Baixe o app para aproveitar ainda mais
Prévia do material em texto
Veja discussões, estatísticas e perfis de autor para esta publicação em: https://www.researchgate.net/publication/225917829 Uma estrutura de auditoria de segurança para gerenciar a segurança do sistema de informações Documento de Conferência · Setembro de 2010 DOI: 10.1007 / 978-3-642-15717-2_2 CITAÇÕES 11 LEITURA 2.434 2 autores: Alguns dos autores desta publicação também estão trabalhando nesses projetos relacionados: Health Care Critical Knowledge Monitor SytemModel Ver projeto e democracia Ver projeto Teresa pereira Instituto Politécnico de Viana do Castelo 54 PUBLICAÇÕES 432 CITAÇÕES VER PERFIL Henrique santos Universidade do Minho 196 PUBLICAÇÕES 1.057 CITAÇÕES VER PERFIL Todo o conteúdo que segue esta página foi carregado por Henrique santos em 11 de março de 2014. O usuário solicitou aprimoramento do arquivo baixado. https://www.researchgate.net/publication/225917829_A_Security_Audit_Framework_to_Manage_Information_System_Security?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_2&_esc=publicationCoverPdf https://www.researchgate.net/publication/225917829_A_Security_Audit_Framework_to_Manage_Information_System_Security?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_3&_esc=publicationCoverPdf https://www.researchgate.net/project/Health-Care-Critical-Knowledge-Monitor-Sytem-Model?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_9&_esc=publicationCoverPdf https://www.researchgate.net/project/e-democracy?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_9&_esc=publicationCoverPdf https://www.researchgate.net/?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_1&_esc=publicationCoverPdf https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_4&_esc=publicationCoverPdf https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_5&_esc=publicationCoverPdf https://www.researchgate.net/institution/Instituto_Politecnico_de_Viana_do_Castelo?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_6&_esc=publicationCoverPdf https://www.researchgate.net/profile/Teresa-Pereira-14?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_7&_esc=publicationCoverPdf https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_4&_esc=publicationCoverPdf https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_5&_esc=publicationCoverPdf https://www.researchgate.net/institution/University-of-Minho?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_6&_esc=publicationCoverPdf https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_7&_esc=publicationCoverPdf https://www.researchgate.net/profile/Henrique-Santos-28?enrichId=rgreq-d0110e706b56fee3b08fd73c4f372f5c-XXX&enrichSource=Y292ZXJQYWdlOzIyNTkxNzgyOTtBUzoxMDQ5OTY3Mzc2NTA2OTZAMTQwMjA0NDU4MjI2OA%3D%3D&el=1_x_10&_esc=publicationCoverPdf Uma estrutura de segurança para auditar e gerenciar a segurança do sistema de informação Teresa Susana Mendes Pereira Departamento de Informática Escola Superior de Estudos Empresariais Instituto Politécnico de Viana do Castelo Valença, Portugal Email: tpereira@esce.ipvc.pt Henrique santos Departamento de Sistema de Informação Escola de engenharia Universidade do Minho Guimarã˜es, Portugal Email: hsantos@dsi.uminho.pt Abstrato —Auditar a segurança dos sistemas de informação é difícil e torna-se fundamental para garantir o dia a dia das atividades operacionais das organizações, bem como para promover a concorrência e criar novas oportunidades de negócio. Uma estrutura de segurança conceitual para gerenciar e auditar a segurança do sistema de informação é proposta e discutida O framework proposto é baseado em uma abordagem de modelo conceitual, com base na ISO / IEC_JCT1 padrões, para ajudar as organizações a gerenciar melhor sua segurança de sistemas de informação. Palavras-chave- Gestão de auditoria de segurança, segurança de sistema de informação, ontologia e modelo conceitual. Eu eu NTRODUÇÃO As operações de agilidade e acessibilidade promovidas pelas tecnologias de informação e comunicação, em particular a Internet e os novos serviços habilitados