AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO

Transcrição

1

2 AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO O papel da área de Controles Internos nas organizações A necessidade constante de um excelente desempenho empresarial, leva à busca da qualidade e confiabilidade da informação para o auxílio à decisão. O mercado globalizado e o acesso fácil a todo tipo de informação tem formado clientes cada vez mais seletivos e criteriosos. Em função disso as empresas encontram-se levadas a desenvolver cada vez mais estratégias de melhoria contínua que assegurem a busca pela excelência de produtos e processos. As organizações necessitam assegurar que os processos internos executados pelos agentes humanos e computacionais não sofrerão desvios. Este elemento interno responsável pelo controle dos processos da organização é chamado de controle interno. O controle interno compreende todo o conjunto de controles, implementados sob responsabilidade da gestão da organização. Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles internos também evoluiu nas organizações. O que era antes conhecido como simplesmente procedimentos de controle modificou-se para uma estrutura de controles internos. A estrutura de controles internos de uma organização pode ser definida como os processos executados para apoiar e orientar a organização no cumprimento dos objetivos da instituição quanto à eficiência e eficácia nas operações e sua gestão.

3 Auditoria Fiscalização Orientação Controle Interno As funções principais do controle interno estão relacionadas ao cumprimento dos objetivos da entidade. Desta forma a existência de objetivos e metas é condição principal para a existência dos controles internos. Ele será efetivo quando as pessoas da organização souberem quais são suas responsabilidades, seus limites de autoridade e sua competência. Podemos então concluir que para a organização atingir seu objetivo deverá realizar a avaliação contínua dos controles internos com o objetivo de identificar e analisar os riscos associados ao não-cumprimento das metas e objetivos operacionais. A identificação e gerenciamento dos riscos é uma ação proativa, que permite evitar surpresas desagradáveis nas organizações. São os administradores que devem definir os níveis de riscos operacionais e de informação que estão dispostos a assumir. Aspectos de controle e Segurança Na sociedade da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, estão também sob constante risco, como nunca estiveram antes.

4 Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência das instituições. Neste sentido um dos focos das fiscalizações de Tecnologia da Informação (TI), realizadas pelas organizações é a verificação da conformidade e do desempenho das ações organizacionais em aspectos de segurança de tecnologia da informação, utilizando critérios fundamentados com o objetivo de contribuir para o aperfeiçoamento da gestão organizacional, assegurando que a tecnologia da informação agregue valor ao negócio da organização. A auditoria de segurança da informação só tem sentido por permitir melhoria do tratamento da informação na organização. Ela cumpre basicamente as mesmas funções de uma auditoria de sistemas de informação, tais como descritos por Imoniana (2004) e por Schmidt, dos Santos e Arima (2005). A informação é produzida, identificada, armazenada, distribuída, usada e processada em todos os níveis da organização, visando o alcance dos objetivos de negócio,suas práticas definidas pelos sistemas de informação que apoiam os processos de trabalho na organização, sejam eles manuais ou automáticos. A gestão da informação tem fundamentos na administração, na contabilidade, na arquivologia, nas tecnologias da informação e da comunicação, nas ciências da informação e da computação, entre outras. Como ferramenta de segurança, a gestão da informação lança mão de elementos organizacionais, humanos, físicos e tecnológicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma mais geral através de uma abordagem cibernética.

5 Metodologia de auditoria em TI; A auditoria em ambiente de tecnologia da informação não muda a formação exigida para a profissão de auditor. A diferença está nas informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica. O enfoque de auditoria teve que se modificar para assegurar que essas informações agora em formato eletrônica sejam confiáveis antes do auditor emitir seu relatório, já que ele está calcado na confiança e controle interno. Podemos então definir a auditoria como: Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas à consecução dos objetivos. Desta forma, visam confirmar se os controles internos foram implementados e se existem e em caso afirmativo, se são efetivos. Neste contexto, as auditorias podem apresentar diferentes objetivos:

