auditoria informática
DESCRIPTION
Política de Segurança em Auditoria de Sistemas de InformaçãoTRANSCRIPT
1 1
AUDITORIA INFORMÁTICA
2
2
POLÍTICA DE SEGURANÇA
3
Política de Segurança
• Em um país, temos a legislação que deve ser seguida
para que tenhamos um padrão de conduta considerado
adequado às necessidades da nação para garantia de seu
progresso e harmonia. Não havia como ser diferente em
uma empresa. Nesta precisamos definir padrões de
conduta para garantir o sucesso do negócio. (ABREU,
2002)
• Uma política de segurança consiste num conjunto
formal de regras que devem ser seguidas pelos
utilizadores dos recursos de uma organização
4
Política de Segurança
Segundo Wadlow (2000, p.40) uma política de segurança atende a
vários propósitos:
• Descreve o que está sendo protegido e por quê;
• Define prioridades sobre o que precisa ser protegido em primeiro
lugar e com qual custo;
• Permite estabelecer um acordo explícito com várias partes da
empresa em relação ao valor da segurança;
• Fornece ao departamento de segurança um motivo válido para dizer
“não” quando necessário;
• Proporciona ao departamento de segurança a autoridade
necessária para sustentar o “não”;
• Impede que o departamento de segurança tenha um desempenho
fútil.
5
Política de Segurança
• Sua criação e sua definição envolvem conhecimentos abrangentes
de segurança, ambiente de rede, organização, cultura, pessoas e
tecnologias, sendo uma tarefa complexa e trabalhosa.
• Porém a dificuldade maior será na implementação desta política
criada, quando todos os funcionários devem conhecer a política,
compreender para que as normas e procedimentos estabelecidos
realmente sejam seguidos por todos os funcionários.
• A implementação pode ser considerada a parte mais difícil da
política de segurança.
6
Política de Segurança
• As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.
• As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
• O documento que define a política de segurança deve ser um documento de fácil leitura e compreensão, além de resumido.
• Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
7
Política de Segurança
• Existem duas filosofias por trás de qualquer política de segurança: a proibitiva
(tudo que não é expressamente permitido é proibido) e a permissiva (tudo
que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
• A Disponibilidade: O sistema deve estar disponível de forma que quando o
usuário necessitar, possa usar. Dados críticos devem estar disponíveis
ininterruptamente.
• A Utilização: O sistema deve ser utilizado apenas para os determinados
objetivos.
• A Integridade: O sistema deve estar sempre íntegro e em condições de ser
usado.
• A Autenticidade: o sistema deve ter condições de verificar a identidade dos
usuários, e este ter condições de analisar a identidade do sistema.
• A Confidencialidade: dados privados devem ser apresentados somente aos
donos dos dados ou ao grupo por ele liberado.
8
Política de Segurança
• A segurança deve ser considerada um dos assuntos mais
importantes dentre as preocupações das organizações. Deve-se
entender que segurança da informação não é uma tecnologia. Não
é possível comprar um dispositivo que torne a rede segura ou um
software capaz de tornar seu computador seguro. Segurança da
informação não é um estado que se pode alcançar.
• ….. A Segurança não é uma questão técnica, mas uma questão
gerencial e humana. Não adianta adquirir uma série de dispositivos
de hardware e software sem treinar e conscientizar o nível gerencial
da empresa e todos os seus funcionários. (OLIVEIRA, 2001, p.43)
9
Política de Segurança
• A segurança é a direção em que se pretende chegar,
mas a empresa deve saber que nunca chegará de
facto ao destino. O que é possível fazer é administrar
um nível aceitável de risco. Segurança é um processo,
pode-se aplicar o processo à rede ou à empresa
visando melhorar a segurança dos sistemas.
(WADLOW, 2000, p.25]
• “A segurança é a direção em que se pretende chegar!”
10
CLASSIFICAÇÃO DA INFORMAÇÃO
• O objetivo da Classificação da Informação é assegurar que os
activos da informação recebam um nível adequado de
proteção. A informação deve ser classificada para indicar a
importância, a prioridade e o nível de proteção. A informação
possui vários níveis de sensibilidade e criticidade.
• Alguns itens podem necessitar um nível adicional de protecção
ou tratamento especial. Um sistema de classificação da
informação deve ser usado para definir um conjunto apropriado
de níveis de proteção e determinar a necessidade de medidas
especiais de tratamento.