para a Internet, fazem com que as organizações se tornem fortemente dependentes do desempenho dos seus sistemas de informação. Por outro lado, a evolução da comunicação sem fio e o rápido crescimento e disponibilidade de novos serviços para facilitar a acessibilidade, como, por exemplo, os novos serviços de computação em nuvem, vêm ganhando popularidade não apenas pelas organizações, mas também por usuários genéricos. . Embora essas novas soluções ofereçam um serviço melhor com iniciativas tecnológicas promissoras a baixo custo operacional, elas também trazem um conjunto de riscos novos e inesperados [5]. Consequentemente, novas formas de proteção de segurança tornam-se cruciais e os procedimentos de segurança existentes podem precisar ser revisados. Uma estratégia é realizar auditorias regulares de segurança do sistema de informação, para avaliar o desempenho do gerenciamento de segurança da informação e analisar se as práticas de segurança existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o avaliar o desempenho do gerenciamento de informações de segurança e analisar se as práticas de segurança existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o avaliar o desempenho do gerenciamento de informações desegurança e analisar se as práticas de segurança existentes precisam ser revisadas. Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Uma auditoria de segurança de um sistema de informação é conduzida para avaliar a eficácia da capacidade de uma organização de proteger seus ativos valiosos ou críticos [5]. Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o Este artigo pretende apresentar uma abordagem investigada para melhorar a gestão da segurança por meio de uma estrutura conceitual desenvolvida para auxiliar as organizações a classificar ataques, identificar ativos e mitigar suas vulnerabilidades e ameaças. O framework proposto é baseado em um modelo conceitual com capacidade de representar os conceitos semânticos e seus relacionamentos no domínio da segurança da informação, de fi nido de acordo com o padrão de segurança estabelecido ISO / IEC_JTCI1 1 [ 4]. O artigo está estruturado da seguinte forma: na seção II será apresentada uma visão geral dos conceitos de gestão de segurança; a seção III apresenta o modelo conceitual proposto, que contém os conceitos semânticos especi fi cados no domínio segurança da informação, e seus relacionamentos, hierarquicamente estruturados em uma ontologia; a seção IV apresenta a proposta de framework para gerenciar e auditar a segurança de sistemas de informação, com base na estrutura da ontologia; conclusões e trabalhos futuros são apresentados na seção V. II. S ECURIDADE M ANAGEMENT A gestão da segurança dos sistemas de informação preocupa cada vez mais as organizações, devido à dependência crescente das organizações da tecnologia para conduzir os seus negócios, para criar uma vantagem competitiva e obter um maior ROI. As organizações dependem significativamente da tecnologia, como a Internet, para operações comerciais e transações comerciais seguras [6]. No entanto, as organizações devem considerar como vão ter sucesso no ambiente de risco em constante mudança, uma vez que os controles técnicos por si só não são mais garantidos, mas dependem principalmente de outros requisitos de segurança como legislação, cultura ou meio ambiente [6]. Atualmente a segurança é um princípio fundamental para o desempenho dos negócios das organizações. Como resultado, as organizações precisam desenvolver estratégias de gerenciamento de segurança em resposta aos requisitos de segurança da informação em evolução. Uma estratégia de segurança adequada exige um processo rigoroso, semelhante a qualquer outro processo de negócio, onde cada agente interagindo com recursos críticos precisa estar atento e participar da gestão da segurança, tanto adotando comportamentos seguros quanto avaliando continuamente o desempenho do controle de segurança [1]. A auditoria regular da segurança do sistema de informação é uma abordagem para avaliar as práticas e operações dos sistemas de informação da organização. Um processo de auditoria permitirá obter evidências da eficiência das políticas de segurança dos sistemas de informação das organizações para manter a integridade, confidencialidade e disponibilidade dos ativos, a segurança típica das organizações. 