controles de segurança da informação
DESCRIPTION
Como estabelecer governança sobre os riscos através da definição de políticas, implantação de controles e auditoria. Slides apresentados em palestra no Infnet em 2011.TRANSCRIPT
![Page 1: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/1.jpg)
Controles de Segurança de TI
Thiago Branquinho, CISA, CRISC
Junho de 2011
![Page 2: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/2.jpg)
Controles de TI Page 2
Por que falar sobre segurança?
![Page 3: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/3.jpg)
Controles de TI Page 3
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Ficarmos longe de problemas
Aumento dos casos de exposição
Novas brechas de potencial ataque
Consequências catastróficas para a
reputação
Maiores perdas financeiras por vazamento de informações
Novas regulamentações
globais sobre privacidade
Aumento de ameaças e ataques
Objetivos
![Page 4: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/4.jpg)
Controles de TI Page 4
Por que falar sobre segurança?
Isso não acontece…
Até enfrentarmos os problemas!
Temos que fazer isso…
Mas como fazer bem feito?
Ficarmos longe de problemas Fazer melhor o nosso trabalho
Aumento dos casos de exposição
Novas brechas de potencial ataque
Consequências catastróficas para a
reputação
Maiores perdas financeiras por vazamento de informações
Novas regulamentações
globais sobre privacidade
Uso efetivo da tecnologia
Atividades coordenadas de
gerenciamento de riscos
Aumento de ameaças e ataques
Políticas de segurança
melhoradas
Compliance com base no
custo/benefício
Controles racionalizados e
otimizados
Proteger melhor os ativos e
informações chave
Objetivos
![Page 5: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/5.jpg)
Controles de TI Page 5
Segurança de TI em 2011
Tendências
► Man in the browser (MITB)
► Segurança de arquivos
► Smartphones
► Co-evolução de Cloud e hacking
► Atacante interno
► Redes sociais
► Convergência de regulações
► Segurança proativa
► Segurança como parte dos processos de
negócio
► Hacktivismo de infraestruturas críticas
Demandas
► Endpoint security
► Controle de acesso reforçado
► Proteção contra malware
► Criptografia de mídias
► Conscientização de usuários
► Security at Cloud (IaaS, SaaS and PaaS)
► Proteção de dados em trânsito e em repouso
► Continuidade de negócios (disponibilidade,
integridade, recuperação)
► Gestão de contratos
► Segurança de Infraestrutura Crítica
► Segurança de redes de automação
► Prevenção de Stuxnet-like
Tendências e demandas
![Page 6: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/6.jpg)
Controles de TI Page 6
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
![Page 7: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/7.jpg)
Controles de TI Page 7
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
![Page 8: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/8.jpg)
Controles de TI Page 8
Definições
► Ações
► Proteger ativos
► Informações
► Equipamentos
► Instalações
► Pessoal
► Evitar/reduzir perdas de
produtividade
► Auxiliar na redução de prejuízos
► Alinhada com o negócio
► Suficiente
► Confortável
► Dentro do melhor custo/benefício
Segurança da Informação
Confidencialidade
Compartilhamento apenas com pessoas autorizadas
Disponibilidade
Acessibilidade quando necessária, por aqueles
que têm direito
Integridade
Informação autêntica, completa e confiável
![Page 9: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/9.jpg)
Controles de TI Page 10
Ameaças
• Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas
Naturais
• Intencionais (vírus, cavalos de troia, operação inapropriada)
• Não intencionais (falta de habilidade do usuário, falhas de configuração)
Humanas
• Falta de energia, falha no sistema de climatização Ambientais
► Antigamente...
► Ataques destrutivos: Chernobyl, Sexta-
feira 13 e Madonna
► Motivação dos atacantes: demonstrar
habilidades
► Hoje...
► Ataques multi-estágio, silenciosos:
construção de botnets
► Foco em aplicações e controle remoto
► Motivação dos atacantes: dinheiro
► Principal alvo: usuários
63 % clicam “OK” sem ler a mensagem
(IDG Now, 25 de setembro de 2008)
![Page 10: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/10.jpg)
Controles de TI Page 11
Como estas ameaças podem nos impactar?