• “Not all information has the same value or importance to
Organization. Information exists in many forms, and different
types of information have different values to the Organization
and therefore information requires different levels of protection”.
11
CLASSIFICAÇÃO DA INFORMAÇÃO
• Secreta
• Confidencial
• Interna
• Pública
12
CLASSIFICAÇÃO DA INFORMAÇÃO
Secreta
• Estas informações devem ser acessadas por um número
restrito de pessoas e o controle sobre o uso destas
informações deve ser total, são informações essenciais
para a empresa, portanto, sua integridade deve ser
preservada. O acesso interno ou externo por pessoas não
autorizadas a esse tipo de informação é extremamente
crítico para a instituição.
13
CLASSIFICAÇÃO DA INFORMAÇÃO
Confidencial
• Estas informações devem ficar restritas ao ambiente
da empresa, o acesso a essessistemas e informações
é feito de acordo com a sua estrita necessidade, ou
seja, os usuários só podem acessá-las se estes forem
fundamentais para o desempenho satisfatório de suas
funções na instituição. O acesso não autorizado à
estas informações podem causar danos financeiros ou
perdas de fatia de mercado para o concorrente.
14
CLASSIFICAÇÃO DA INFORMAÇÃO
Interna
• Essas informações não devem sair do âmbito da
instituição. Porém, se isto ocorrer as conseqüências
não serão críticas, no entanto, podem denegrir a
imagem da instituição ou causar prejuízos indiretos
não desejáveis.
Pública
• Informações que podem ser divulgadas para o público
em geral, incluindo clientes,fornecedores, imprensa,
não possuem restrições para divulgação.
15
Segurança da Informação
• A Segurança da Informação se refere à proteção
existente sobre as informações de uma determinada
empresa ou pessoa, isto é, aplica-se tanto as
informações corporativas quanto às pessoais.
Entende-se por informação todo e qualquer conteúdo
ou dado que tenha valor para alguma organização ou
pessoa. Ela pode estar guardada para uso restrito ou
exposta ao público para consulta ou aquisição
16
Segurança da Informação
• Podem ser estabelecidas métricas para a definição do
nível de segurança existente e, com isto, serem
estabelecidas as bases para análise da melhoria ou não
da situação de segurança existente.
• A segurança de uma determinada informação pode ser
afectada por factores comportamentais e de uso de
quem se utiliza dela, pelo ambiente ou infra-estrutura
que a cerca ou por pessoas mal intencionadas que têm
o objetivo de furtar, destruir ou modificar tal informação.
17
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser
encontrado em:
• Controles físicos: são barreiras que limitam o contato ou
acesso direto a informação ou a infra-estrutura (que garante
a existência da informação) que a suporta.
Existem mecanismos de segurança que apóiam os
controles físicos:
Portas / trancas / paredes / blindagem / guardas / etc ..
• Controles lógicos: são barreiras que impedem ou limitam
o acesso a informação, que está em ambiente controlado,
geralmente eletrônico, e que, de outro modo, ficaria exposta
a alteração não autorizada por elemento mal intencionado.
18
Segurança Física e Segurança
lógica
Segurança física Objectivos
Do pessoal Reduzir os riscos devido a erros humanos, roubo, fraudes e/ou má utilização dos recursos existentes
Das instalações Requisitos da localização e estrutura dos edifícios destinados aos centros de informática de forma a garantir um nível de segurança adequado
Segurança lógica Objectivos
Gestão e controlo de acessos
O acesso ao SI informatizado deve ser condicionado pelo uso de passwords
Gestao do SI informatizado e da rede
Assegurar uma segura e adequada gestão de todos os computadores existentes na rede
Segurança dos sistemas aplicativos
Manutenção da segurança dos sistemas aplicacionais
19
Mecanismos de segurança
• Existem mecanismos de segurança que apóiam os controles lógicos:
• Mecanismos de criptografia. Permitem a transformação reversível
da informação de forma a torná-la ininteligível a terceiros. Utiliza-se
para tal, algoritmos determinados e uma chave secreta para, a partir
de um conjunto de dados não criptografados, produzir uma sequência
de dados criptografados. A operação inversa é a decifração.
• Assinaturas digital, Um conjunto de dados criptografados,
associados a um documento do qual são função, garantindo a
integridade e autenticidade do documento associado, mas não a sua
confidencialidade.
• Mecanismos de garantia da integridade da informação. Usando
funções de "Hashing" ou de checagem, consistindo na adição.