1 Organização Internacional de Normalização (ISO) / Comissão Eletrotécnica Internacional (IEC), Comitê Técnico Conjunto (JTC 1) 2010 IEEE / WIC / ACM Conferência Internacional sobre Web Intelligence e Intelligent Agent Technology 978-0-7695-4191-4 / 10 $ 26,00 © 2010 IEEE DOI 10.1109 / WI-IAT.2010.244 29 Objetivos. Existem alguns modelos ou frameworks para apoiar a auditoria de segurança, na maioria das vezes baseados em interpretações mais ou menos liberais dos conceitos fundamentais de segurança [5]. É importante ressaltar que existem diretrizes para auditoria de segurança, fornecidas por autoridades reconhecidas. Os exemplos mais relevantes são a autoridade da Associação de Auditoria e Controle de Segurança da Informação (ISACA 2) que fornece diretrizes para auditoria de segurança e melhores práticas de segurança para auditoria de informações, sistemas e processos. Eles estipulam auditorias de sistemas de computador e diretrizes de controle, como os objetivos de controle da informação e tecnologia relacionada (CoBIT 3) desenvolvido pelo IT Governance Institute. Alternativamente, existem os Diretrizes para auditoria de sistemas de gestão de segurança da informação, lançado em 2007 por ISO / IEC e a lista de verificação ISO 17799 [2] desenvolvida pela SANS 4 ( Administração do Sistema, Rede e Segurança). Esses padrões definem com precisão os procedimentos principais, mas são limitados quanto às relações estritas ou fl uxos de processo necessários para realizar uma tarefa de segurança, como uma auditoria. Para suprir essa lacuna, é apresentado um framework de apoio à auditoria de segurança de sistemas de informação, com base em um modelo conceitual. III. P ROPOSED C ONCEPTUAL M ODEL O framework proposto é baseado na ontologia conceitual, que modela os conceitos fundamentais de ataques, ameaças e vulnerabilidades, e suas relações com outros conceitos de segurança. O modelo conceitual de fi nido compreende 8 conceitos e 16 relacionamentos, com base nos padrões de segurança ISO / IEC_JCT1, conforme ilustrado na figura 1. Esses conceitos são descritos a seguir: Incidente - Um único ou uma série de indesejáveis ou eventos inesperados que podem ter probabilidade significativa de comprometer a segurança do sistema de informações. (Segurança) Evento - Uma ocorrência identificada de um conjunto particular de circunstâncias que alteraram o status da segurança do sistema de informações. Ativo - qualquer recurso que tenha valor e importância portância para a organização, que inclui infraestruturas de informação, programas, redes e comunicações, software, sistemas operativos, dados e pessoas. CIA - As propriedades da informação a serem asseguradas, a saber: confidencialidade, integridade e disponibilidade; além dessasprincipais propriedades de segurança, e dependendo do contexto, outras propriedades de segurança podem precisar ser abordadas, tais como: autenticidade, responsabilidade e confiabilidade. 2 http://www.isaca.org/ 3 http://www.itgi.org/ 4 http://www.sans.org AmeaçaAtaque Procedimentos Ao controle materializado detectEvent detectIncident reduza ameaça Evento Incidente De ativos CIA efeito proteger madeFromEvent hasSecurityProperty areEffectedBy perda de na direção protectAsset Política Orientações Salvaguarda subclasse Propriedade Relação protectCIA Vulnerabilidade temexplorar Figura 1. Conceitos e relacionamentos definidos na estrutura conceitual, adaptado de [9] Ameaça - Representa os tipos de perigos contra um determinado conjunto de propriedades (propriedades de segurança). Os atributos definidos neste conceito seguem a abordagem P fl eeger (P fl eeger 2007), que incluem as ações ou posição de um invasor para realizar uma interceptação, fabricação, modificação e interrupção sobre um recurso. Ataque - Uma sequência de ações executadas