externa do usuário
Identificação de equipamento em redes
Proteção e configuração de portas de diagnóstico remotas
Segregação de redes
Controle de conexão de rede
Controle de roteamento de Redes
Controle de acesso ao sistema operacional
Procedimentos seguros de entrada no sistema (log-on)
Identificação e autenticação de usuário
Sistema de gerenciamento de senha
Uso de utilitários de sistema
Desconexão de terminal por inatividade
Limitação de horário de conexão
Controle de acesso à aplicação e à informação
Restrição de acesso à informação
Isolamento de sistemas sensíveis
Computação móvel e trabalho remoto
Computação e comunicação móvel
Trabalho remoto
ISO27001
Controle de Segurança
39
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
Requisitos de segurança de sistemas de informação
Processamento correto de aplicações
Controles criptográficos
Segurança dos arquivos do sistema
Segurança em processos de desenvolvimento e de suporte
Gestão de vulnerabilidades técnicas
Requisitos de segurança de sistemas de informação
Análise e especificação dos requisitos de segurança
Processamento correto de aplicações
Validação dos dados de entrada
Controle do processamento interno
Integridade de mensagens
Validação de dados de saída
Controles criptográficos
Política para o uso de controles criptográficos
Gerenciamento de chaves
Processamento correto de aplicações
Validação dos dados de entrada
Controle do processamento interno
Integridade de mensagens
Validação de dados de saída
Segurança dos arquivos do sistema
Controle de software operacional
Proteção dos dados para teste de sistema
Controle de acesso ao código- fonte de programa
Segurança em processos de desenvolvimento e de suporte
Procedimentos para controle de mudanças
Análise crítica técnica das aplicações após mudanças no sistema operacional
Restrições sobre mudanças em pacotes de software
Vazamento de informações
Desenvolvimento terceirizado de software
Gestão de vulnerabilidades técnicas
Controle de vulnerabilidades técnicasISO27001
Controle de Segurança
47
A.13 Gestão de incidentes de segurança da informação
Notificação de fragilidades e eventos de segurança da informação
Gestão de incidentes de segurança da informação e melhorias
Notificação de fragilidades e eventos de segurança da informação
Notificação de eventos de segurança da informação
Notificando fragilidades de segurança da informação
Gestão de incidentes de segurança da informação e melhorias
Responsabilidades e procedimentos
Aprendendo com os incidentes de segurança da informação
Coleta de evidências
ISO27001
Controle de Segurança
50
A.14 Gestão da continuidade do negócio
Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
Incluindo segurança da informação no processo de gestão da continuidade de negócio
Continuidade de negócios e análise/avaliação de risco
Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
Estrutura do plano de continuidade do negócio
Testes, manutenção e reavaliação dos planos de continuidade do negócio
ISO27001
Controle de Segurança
52
A.15 Conformidade
Conformidade com requisitos legais
Conformidade com normas e políticas de segurança da informação e conformidade técnica
Considerações quanto à auditoria de sistemas de informação
Conformidade com requisitos legais
Identificação da legislação vigente
Direitos de propriedade intelectual
Proteção de registros organizacionais
Proteção de dados e privacidade da informação pessoal
Prevenção de mau uso de recursos de processamento da informação
Regulamentação de controles de criptografia
Considerações quanto à auditoria de sistemas de informação
Controles de auditoria de sistemas de informação
Proteção de ferramentas de auditoria de sistemas de informação
Conformidade com requisitos legais
Identificação da legislação vigente
Direitos de propriedade intelectual
Proteção de registros organizacionais
Proteção de dados e privacidade da informação pessoal
Prevenção de mau uso de recursos de processamento da informação
Regulamentação de controles de criptografia
O que vem depois?
Na próxima aula conheceremos os controles de segurança do COBIT e os controles de Segurança Críticos do SANS Institute os , até lá!
Dúvidas nesta aula? 
Procure seu tutor! 
Obrigada e até a próxima aula!