20
Mecanismos de segurança
• Mecanismos de controle de acesso,Palavras-chave, sistemas
biométricos, firewalls, cartões inteligentes.
• Mecanismos de certificação, Atesta a validade de um documento.
• Integridade, Medida em que um serviço/informação é genuíno, isto
é, está protegido contra a personificação por intrusos.
• Honeypot, É o nome dado a um software, cuja função é detectar ou
de impedir a ação de um cracker, de um spammer, ou de qualquer
agente externo estranho ao sistema, enganando-o, fazendo-o
pensar que esteja de fato explorando uma vulnerabilidade daquele
sistema.
• Existe hoje em dia um elevado número de ferramentas e
sistemas que pretendem fornecer segurança. Alguns exemplos
são os detectores de intrusões, os anti-vírus, firewalls,, filtros
anti-spam, analisadores de código, etc
21
AUDITORIA INFORMÁTICA E A
SEGURANÇA
• Os tipos de controlos proporcionam à gestão empresarial e
também aos auditores um dado nível de segurança
quando à fiabilidade da informação e quando ao
funcionamento de todo um SI
• É necessário concentrar a atenção das organizações nos
aspectos que vão condicionando o meio profissional
como, por exemplo, a segurança em TI, os requisitos
legais, as medidas de segurança para a protecção de
dados pessoais e a protecção da privacidade no sector
das telecomunicações.
22
AUDITORIA INFORMÁTICA E A
SEGURANÇA
• Em relação a segurança da TI importa dizer que se
assiste há alguns anos a configuração de um novo
modelo cuja orientação é a construção da confiança. Um
dos objectivos básicos do mencionado modelo é
contribuir para a actual sociedade da informação, com a
requerida confiança nos seus SI e nas possíveis
interações dos mesmos.
• Trata-se de um domínio vasto e complexo, que afecta a
legislação vigente, a administração, a formação, a
consciência ética e, obviamente, a TI;
• Apresenta uma dimensão internacional
23
AUDITORIA INFORMÁTICA E A
SEGURANÇA
É importante continuar a pensar em temas como:
• Os contributos da tecnologia de detecção e de respostas a ataques que perturbem a segurança dos SI;
• Os mecanismos e técnicas de segurança, nomeadamente a criptografia, esteganografia e os critérios de avaliação dessa segurança;
• Diferença entre o domínio da segurança e o da tecnologia, o que dirige as considerações para os campos da ética e da dimensão sociológica das tecnologias;
• A projeção social do que deve ser ainda realizado e decidido, até a nível governamental, relativamente a proteção de dados pessoais e as medidas de segurança dos ficheiros automatizados que contenham dados de carácter pessoal;
• Os aspectos jurídicos relevantes em matéria de comércio electrónico;
• E, finalmente, os contributos provenientes da auditoria dos SI informatizados.
24
AUDITORIA INFORMÁTICA E A
SEGURANÇA
• A Esteganografia é o estudo das técnicas de
ocultação de mensagens dentro de outras,
diferentemente da Criptografia, que a altera de
forma a tornar seu significado original
ininteligível.
25
AUDITORIA INFORMÁTICA E A
SEGURANÇA
Segurança Física
• É importante a segurança física dos computadores. Deve-se avaliar o grau de segurança proporcionado aos recursos envolvidos no ambiente de sistemas em relação às ameaças externas existentes, como é o caso de um sinistro ou de um incêndio.
• O ambiente onde os servidores ficam deve ter restrição de acesso físico, limpeza e organização, dispositivos para monitoramento vinte e quatro horas por dia e equipamentos de combate a sinistros.
• A infra-estrutura para os servidores deve contar com rede elétrica estabilizada e cabeamento estruturado. As estações de trabalho devem ter mobília adequada, equipamentos protegidos com lacres ou cadeados, limpeza e configuração compatível com a carga de trabalho.
26
AUDITORIA INFORMÁTICA E A
SEGURANÇA
Segurança de Redes
• Quanto à segurança de redes as seguintes medidas de segurança
devem ser tomadas: uso da criptografia no envio de dados,
monitoramento do sistema, cuidados com a criação de novos usuários e
uso de firewall, pois o firewall é um sistema desenvolvido para prevenir
acessos não autorizados a uma rede local de computadores.
• Os firewalls são implementados através de programas de computador e
dispositivos eletrônicos. Através dele, os dados que entram ou saem da
rede são examinados com a finalidade de bloquear os dados que não
estão de acordo com os critérios de segurança.