por alguns agente (automático ou manual) que explora qualquer vulnerabilidade e produz um ou mais eventos de segurança. Controle - Um mecanismo usado para detectar um incidente ou um evento, para proteger um ativo e suas propriedades de segurança, para reduzir uma ameaça e para detectar ou prevenir os efeitos de um ataque. Vulnerabilidade - Representa qualquer fraqueza do sistema. Em suma, o racional por trás da ontologia é estruturado da seguinte forma: um incidente é feito de - madeFromEvent - eventos; a ocorrência de um evento pode levar à perda de - perda de - um conjunto de propriedades de segurança (CIA); um ativo tem propriedades de segurança - hasSecurityProperties - e cada um 30 Det ecta r / P rev entA ttac k pode ser afetado por uma ameaça; por outro lado, uma ameaça pode afeto uma ou mais propriedades de segurança; e, finalmente, um ativo tem vulnerabilidades. Uma ameaça é materializado por um ataque, enquanto os ataques explorar uma ou mais vulnerabilidades; um ataque também é acionado na direção um ativo. Além disso, a implementação de mecanismos de controle ajudam a reduzir ameaças, para detectar e evita um ataque, para proteger propriedades de segurança, para proteger ativos e vulnerabilidades, bem como detectar eventos, a fim de proteger ativos [7]. A descrição desses conceitos e seus relacionamentos, apresentados na ontologia, foi formalizada por meio da utilização da linguagem padrão W3C para modelagem de ontologias Web Ontology Language (OWL). Esta linguagem da web foi desenvolvida pelo Web Ontology Working Group como parte da W3C Semantic Web Activity [11]. Apesar do OWL não ter sido projetado para expressar especificamente questões de segurança, ele foi selecionado por ser uma recomendação do W3C desde fevereiro de 2004 e por sua expressividade com interpretabilidade superior por máquina. O OWL é baseado no Resource Description Framework (RDF) e no Resource Description Framework Schema (RDFS). Na verdade, o vocabulário OWL é uma extensão do RDF e usa a sintaxe RDF / XML. A formalização desta ontologia em OWL será um passo adiante para promover sua interoperabilidade entre diferentes sistemas de segurança da informação. Na próxima seção, será apresentado o framework proposto, que segue a estrutura hierárquica dos conceitos semânticos representados na ontologia de fi nida, e tenta fornecer uma maneira fácil de entender a interface do usuário para que todos os usuários de uma organização possam participar da segurança auditoria como tarefas. 4. P ROPOSED S ECURIDADE F RAMEWORK PARA M UMA IDADE E UMA UDIT eu NFORMAÇÃO S YSTEM S ECURIDADE O estabelecimento de ISO / IEC_JTC1 os padrões promoveram a padronização dos conceitos semânticos definidos no domínio da segurança da informação. O correto entendimento e identificação desses conceitos são o principal requisito a ser considerado na execução de uma avaliação adequada da eficácia da segurança do sistema de informação, e ainda para identificar e caracterizar um incidente de segurança ocorrido, bem como estimar seus impactos. A estrutura conceitual proposta pretende auxiliar a organização, em primeiro lugar, para determinar com precisão o que deve ser protegido (os ativos) e suas fragilidades (vulnerabilidades) envolvidas em sua atividade diária. Em segundo lugar, para avaliar quais vulnerabilidades podem ser exploradas por um ataque, bem como as ameaças que podem ser materializadas em um ataque. Por fim, avalie a eficiência e eficácia da política e dos controles implementados, a fim de avaliar se eles estão sendo implementados corretamente ou se precisam de algum ajuste [7]. A Figura 2 ilustra a estrutura conceitual proposta, apresentando esses três conceitos nucleares: ataque, ameaça e ativos. O auditor pode selecionar o conceito a partir do qual pretende iniciar o processo de auditoria e prosseguir para o direcionado Figura 2. Estrutura desenvolvida conceitos relacionados. Cada conceito contém uma lista de elementos que estão ligados aos demais conceitos, conforme a estrutura hierárquica dos conceitos semânticos, de fi nidos na