6 Conformidade com padrões Melhoria de Processo Melhoria do sistema de gestão Certificação Compliance Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível e aderente a todas as modalidades de auditoria em sistemas de informação. Esta metodologia é composta basicamente pelas seguintes fases: Planejamento e controle do projeto de auditoria Estabelece-se o planejamento inicial das ações e recursos necessários para a execução da auditoria. Nesta fase leva-se em consideração a abrangência das ações, o enfoque que se deseja, a definição dos procedimentos a serem utilizados durante o trabalho de auditoria, a escolha de alternativas para a realização dos trabalhos, acompanhamento e controle dos resultados obtidos. Devem ser utilizados ferramentas e métodos de planejamento, como por exemplo, o PMBOK e também deve ser formado o grupo de trabalho. Nesta fase deverá ser elaborado o plano da auditoria onde deve ficar claro: As expectativas de quem pediu a auditoria; Os critérios da auditoria: padrões e confidencialidade; As necessidades e interesses do auditado; A documentação que deve estar disponível; A agenda proposta para auditoria

7 Levantamento das informações Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento das informações relevantes para a auditoria. Este levantamento deverá ocorrer de forma abrangente, mas que se tenha o entendimento do objeto da auditoria. Podemos nesta fase utilizar técnicas de entrevista e análise da documentação existente, colocando as informações de forma gráfica ou descritiva. O importante aqui é identificar claramente o escopo. Esta fase é essencial para evitar a possibilidade de execução de trabalho em áreas não pertencentes ao escopo. Identificação e inventário dos pontos de controles Nesta etapa busca-se identificar os diversos pontos de controles que merecem ser validados no contexto do escopo da auditoria. Cada ponto de controle deve ser relacionado, seus objetivos descritos, assim como as suas funções, parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado deste levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma validação quanto a sua pertinência para garantir que o objetivo da auditoria será atingido. Priorização e seleção dos pontos de controle Esta etapa consiste na seleção e priorização dos pontos de controle que foram inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. Podem ser considerados os seguintes critérios: Grau de risco existente no ponto de controle Existência de ameaças Disponibilidade de recursos

8 Avaliação dos pontos de controles Esta etapa consiste na realização de testes de validação dos pontos de controle, Segundo as especificações e parâmetros determinados nas etapas anteriores. É a auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que evidenciem falhas ou fraquezas dos pontos de controles auditados. Normalmente existe uma técnica de auditoria e ferramenta mais eficiente para cada objetivo e característica do ponto de controle. Conclusão da auditoria Nesta etapa é realizada a elaboração do relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. Este relatório deve conter o diagnóstico da situação atual, dos pontos de controle, caso existam, e as fraquezas dos controles, segundo as especificações das etapas anteriores. O fato de um ponto de controle apresentar uma fraqueza transforma-o em ponto de auditoria, e, portanto deve constar no relatório de auditoria recomendações para solução ou mitigação dessa fraqueza. Cada ponto de auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada de medidas corretivas. Nesta fase ocorre também o encerramento da auditoria com a apresentação do relatório. O auditor Líder deverá apresentar um breve resumo do processo e objetivo da auditoria. Deverá ser apresentado parecer por área auditada, assim como as recomendações. Neste momento deverão ser acordadas as datas para as ações corretivas e distribuídas cópias do relatório entre todos os participantes.

9 Acompanhamento da auditoria O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização. Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, tornando as auditorias mais significativas, além de mostrar ao auditado que o auditor está preparado e também demonstrar uma atitude profissional. Documentação: papéis de trabalho, Relatórios de Auditoria e Pareceres Os Papéis de Trabalho de auditoria constituem um registro permanente do trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como as conclusões sobre os exames. É com base nos papéis de trabalho que o auditor irá relatar suas opiniões, criticas e sugestões. Eles servem de suporte para a elaboração dos relatórios de auditoria. Os Papéis de trabalho auxiliam o auditor na execução de exames, evidenciando o trabalho feito e as conclusões emitidas. É através deste artefato que poderá ser verificado se o serviço de auditoria foi feito de forma adequada e eficaz, assim como a solidez das conclusões emitidas. É importante que apresentem os detalhes do trabalho realizado, tais como: os fatos e informações importantes, escopo do trabalho efetuado, fonte das informações obtidas, opiniões e conclusões. Devemos ter em mente que este será um material que poderá ser posteriormente consultado por outros auditores, portanto o quanto mais completos melhor será seu entendimento por outro auditor.