• Apenas usuários autorizados podem ter acesso à rede e dentro da rede,
eles só podem ter acesso aos recursos realmente necessários para a
execução de suas tarefas. Sendo que os recursos críticos devem ser
monitorados e seu acesso restrito a poucas pessoas..
27
AUDITORIA INFORMÁTICA E A
SEGURANÇA
Segurança do Banco de Dados
• Especial atenção deve ser dada ao banco de dados para o qual
devem existir dispositivos de segurança, procedimentos de
autorização de acesso aos dados, atualização das novas versões
e procedimentos de cópias para possíveis restaurações.
• A segurança das informações processadas pelo sistema de
informática deve ser sempre monitorada para verificar se os
relatórios gerados estão corretos, se estão protegidas contra
fraudes, se as instalações e os equipamentos também estão
protegidos.
28
VULNERABILIDADES
• A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um
ataque, ou seja, é uma condição encontrada em determinados recursos,
processos, configurações, etc. Condição causada muitas vezes pela
ausência ou ineficiência das medidas de proteção utilizadas de
salvaguardar os bem da empresa. (Moreira, 2001, p.22)
• Qualquer grande empresa precisa tomar providencias especiais para
evitar as vulnerabilidades. Para tanto, planos de recuperação pós-
desastre incluem procedimentos e instalações para restaurar os serviços
de comunicação após terem sofrido algum tipo de problema. Quando a
empresa utiliza intranet ou Internet, firewalls e sistemas de detecção de
invasão ajudam a salvaguardar redes internas contra o acesso não
autorizado.
29
VULNERABILIDADES
• A auditoria em segurança da informação tem o papel de assegurar a
qualidade da informação e participar do processo de garantia quanto a
possíveis e indesejáveis problemas de falha humana.
• Com dados concentrados em formato digital e procedimentos invisíveis
devido à automação, os sistemas de informação são vulneráveis a destruição,
abuso, alteração, erro, fraude e a falhas de programas e equipamentos.
• Os sistemas on-line e os que utilizam a Internet são os mais vulneráveis,
pois seus dados e arquivos podem ser acessados imediata e diretamente em
terminais de computador ou em muitos pontos de rede. Hackers podem
invadir redes e causar sérios danos ao sistema e às informações
armazenadas, sem deixar qualquer rastro. Vírus de computador podem se
propagar rapidamente entupindo a memória de computadores e destruindo
arquivos. Os softwares em si também apresentam problemas e a má
qualidade dos dados também pode causar sérios impactos sobre o
desenvolvimento do sistema.
30
VULNERABILIDADES
• Assegurar que existe uma preocupação efectiva com a segurança e se os custos em segurança estão proporcionalmente distribuídos pelos recursos a proteger
• Assegurar que os recursos aplicados no SI estão sujeitos a um risco reduzido no que concerne à sua integridade física e capacidade energética e que os recursos do SI estão devidamente acondicionados e climatizados.
• Assegurar que os recursos do SI estão protegidos contra modificação, destruição, perdas, danos ou depreciação e se o acesso aos recursos do SI é limitado apenas aos funcionários que efectivamente necessitam de lhes aceder.
31
VULNERABILIDADES
• Uma vulnerabilidade pode partir das próprias medidas de
segurança implantadas na empresa, se existir estas
medidas, porém configuradas de maneira incorreta, então
a empresa possuirá uma vulnerabilidade e não uma
medida de segurança.
• Quando pretende-se garantir a segurança da informação
da empresa deve-se identificar os processos vulneráveis,
se estes processos forem de grande importância para
garantir a segurança da informação, as medidas e
controles de segurança adequados são implementados.
32
VULNERABILIDADES
• As vulnerabilidades podem ser físicas, naturais, humanas, de software ou hardware, entre outras. Pode-se citar alguns exemplos de vulnerabilidades:
• Físicas: Falta de extintores, salas mal projetadas, instalações elétricas antigas e em conjunto com as instalações da rede de computadores.
• Naturais: Acumulo de poeira, umidade, possibilidade de desastre naturais, como enchente, tempestade, terremotos, etc.
• Humana: Falta de treinamento, compartilhamento de informações confidenciais por parte dos funcionários da empresa, falta de comprometimento dos funcionários.
33
Impacto dos incidentes de segurança nos
negócios
34 34
Bibliografia
• Oliveira,2006. Metodo de auditoria a sistemas de informacao
• Santos,P. Auditoria a Sistemas de informacao
• www.ifac.com