ontologia. Esses três conceitos foram incluídos no front-end da estrutura, ao invés dos demais, devido à natureza da operação de auditoria que o auditor pretende realizar. Tradicionalmente, uma auditoria de segurança é realizada após a ocorrência de um incidente (reativo seguido por uma auditoria corretiva), ou seja, quando um ativo é comprometido. Neste caso, é solicitada uma auditoria para determinar a origem do ataque e como ocorreu o incidente, procedendo-se com os mecanismos corretivos adequados. No entanto, uma auditoria de segurança não se trata apenas de investigar violações de segurança, mas sim de mitigar ameaças reconhecidas, a fim de garantir: (1) a conformidade de segurança; (2) a segurança de ativos críticos; (3) os controles certos estão no lugar certo. Nesta última visão, uma auditoria de segurança é realizada no contexto do processo de gerenciamento de riscos de segurança e visa produzir ou avaliar uma política de segurança. Por ser conduzido pelos principais conceitos e seus relacionamentos definidos por uma ontologia, o framework proposto pretende auxiliar as organizações a compreender, preparar e realizar auditorias de segurança, por si mesmas. Essa estrutura não se concentra exclusivamente nos controles técnicos envolvidos com a segurança da informação, mas impõe procedimentos e práticas para ajudar as organizações a manterem níveis consistentemente altos de informações úteis e de boa qualidade sobre seus sistemas de segurança da informação. Dentro da ontologia, cada conceito é mapeado para assuntos reais. Por exemplo, um ataque de código malicioso está conectado / vinculado aos ativos afetados, à vulnerabilidade que ele explora e às propriedades de segurança que foram comprometidas. Apesar da grande quantidade de informações disponíveis para completar uma ontologia básica, aceitamos que cada organização desenvolverá sua visão única de conscientização de segurança. O framework é modular em relação a este aspecto, permitindo evoluir a ontologia adicionando os assuntos relevantes. Dessa forma, o auditor pode prosseguir com permitindo a evolução da ontologia adicionando os assuntos relevantes. Dessa forma, o auditor pode prosseguir com permitindo a evolução da ontologia adicionando os assuntos relevantes. Dessa forma, o auditor pode prosseguir com 31 o exame das vulnerabilidades relevantes nos ativos que possam comprometer a segurança do sistema de informação, dentro da organização; ou o auditor pode acompanhar as análises de novas ameaças que podem ser materializadas em um ataque. Adicionalmente, o framework proposto inclui as funções típicas de ferramentas semelhantes, possibilitando um conjunto de funcionalidades, como a possibilidade do auditor gerar um relatório com todas asetapas realizadas, bem como a data de registro da auditoria. De acordo com os resultados dos exames do auditor, ele também pode agendar a próxima auditoria. Além disso, se o auditor durante seu exame detectar um novo incidente, ou seja, um ataque que não consta na lista de ataques, o auditor deve relatar esse novo ataque com suas funcionalidades, que serão validadas pelo administrador do framework e, após isso, o administrador irá indexar o ataque à lista de ataques. V. C ONCLUSÃO E F UTURA C ORK Convém que auditorias regulares de segurança sejam realizadas não apenas como uma resposta reativa a um incidente ocorrido, mas também como auditorias proativas para avaliar se os controles e procedimentos de segurança adotados por uma organização são adequados para proteger seus ativos valiosos e críticos. A necessidade de estudo permanente de ataques, ameaças e vulnerabilidades de ativos em um sistema de informação é essencial devido à sua contínua evolução e aos impactos significativos em uma organização. O gerenciamento desses conceitos requer uma compreensão detalhada dos conceitos de segurança e de seus relacionamentos. Esse entendimento pode ajudar as organizações a implementar a combinação certa de controles de proteção para mitigar os riscos de segurança relacionados às vulnerabilidades dos ativos. O artigo discute a