Segurana e Auditoria de Sistemas de Informao

UNIMEP

Contedo Programtico
SEMANAS 08/08 15/08 22/08 29/08 05/09 12/09 19/09 26/09 CONTEDO PROGRAMTICO (TPICOS) ATIVIDADES DIRIGIDAS EXTRA-CLASSE Apresentao Disciplina e Introduo Atividade dirigida extra-classe: Pesquisar livros da bibliografia Aula Inaugural FACEN Conceitos de segurana e auditoria de sistemas Atividade dirigida extra-classe: rever conceitos de segurana Polticas de Segurana Atividade dirigida extra-classe: rever conceitos de segurana Ferramentas de Criptografia e Firewalls Atividade dirigida extra-classe: instalar ferramentas e implementar firewall Sistemas de Deteco de Intruso (IDS) Atividade dirigida extra-classe: buscar ferramentas de IDS Importncia da segurana da informao Atividade dirigida extra-classe: rever conceitos de segurana Segurana de aplicaes Web Parte 1 Atividade 01: Profile web application Atividade dirigida extra-classe: fazer relatrio da atividade PROVA 01 RECESSO

03/10 10/10

UNIMEP

Contedo Programtico
SEMANAS 17/10 CONTEDO PROGRAMTICO (TPICOS) e ATIVIDADES DIRIGIDAS EXTRA-CLASSE Segurana de aplicaes Web Parte 2 Atividade 02: Steal cookie Atividade dirigida extra-classe: fazer relatrio da atividade Segurana de aplicaes Web Parte 3 Atividade 03: Login without credentials Atividade dirigida extra-classe: fazer relatrio da atividade Segurana de aplicaes Web Parte 4 Atividade 04: Steal usernames and passwords Atividade dirigida extra-classe: fazer relatrio da atividade Tcnicas de auditoria de sistemas e Anlise de riscos Preparao do relatrio sobre norma NBR ISO 17799 Atividade dirigida extra-classe: fazer relatrio RECESSO PROVA 02 Configurao e uso da ferramentas de anlise de web sites (Rational App Scan) Atividade 05: Logging into the admin portal Atividade dirigida extra-classe: preparar apresentao Configurao e uso da ferramentas de anlise de web sites (Rational App Scan) Atividade 06: Scan web application Atividade dirigida extra-classe: preparar apresentao Apresentao do trabalho final e Encerramento das aulas
UNIMEP

24/10

31/10

07/11

14/11 21/11 28/11

05/12

12/12 3

Aula 04: Polticas de Segurana

UNIMEP

Importncia da segurana da informao

A informao e os processos de apoio, sistemas e redes so
importantes ativos para os negcios.

Dependncia nos Sistemas de Informao significa que as

organizaes esto vulnerveis s ameaas de segurana.

Problemas causados por vrus, hackers e denial of service esto

se tornando cada vez mais comuns, ambiciosos e sofisticados.

UNIMEP

Fontes de ameaas da segurana da informao

Fraudes eletrnicas Espionagem Sabotagem Vandalismo Fogo Inundao Funcionrios Softwares

UNIMEP

Objetivos da segurana da informao

Confidencialidade ou privacidade Integridade dos dados Disponibilidade Consistncia Isolamento ou uso legtimo Auditoria Confiabilidade

UNIMEP

Comprometimento da segurana da informao Quem deve est comprometido com este problema?
Alta gerncia Todos (Documento formal - Poltica )

UNIMEP

O que NBR ISO/IEC 17799

Tecnologia da Informao - Cdigo de prtica para a gesto
da Segurana da Informao.