10 Relatório de fraquezas de controle interno Produtos gerados pela auditoria Manual de auditoria do ambiente a ser auditado Certificado de controle interno Pastas contendo a documentação obtida O Relatório de Fraquezas de controle interno apresenta o objetivo do projeto de auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto de controle, além das alternativas de solução propostas. O Certificado de Controle Interno indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno e apresenta o parecer da auditoria em termos globais e sintéticos. O manual de auditoria do ambiente auditado armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. É composto por toda a documentação anterior já citada. AS pastas contendo a documentação da auditoria de sistemas irão conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

11 Papéis e responsabilidades Existem diferentes papéis em um processo de auditoria. Auditor Cliente Auditado Auditor Líder O auditor é quem realiza as auditorias propriamente dita. Ele deve planejar e realizar suas atribuições de forma eficaz e com competência, comunicar aos clientes e esclarecer os requisitos da auditoria, quando necessário. É primordial que ele documente as observações durante a realização da auditoria, relate os resultados da auditoria e verifique a eficácia das ações corretivas, quando solicitado. É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar aos colaboradores envolvidos no processo de auditoria os objetivos e escopo da auditoria, assim como indicar as pessoas guias responsáveis. É de sua responsabilidade também receber o relatório de auditoria, realizar análise crítica, determinar as ações de acompanhamento e informar ao auditado. O papel do auditado é informar aos funcionários sobre a auditoria, indicar acompanhantes e prover recursos à equipe de auditoria, assim como acesso aos meios e ao material comprobatório. Deve cooperar com os auditores e após a realização da auditoria deverá definir e iniciar ações corretivas. O auditor líder é responsável em última instância por todas as fases da auditoria. Participa da seleção da equipe e prepara o plano de auditoria. É ele quem representa a equipe frente à Administração do auditado e entregar o relatório de auditoria.

12 A auditoria na Tecnologia da Informação Com a dependência das organizações nos processos de Tecnologia da Informação e nas informações geradas, nos investimentos realizados na área de TI e na necessidade da garantia da segurança das informações críticas existe a necessidade da aplicação correta e gerenciada dos recursos, de forma que a TI atenda às necessidades de negócio de cada entidade, ou seja, que agregue valor às suas funções finalísticas. Assim, à medida que a tecnologia se confunde com os produtos da organização, a TI e as informações geradas por meio dela deixam de ser uma questão meramente operacional e administrativa para se tornar uma questão estratégica. Neste contexto, a Governança de TI é aplicada de forma a alinhar o uso da Tecnologia da informação aos objetivos de negócio de cada organização possibilitando que se garanta: continuidade dos serviços atendimento a marcos regulatórios definição clara do papel da TI dentro da organização alinhamento dos processos operacionais e de gestão a padrões que atendam a necessidade do negócio definição de regras claras acerca de responsabilidades sobre decisões e ações dentro da organização Planos Políticas Dirigir Avaliar Propostas Desempenho Conformidade Monitorar

13 Existem diversos modelos que podem ser implementados em diferentes níveis organizacionais de forma complementares: Cobit PMBOK ITIL CMMI /MPS- BR ISO Desenvolvido pela ISACA, o COBIT é um modelo abrangente aplicável para a auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Fornece um modelo abrangente que auxilia as organizações a atingirem seus objetivos de governança e gestão de TI e na versão atual apresenta 5 princípios: Entre seus objetivos está a garantia de que, na organização, a informação é

14 protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). É constituído por: 34 processos 4 Domínios 210 0bjetivos de controles PO Planejar e Organizar AI - Adquirir e Implementar DS Entregar e Suportar ME Monitorar e Avaliar COBIT O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão público que busca otimizar e melhorar os processos internos do governo britânico. O ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais especificamente para a ares de infraestrutra. O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40livros que abordavam uma variedade de melhores práticas de TI. A partir de 1999, foram acrescentados sete livros principais que tratamos processos amplamente aceitos como um framework de melhores práticas para Gerenciamento de Serviços de TI (IT Service Management - ITSM). Em 2007, transcorridos 21 anos, em sua Versão 3, foi reorganizado para cinco livros principais e um livro oficial de introdução.