implementação de um modelo conceitual, para apoiar o auditor a compreender os requisitos de negócio na gestão da segurança de uma organização, nomeadamente para: (1) identificar adequadamente os ativos avaliados ou críticos; (2) identificar adequadamente as vulnerabilidades dos ativos; (3) identificar e mitigar ameaças potenciais; (4) avaliar os riscos; (5) avaliar a eficiência e eficácia das políticas de segurança e salvaguardas definidas e, portanto, analisar e implementar os ajustes necessários à política de segurança adotada. Esta solução apresenta uma nova perspectiva para modelar informações, no domínio da segurança, uma vez que é baseada em um modelo conceitual com capacidades para descrever de forma rica os múltiplos recursos de segurança dentro de uma organização. Além disso, permite que uma organização evolua sua própria instanciação da ontologia de segurança, obedecendo a conceitos padrão, mas incorporando sua visão e risco assumido de exposição. Adicionalmente, a formalização desta ontologia em OWL será um importante recurso para promover sua interoperabilidade entre diferentes sistemas de segurança da informação, bem como sua integração em outro sistema de representação de conhecimento no domínio da segurança. Como trabalhos futuros pretendemos avaliar a aplicação do framework proposto e analisar se o sistema cumpre a evolução dos ataques à segurança do sistema de informação. R EFERÊNCIAS [1] Da Veiga, A. e Eloff, JHP, Um governador de segurança da informação - quadro financeiro. Gestão de Sistemas de Informação 24, 361- 372, 2007. [2] Gerenciamento de Segurança da Informação, Parte 2: Especificação para In- sistemas de gerenciamento de segurança de formação AS / NZS 7799.2: 2003 BS 7799.2: 2002 (2003), [on-line], SANS, http://www.sans.org/ score / checklists / ISO 17799 checklist.pdf. [3] ISO / IEC FDIS 27000 Tecnologia da informação - Tecnologia de segurança niques - Sistemas de gerenciamento de segurança da informação Visão geral e vocabulário, escritório de direitos autorais ISO. Genebra, Suíça (2009). [4] ISO / IEC FDIS 27001 Tecnologia da Informação - Tecnologia de Segurança niques - Sistemas de gestão de segurança da informação - Requisitos, escritório de direitos autorais ISO. Genebra, Suíça (2005). [5] Onwubiko, C., 2009. Uma Estrutura de Auditoria de Segurança para Segurança Gestão na empresa. Em Segurança Global, Proteção e Sustentabilidade. Dentro 5ª Conferência Internacional, ICGS3 2009, Londres, Reino Unido, 1-2 de setembro de 2009. [6] Onwubiko, C., Lenaghan, AP, Challenges and complexities de gerenciamento de segurança da informação. Int. J. Electronic Security and Digital Forensic, vol. 2, No. 3, pp.306-321. [7] Pereira, Teresa, Santos, Henrique, 2009. An Ontology Based Abordagem à segurança da informação. Comunicação em Informática e Ciência da Informação, Sartori, Fabio; Sicilia, Miguel-Angel; Manouselis, Nikos, Eds. 2009, XIII, 330 p., Capa mole. 3ª Conferência Internacional, Pesquisa de Metadados e Semântica (MTSR 2009). ISBN: 978-3-642-04589-9, pp. 183- 193. Springer 2009, Milão, Itália. 30 de setembro - outubro 2009 [8] P fl eeger, Charles, P., P fl eeger, Shari, L. (2007). Segurança em Computing, 4ª ed., Prentice Hall PTR. [9] Santos, HD, ISO / IEC 27001 A norma das normas em Segurança da Informação, Publicação da Associação Portuguesa para a Qualidade, pp 11-19, Ano XXXV, N 1, ISSN 0870-6743, Primavera de 2006. [10] Walker, David M., Jones, Ronald L. (2001). Gestão Guia de Planejamento para Auditoria de Segurança de Sistemas de Informação, publicação especial da National State Auditors Association e do US General Accounting Office, 10 de dezembro, 2001, [on-line]. Disponível em: http://www.gao.gov/special. pubs / mgmtpln.pdf. [11] Smith, Michael K., Welty, Chris, McGuinness, Deborah L .: OWL Web Ontology Language Guide, [on-line], recomendação W3C de 10 de fevereiro de 2004. Relatório técnico, W3C (2004). Disponível em: http://www.w3.org/TR/owl-guide/. 32 VViieai credowppuubblliiccaattiiosobren ssttaattss https://www.researchgate.net/publication/225917829
Compartilhar