Equivalente a ISO/IEC 17799:2000

UNIMEP

Estrutura da NBR 17799

Objetivo Termos e definies Poltica de segurana Segurana organizacional Classificao e controle dos ativos de informtica Segurana em pessoas Segurana fsica e do ambiente Gerenciamento das operaes e comunicaes Controle de acesso Desenvolvimento e manuteno de sistemas Gesto da continuidade do negcio Conformidade
10
UNIMEP

Introduo a NBR ISO/IEC 17799

Requisitos de segurana
Fontes principais para estabelecer:
Avaliao de risco dos ativos da organizao Legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender

Conjunto particular de princpios, objetivos e requisitos para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes

11

UNIMEP

Introduo a NBR ISO/IEC 17799

Essenciais, sob o ponto de vista legal:
proteo de dados e privacidade de informaes pessoais; salvaguarda de registros organizacionais; direitos de propriedade intelectual.

12

UNIMEP

Considerados como melhores prticas

documento da poltica de segurana da informao; definio de responsabilidades na segurana da
informao;

educao e treinamento em segurana da informao; relatrio dos incidentes de segurana; gesto de continuidade do negcio.

13

UNIMEP

Fatores Crticos de Sucesso

poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; um enfoque para a implementao da segurana que seja consistente com a cultura organizacional; comprometimento e apoio visvel da direo; um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco; divulgao eficiente da segurana para todos os gestores e funcionrios; distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e fornecedores; proporcionar educao e treinamento adequados; um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

14

UNIMEP

Plano de Contingncia e Continuidade de Servios de Informtica

Definio
Conjunto de procedimentos definido formalmente para permitir que os servios de processamento de dados continuem a operar, dependendo da extenso do problema, com um certo grau de degradao, caso ocorra algum evento que no possibilite seu funcionamento normal.

15

UNIMEP

Plano de Contingncia e Continuidade de Servios de Informtica

Objetivo
O Objetivo do Plano de Continuidade de Servios no dar lucro e sim evitar maiores prejuzos.

16

UNIMEP

Plano de Contingncia e Continuidade de Servios de Informtica

Uma das metas minimizar o tempo de parada. Deve fazer parte de uma estratgia ou poltica de
continuidade de negcios mais abrangente na empresa

17

UNIMEP

Questionamentos
Por que o Plano de Continuidade de Servios
Necessrio?

problema especfico do Departamento de Informtica ou

de toda a Empresa?

As decises devem ser tratadas como decises tcnicas

do Departamento TI ou como decises de negcios?

18

UNIMEP

Fases do Planejamento de Contingncia

Atividades Preliminares
Comprometimento da alta Gerncia Estudo Preliminar

Anlise de Impacto
Identificao dos recursos, funes e sistemas crticos Definio do tempo limite para recuperao Relatrio de Anlise de Impacto

19

UNIMEP

Fases do Planejamento de Contingncia

Anlise das Diversas Alternativas de Recuperao

Preveno de acidentes Backup Armazenamento de dados Recuperao de dados Procedimentos manuais Seguros Acordos Comerciais Solues Internas Relatrio das Alternativas para a Recuperao dos Servios Computacionais

20

UNIMEP

Desenvolvimento do Plano de Contingncias

Designao de grupo de recuperao de contingncias Resposta imediata a um desastre

Identificar e compreender o problema Conter os danos, limitando ou parando o problema

21

UNIMEP

Desenvolvimento do Plano de Contingncias

Determinar os danos causados Restaurar os sistemas Eliminar as causas Comunicar o problema e as solues aos interessados, contatar
seguradoras, etc.

Escolha da instalao reserva Identificao de aplicativos crticos Inventrio de arquivos e programas crticos Identificao de requerimentos de sistema

22

UNIMEP

Desenvolvimento do Plano de Contingncias

Identificao de requerimentos de rede de telecomunicaes Identificao de documentao e suprimentos necessrios Procedimentos de recuperao na instalao reserva Contatos com fornecedores Cuidados Adicionais
Retirada do pessoal Documentos em papel Documentos em meios magnticos

23

UNIMEP

Treinamento

Teste
Teste Integral Teste Parcial Teste Simulado

Avaliao dos Resultados e Atualizao do Plano

24

UNIMEP

Crditos
Slides do professor Manfred Heil Junior,
manfred@manfred.com.br

25

UNIMEP