15 O PMBOK (Project Management Body of Knowledge) é um conjunto de conhecimentos gerenciado pela organização Project Management Institute (PMI). Tornou-se um padrão, de fato, em diversas indústrias. Não se trata de uma metodologia de gerenciamento de projetos, e sim, de uma padronização que identifica e nomeia processos, áreas de conhecimento, técnicas, regras e métodos. Áreas de conhecimento do PMBOK: Integração Escopo Tempo Custo Qualidade Recursos humanos Riscos Aquisição Partes Interessadas O CMMI é um modelo internacional desenvolvido pelo Software Engineering Institute-SEI em O modelo utiliza o conceito de constelação e são apresentados três constelações: Diretrizes para monitorar, mensurar e gerenciar processos de desenvolvimento Diretrizes para Suportar as decisões relacionadas à aquisição de produtos e serviços Diretrizes para entrega de serviços dentro das organizações e para clientes externos. Uma constelação é um conjunto de componentes CMMI utilizados para construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse.

16 Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na representação contínua a organização escolhe uma determinada área de processo e trabalha na melhoria desses processos. Já na representação por estágio é utilizado conjuntos predefinidos de área de processo para estabelecer um caminho de melhoria para a organização. O processo de auditoria de Tecnologia da Informação deverá tomar como referência os padrões e modelos já adotados pelas organizações. Existem diversos modelos e padrões, como vimos acima, que podem ser utilizados em diferentes momentos e área tecnológica. No caso da inexistência de tal modelo na organização, deverá ser adotado modelos de referência já utilizados no mercado de TI. A auditoria de tecnologia da informação como já estudaos anteriormente é um exame sistêmico dos controles internos dentro do ambiente computacional da organização. O objetivo de uma auditoria de TI é levantar e documentar "evidências" das práticas e operações no âmbito da tecnologia da informação e realizar uma avaliação sobre a conformidade destas ações. Ela verifica se estas operações e ações da organização estão sendo realizadas de forma eficaz e eficiente para alcançar os objetivos de negócio da organização. São utilizadas para avaliar a capacidade da organização para proteger seus ativos de informação e dispensar corretamente as informações para as partes autorizadas. Desta forma, a auditoria poderá avaliar o risco das informações mais valiosas para as organizações e estabelecer métodos de minimizar os riscos. Neste caso a auditoria de TI tem como objetivo avaliar: Se os sistemas de computador da organização estão disponíveis para o negócio em todos os momentos, quando necessário. (Disponibilidade) Que as informações da organização estão sendo divulgadas apenas para usuários autorizados. (Confidencialidade)

17 Se as informações fornecidas estão exatas, confiáveis e em tempo oportuno. (Integridade) Controles organizacionais e operacionais Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas Controles de hardware Controles de acesso Auditoria Operação e computador Suporte técnico Sistemas Aplicativo Plano de contingência e de recuperação de desastres Redes de computadores Auditoria de sistemas O Objetivo da auditoria de sistemas é proporcionar através da inspeção e elaboração de relatório de auditoria a adequação, revisão, avaliação e

18 recomendação para o aprimoramento dos controles internos nos sistemas de informação das organizações. Neste contexto são avaliados a utilização dos recursos humanos, materiais e tecnológicos envolvidos nos processamento dos mesmos e desta forma devem ocorrer em todos os sistemas da organização seja no nível estratégico, tático ou operacional. Para a realização desta verificação é necessário um processo sistêmico que envolve os seguintes passos: Metodologia Planejamento Levantamento do sistema Identificação e inventário dos pontos de controle Priorização e seleção dos pontos de controle Avaliação dos pontos de controle Conclusão da auditoria Acompanhamento Devido à complexidade dos sistemas informatizados, existem diferentes momentos para a realização das auditorias de sistemas: Auditoria durante o desenvolvimento de sistemas Auditoria Sistemas de Informação Auditoria de sistemas em produção Auditoria no ambiente tecnológico Auditoria em eventos específicos A auditoria durante o desenvolvimento de sistemas compreende auditar todo o processo de construção do sistema: fase de requisitos até a sua implantação, assim como o processo e metodologia. Já a auditoria de sistemas em produção preocupa-se com os procedimentos e resultados dos sistemas já implantados: segurança, corretude e tolerância a falhas.

