Auditoria de Segurança da

Informação

Prof. Paulo Fernando da Silva

Faculdades SENAC
Pós-Graduação em Segurança da Informação
 Conceitos Básicos

• Qual a importância da informação?

• O uso das informações evoluiu nas

organizações?
 Conceitos Básicos
• Qual a importância da informação?
– Financeira; Estratégica; Operacional, etc...

• Antigamente...
– Centralizados e não automático;
• Depois...
– Automatização dos processos;
 Conceitos Básicos
• Atualmente...
– Tecnologia da informação;
– Informação de alto nível;
– Alta conectividade;
– Aplicações conectadas:
• B2B;
• B2C;
• Comércio eletrônico;
• ERPs;
 Conceitos Básicos
• Fundamental para os processos e
negócios da empresa;
• Clientes, fornecedores, parceiros e
governos conectados;

• Este cenário traz risco para as

empresas.
• Quais riscos?
 Conceitos Básicos
• As empresas têm grande atenção aos
seus ativos físicos e financeiros;
• E não protegem os ativos de
informação;
• Ativos da informação:
– A própria informação;
– Meio de armazenamento;
– Todo processo e manipulação;
 Conceitos Básicos
• Então é preciso criar medida para
proteção dos ativos da informação;
• Segurança da Informação:
– Área responsável pela proteção dos ativo da
informação;
– Acesso não autorizado;
– Alterações indevidas;
– Indisponibilidade.
 Conceitos Básicos
• Três propriedades da segurança da
informação:
– Confidencialidade;
– Integridade;
– Disponibilidade;
 Conceitos Básicos
• Confidencialidade:
– Protege o conteúdo;
– Apenas lê quem tem direito;
– Protege por grau de sigilo;
 Conceitos Básicos
• Integridade:
– Modificação durante o trânsito;
– Informação não pode ser alterada;
– Informação igual a original;
– Apenas quem tem direito pode modificar;
 Conceitos Básicos
• Disponibilidade:
– A informação deve estar disponível;
– Quando quem tem direito deseja acessar;
– Exceto em situações previstas, como
manutenção.
 Conceitos Básicos
• Gestão Corporativa de Segurança:
– Considera o negócio da empresa como um
todo;
• Incluí mais dois conceitos:
– Autenticidade;
– Legalidade;
 Conceitos Básicos
• Autenticidade:
– Identificação dos elementos da transação;
– Acesso através da identificação;
– Comunicação, transações eletrônicas,
documentos, etc.
 Conceitos Básicos
• Legalidade:
– Valor legal da informação;
– Análise de cláusulas contratuais;
– Concordância com a legislação.
 Conceitos Básicos – Outros
• Autorização;
• Auditoria;
• Relevância do ativo;
• Relevância do Processo;
• Criticidade;
• Irretratabilidade;
 Conceitos Básicos
• Autorização:
– Concessão de permissão;
– Acesso a informações ou aplicações;
– Em um processo de troca de informações;
– Depende da identificação e autenticação;
 Conceitos Básicos
• Relevância do Ativo:
– Grau de importância de uma informação;
– Quando os processos dependem da
informação;
– Quando a organização depende da
informação;
 Conceitos Básicos
• Relevância do Processo:
– Grau de importância do processo;
– Objetivos da organização dependem dele;
– Sobrevivência da organização depende do
processo;
 Conceitos Básicos
• Criticidade:
– Gravidade do impacto no negócio;
– Ausência de um ativo da informação;
– Perda ou redução de funcionalidade;
– Uso indevido ou não autorizado de ativos da
informação.
 Conceitos Básicos
• Irretratabilidade:
– Sinônimo de não-repúdio;
– Informação possuí a identificação do emissor;
– A identificação autentica o autor;
– Autor não pode negar a geração da
informação.
 Ameaças e Ataques
• Ameaças:
– Agentes ou condições;
– Causam incidentes que comprometem as
informações;
– Exploram vulnerabilidades;
– Perda de confidencialidade, integridade e
disponibilidade;
– Causam impacto nos negócios da
organização.
 Ameaças e Ataques
• Ameaças externas ou internas;
• As ameaças sempre existirão;
– Independente dos controles de segurança;
• As medidas podem eliminar as
vulnerabilidades;
• E neutralizar as ameaças;
 Ameaças e Ataques
• Classificação das ameaças:
– Intencionais;
– Acidentais;
– Internas;
– Externas;
 Ameaças e Ataques
• Ameaças exploram vulnerabilidade
para realizar ataques.
• Ataques:
– Tentativa de quebras as propriedades de
segurança;
– Confidencialidade, integridade e
disponibilidade;
– Outras propriedades estudadas;
O papel das Ameaças
 Definição de Controles
• Políticas de Segurança;
• Normas ISO;
• Tipos de Políticas;
 Definições
• Conjunto de regras;
• Determina como as informações são
geridas;
• Deve ser ampla e simples;
• Revisão contínua;
• Apoio da alta administração;
 Definições
• Define objetivos;
• Define responsabilidades;
• Define Penalidades;
 Definições
• BS7799: norma inglesa;
• BS7799-1 = ISO 17799: código de boas
práticas de segurança;
• BS7799-2 = ISO 27001: requisitos para
estabelecer, implementar e documentar SGSI;