Impactos
Imagem e consumidor
• Referência da Marca
• Reputação
• Confiança
Financeiros
• Queda de ações
• Redução de vendas
• Pagamentos de multas
Produtividade
• Navegação improdutiva
• SPAM
• Sistemas desligados
• Muitos chamados de Help desk
Conformidade
• Falha no atendimento de leis e normas
• Quebra de contratos
![Page 11: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/11.jpg)
Controles de TI Page 12
Casos da Vida Real
Fonte: EXAME.com
![Page 12: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/12.jpg)
Controles de TI Page 13
Casos da Vida Real
► Ford tem projeto (B402) e plano
estratégico divulgados (2005)
► Supostamente gravados em um CD
► Projeto cancelado (R$ 800 mi)
► Vazamento da prova do ENEM (2009)
► Pessoal envolvido com a impressão
► Prejuízo de R$ 40 mi
► Hacker trocou senha e pediu R$ 350 mil
(2008)
► Órgão federal
► 24 horas sem operar, 3.000 pessoas sem
acesso
► “Mortos-vivos” da previdência (atual)
► Inconsistência na atualização/verificação
dos óbitos
► R$ 1,67 bi em fraudes
![Page 13: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/13.jpg)
Controles de TI Page 14
Riscos
► Dicionários
► Risco: “possibilidade de perda”
► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar,
e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou
outras medidas de segurança”
► (ISC)²
► Gerenciamento de Risco: “a aprendizagem de conviver com a
possibilidade de que eventos futuros podem ser prejudiciais”, e o
“gerenciamento de risco reduz riscos pelo reconhecimento e controle de
ameaças e vulnerabilidades”
Conceitos
![Page 14: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/14.jpg)
Controles de TI Page 15
Riscos Composição
Vulnerabildade
Ameaça
Impacto
Ativo
explora
causando
Risco
exposição
Probabilidade
Impacto
![Page 15: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/15.jpg)
Controles de TI Page 16
Riscos
Aplicação de controles
Vulnerabildade
Ameaça
Impacto
Ativo Controle
bloqueia
elimina
reduz
![Page 16: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/16.jpg)
Controles de TI Page 17
Riscos
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Posicionamento
Riscos
Probabilidade
Impacto
![Page 17: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/17.jpg)
Controles de TI Page 18
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
![Page 18: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/18.jpg)
Controles de TI Page 19
Controles
► As demandas de segurança são
definidas a partir dos:
► Objetivos de negócio
► Riscos
► Compromissos normativos,
contratuais e legais
Definindo as demandas de segurança
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
![Page 19: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/19.jpg)
Controles de TI Page 20
Controles
► Diretivas e objetivos de controle
► Definição de macro processos
► Alinhamento com as demandas de
segurança com o auxílio de
documentos como:
► CobiT
► ISO 27000
► ISO 20000 (ITIL)
► ISO 15408 (Common Criteria)
► Exemplo de texto:
► “Os sistemas da informação
precisam ser mantidos íntegros”
Políticas e Gestão
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
![Page 20: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/20.jpg)
Controles de TI Page 21
Aplicação de Controles
► Definições técnicas e operacionais
► Tem como referência:
► Documentos do NIST
► Guias OWASP, OSA
► Guias de configurações de
fabricantes
► Exemplo de texto:
► “Os sistemas da informação
precisam utilizar antivírus,
configurado da maneira xyz”
Implantação
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
![Page 21: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/21.jpg)
Controles de TI Page 22
Controles
► A auditoria revisa os controles e
permite a melhoria contínua de
processos, serviços e da segurança
► Referências
► Planos de auditoria do ISACA
► Exemplo de texto:
► “Os sistemas estão mantendo sua
integridade?”
► “Vamos analisar os logs e os
padrões de configuração do
antivírus”
Validação
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
![Page 22: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/22.jpg)
Controles de TI Page 23
Controles
► A segurança de sistemas e das
informações é obtida com a
implantação de controles, que podem
ser distribuídos em três categorias:
► Gerenciais
► Técnicos
► Controles estabelecidos por sistemas
► Operacionais
► Controles realizados por seres humanos
► Natureza dos controles
► Preventivos
► Detectivos
► Corretivos
• Gerenciamento de riscos
• Governança Gerenciais
• Controle de acesso
• Proteção de dados
• Proteção de comunicações
Técnicos
• Conscientização
• Continuidade
• Gestão de configurações e mudanças
Operacionais
![Page 23: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/23.jpg)
Controles de TI Page 24
Am
bie
nte
de
Segura
nça d
e T
I
Extra
ído d
o s
ite d
a O
SA
: http
://ww
w.o
pensecurity
arc
hite
ctu
re.o
rg
![Page 24: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/24.jpg)
Controles de TI Page 25
Genérico
![Page 25: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/25.jpg)
Controles de TI Page 26
Dados
![Page 26: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/26.jpg)
Controles de TI Page 27
Nuvem E
xtra
ído d
o s
ite d
a O
SA
: http
://ww
w.o
pensecurity
arc
hite
ctu
re.o
rg
![Page 27: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/27.jpg)
Controles de TI Page 28
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
![Page 28: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/28.jpg)
Controles de TI Page 29
Auditoria
► Financeiras
► Operacionais
► Integradas
► Administrativas
► Sobre Sistemas da Informação
► Especializadas/ Atestação
► Forenses
Preparação do relatório
Alinhamento dos resultados
Interpretação de resultados
Execução
Planejamento pré-auditoria
Definição do escopo
Definição dos objetivos
Definição do tema
Tipos e etapas
![Page 29: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/29.jpg)
Controles de TI Page 30
Auditoria
Concluir a auditoria
Alinhar expectativas Estabelecer recomendações
Realizar testes substantivos
Testes detalhados Orientação para as boas práticas
Realizar testes de conformidade
Definir controles-chaves Testes de aderência às políticas e procedimentos
Entender os controles internos
Ambiente Procedimentos Riscos Auto-avaliações
Obter informações e planejar
Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos
Orientação aos riscos
![Page 30: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/30.jpg)
Controles de TI Page 31
Control Self Assessment
0. Identificar processos e
objetivos
1. Identificar e avaliar riscos
2. Identificar e avaliar controles
3. Desenvolver questionários
4. Coletar e analisar
respostas
Panorama e Benefícios
6. Ações
5. Treinamento e conscientização
• Detecção antecipada de riscos
• Melhoria dos controles internos
• Redução de custos em controles
• Melhoria da pontuação de auditoria
![Page 31: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/31.jpg)
Controles de TI Page 32
Agenda
Introdução
Controles de segurança
Auditoria de TI
Discussão
![Page 32: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/32.jpg)
Controles de TI Page 33
Discussão
► A segurança é um processo contínuo
► Planejar, Fazer, Verificar, Agir
► Os objetivos do negócio e seus riscos devem ser os balizadores para a
definição de controles que serão:
► Formalizados em políticas
► Implantados em sistemas e processos
► Verificados pela auditoria
![Page 33: Controles de segurança da informação](https://reader031.vdocuments.site/reader031/viewer/2022020721/557e72b0d8b42a7b5c8b4e66/html5/thumbnails/33.jpg)
Controles de TI Page 34
Discussão
Demandas de
Segurança
Auditoria
Implantação
Políticas e Gestão
Posicionamento
Riscos
Probabilidade
Impacto