• ISO 17799 e 27001 foram traduzidos pela

ABNT.
 Definição
• CobiT: modelo de governança de TI;
– 30% relacionado com segurança;
• ISO 15408 (Common Criteria):
– Define e avalia requisitos de segurança em
sistemas;
– Volume 1: Definições e Metodologia;
– Volume 2: Requisitos de Segurança;
– Volume 3: Metodologias de Avaliação;
 ISO 27001
• Define um “Sistemas de Gestão da
Segurança da Informação”

• Usa o ciclo PDCA

– Planejar (plain);
– Fazer ou implementar (do);
– Monitorar (check);
– Melhorar (act);
ISO 27001
 ISO 27001
• Possui 11 seções:
– Política de Segurança;
– Organizando a Segurança da Informação;
– Gestão de Ativos;
– Segurança em Recursos Humanos;
– Segurança Física e do Ambiente;
– Gerenciamento das Operações e
Comunicações;
 ISO 27001
• Possui 11 seções:
– Controle de Acesso;
– Aquisição, Desenvolvimento e Manutenção
de Sistemas de Informação;
– Gestão de Incidentes de Segurança;
– Gestão de Continuidade do Negócio;
– Conformidade;
 ISO 27001
• Norma encoraja:
– Entendimento de requisitos de segurança;
– Necessidade de uma política de segurança;
– Implementação de controles;
– Gerência de riscos;
– Monitoração e revisão do SGSI;
– Melhoria contínua;
 Políticas Organizacionais
• Aplicada a toda a organização;
• Define objetivos;
• Define responsabilidades;
• Define escopo;
• Cita leis e regulamentos;
 Políticas Organizacionais
• Observações:
– Não existem modelos prontos de política;
– Não existe política certa ou errada;
– A política deve ser definida de acordo com
cada organização;
 Políticas Específicas
• Trata que questões detalhas;
• De um determinado setor;
• Do uso de um determinado serviços;
• Ex: e-mail:
– Uma política específica pode definir detalhes
sobre o relacionamento dos usuários com o
serviços de e-mail;
 Políticas de Sistemas
• Definem as configurações dos sistemas;
• Ex.: Banco de Dados, Sistemas
Operacionais;
• De forma que os sistemas estejam de
acordo com a política organizacional;
 Plano de Contingência
• É mais amplo que o plano de recuperação
de desastres;
• Plano global para manter os ativos em
funcionamento;
• São procedimentos pré-estabelecidos
para o caso de ataques;
• Muitas empresas não sobrevivem à perda
de seus ativos;
 Plano de Contingência
• Preservação: tentar evitar a destruição
dos ativos;
• Recuperação: possibilidade de
disponibilizar novamente ativos que foram
destruídos;
• São 2 conceitos importantes para a
continuidade;
Gestão de Segurança...
Gestão de Segurança...
 Conceitos Básicos
• Auditoria:
– Coleta de evidências;
– Busca a identificação de entidades;
– Busca a origem, o destino e os meios de
tráfego da informação.
 Serviços e Mecanismos
Auditoria
• Auditoria engloba análise:
– das operações;
– dos processos;
– dos sistemas;
– das responsabilidades;
• Objetivo de verificar conformidade com
normas, regras, políticas ou padrões;
 Serviços e Mecanismos
Auditoria
• Auditoria abrange:
1. Identificação de Controles;
2. Aplicação de Procedimentos de
Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;
 Serviços e Mecanismos
Auditoria
• Identificação de Controles:
– Fiscalização sobre atividades de pessoas,
órgãos ou produtos;
• Três tipos de controles:
– Preventivo: prevenir ataques. Ex: Senhas;
– Detectivo: detectar ataques. Ex: Relatório
de acesso;
– Corretivo: reduzir impactos. Ex: Plano de
Continuidade;
 Serviços e Mecanismos
Auditoria
• Aplicação de Procedimentos:
– Geralmente são Checklists;
– Averiguação de procedimentos;
– Para formação do opinião do auditor;
 Serviços e Mecanismos
Auditoria
• Achados da Auditoria:
– Fatos observados pelo auditor;
– Devem ser relevantes;
– Devem ser baseados em evidências;
 Serviços e Mecanismos
Auditoria
• Papéis de Trabalho:
– Registros que provam os fatos
observados pelo auditor;
– Documentos, tabelas, listas, etc;
– Dão suporte ao relatório de auditoria;
– Contêm verificações, testes, etc;
 Serviços e Mecanismos
Auditoria
• Recomendações de auditoria:
– É feito na fase de relatório;
– Apresentação dos achados;
– Apresentação dos papéis de auditoria;
– Sugestões de medidas corretivas;
 Serviços e Mecanismos
Auditoria
• Uma Auditoria geralmente envolve:
– Avaliação da política de segurança;
– Controle de acessos lógicos;
– Controle de acessos físicos;
– Plano de Continuidade de Negócio;
 Atividade 1
• Escolher um capítulo da ISO 27002 e
definir \ exemplificar em um estudo de
caso:
1. Identificação de Controles;
2. Aplicação de Procedimentos de
Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;
53
 Fases do Processo – ISO
15504-5
• Descreve o processo de auditoria

• Objetivo: determinar de forma

independente a aderência dos produtos e
processos selecionados com as
especificações, planos e contrato, quando
apropriado.

54
 Resultados do Processo
• O processo de auditoria envolve:

1. Uma estratégia de auditoria

2. Análise da Aderência dos produtos de

trabalho selecionados ou processo em
relação as especificações de acordo com a
estratégia

55
 Resultados do Processo
• O processo de auditoria envolve:

3. Realização por uma empresa independente

4. Comunicação de problemas identificados

para a tomada de ações corretivas.

56
 Fases do Processo
• Fase 1 – Estratégia de auditoria:
– Definir o objetivo, escopo, marcos de
acompanhamento, critério e equipe de
auditoria

• Fase 2 – Selecionar os auditores:

– Independentes, imparciais e objetivos.

57
 Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...
– Plano de Auditoria

58
 Atividades 2.1
• Definir um plano de auditoria para a
política recebida por seu grupo.

59
 Fases do Processo
• Fase 3 – Verificação de conformidade:
– Verificar os itens definidos na estratégia
– Registrar as não conformidades

• Fase 4 – Relatório de auditoria:

– Confecção e divulgação do relatório de
auditoria

60
 Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...
– Relatórios com evidências
– Aplicabilidade dos controles

61
 Atividades 2.2
• Descrever relatório de auditoria para a
política recebida por seu grupo.

62
 Fases do Processo
• Fase 5 – Tomada de ações corretivas:
– Pode ser ação imediata ao prevista para
próxima auditoria.

• Fase 6 – Acompanhar a resolução:

– Auditor deve revisar as ações corretivas e
atualizar seus relatório com base na mudanças

63
 Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...
– Solicitação de plano de ação até o final da
auditoria!!!

64
 Atividades 2.3
• Descrever ações corretivas e atualizar o
relatório de auditoria para a política recebida
por seu grupo.

www.inf.furb.br/~paulofernando/download/pos

• DEFINIR CONTROLES, EVIDÊNCIAS E

RECOMENDAÇÕES para a política de seu
grupo!!! 65
 Auditoria Interna – ISO 27003
• Orientação para auditoria interna

• Realizada em intervalos regulares

• Resultados com base em evidências

• Reservar tempo adequado para coleta de

evidências
66
 Auditoria Interna – ISO 27003
• Avaliar controles, processos e questões
legais

• E se são efetivamente implementados e

mantidos

• Convém que métricas de implementação

sejam analisadas
67
 Auditoria Interna – ISO 27003
• Deve ser considerada a importância do
controle para a organização

• Deve analisar o resultado de auditorias

anteriores

• Convém documentar critérios, escopo

aplicável, frequência e método utilizados
68
 Auditoria Interna – ISO 27003
• Ao selecionar os auditores, convém
garantir a objetividade e a imparcialidade
do processo de auditoria

• Sugestão de fases:
1. Planejamento e execução da auditoria;
2. Divulgação dos resultados;
3. Proposição das ações corretivas e preventivas

69
 Auditoria Interna – ISO 27003
• Convém que as não conformidades e suas
causas sejam tratadas de forma adequada e
tempestivamente
• Isto não significa necessariamente que não
conformidades tenham que ser corrigidas de
imediato
• Convém que as ações corretivas realizadas
incluam verificação das atitudes tomadas e um
relatório com os resultados dessa verificação

70
 Atividade 3 – Checklist de
SegInfo
• Checklist de Auditoria ISO 19977
• Avaliar e definir evidências...

• Discussão em grupo!!!

71
 Atividade a ser entregue
• Descrever as 6 fases da auditoria para o
cenário de trabalho de seu grupo.
• Documentos específicos (estudo de caso):
– Plano de auditoria
– Relatório de auditoria
– Plano de ações corretivas

72