19 A Auditoria no ambiente tecnológico preocupa-se com a estrutura organizacional, contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de segurança e contingência. A auditoria em eventos específicos tem como foco a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Técnicas de auditoria de sistemas As técnicas de auditoria tem como objetivo auxiliar os auditores em seus processos de trabalho de forma a diminuir os custos envolvido no processo de auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a produtividade. Existem diferentes técnicas que podem ser utilizadas juntas ou separadas. Test deck Conjunto de dados de entrada especialmente preparado com o objetivo de testar os controles programados e os controles dos sistemas aplicativos Simulação paralela Elaboração de massa de teste a ser submetida ao programa ou rotina Questionários à distância Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc). Visita in loco Consiste na atuação do equipe de auditoria junto ao pessoal de sistemas e instalações

20 Rastreamento e mapeamento Desenvolvimento e implementação de trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações Análise da lógica de programação Verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos. Lógica de auditoria embutida no sistema Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Periodicamente, os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos operacionais. Rastreamento de programas Possibilita seguir o caminho de uma transação durante o processamento do programa. Objetiva identificar as inadequações e ineficiência na lógica de um programa. Entrevistas no ambiente computacional Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas que podemos utilizar para a realização de entrevistas como por exemplo, 5W+1H (What, Who, Where,When, Why e How). Análise de relatórios / telas Analise de relatórios e tela no que se refere ao nível de utilização pelo usuário, ao grau de confidencialidade, forma de utilização de integração com outras telas / relatórios, padronização dos layouts e distribuição das informações.

21 Análise de log / accounting Permite verifica a utilização de todos os ativos de TI envolvidos no objeto da auditoria. Análise do programa fonte Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado. Exibição parcial da memória snap shot Técnica que fornece uma listagem ou gravação do conteúdo do programa (acumuladores, chaves, áreas de armazenamento), quando determinado registro está sendo processado (dump parcial de memória). Ferramentas de auditoria Dentro do contexto tecnológico atual é necessário que o auditor utilize ferramentas. Em todo e qualquer trabalho de auditoria seja interna ou externa, é importante que o auditor utilize instrumentos que auxilie e agilize o desenvolvimento dos trabalhos. Neste sentido existem ferramentas que apoiam os auditores a conseguir alcançar suas metas, tal como elas foram definidas no planejamento prévio da auditoria. Existem diferentes modalidades de ferramentas assistidas por computador com objetivo e funcionalidades diferentes e que podem ser utilizadas em conjunto ou separadas.

22 Especializadas Generalista Utilidade geral Ferramentas de Auditoria Uma ferramenta generalista envolve o uso de software aplicativo ou um conjunto de programas e podem realizar as seguintes funções: Simulação paralela Extração de dados de amostra Testes globais Geração de dados estatísticos Sumarização Composição de arquivo Apontamento de duplicidade de registro Sequência incorreta de registro São ferramentas com capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções.

23 As ferramentas especialistas, são programas desenvolvidos especificamente para executar certas tarefas numa circunstância definida. Já os programas especializados são utilizados para executar algumas funções muito comuns de processamento,como por exemplo, ordenar sumarizar, concatenar e gerar relatório. A grande vantagem desse tipo de ferramenta é que o auditor pode desenvolver um software especializado, em uma área muito complexa, utilizando isso como uma vantagem competitiva As ferramentas de utilidade geral podem ser classificadas com softwares utilitários, próprios para a execução de funções muito comuns de processamento, como sortear arquivos, concatenar, sumarizar e gerar relatórios. Sua grande vantagem está na capacidade que possuem de servir como substitutos na ausência de recursos mais completos. Controles de Segurança da Informação A Norma ABNT NBR ISO é uma norma de segurança que oferece um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com controles de segurança baseados e definidos na norma ISO (norma de melhores práticas em segurança da informação): Política de segurança Organizando a segurança da informação Gestão de ativos Segurança em recursos humanos Segurança física e do ambiente Segurança nas operações e comunicações Controle de acessos

24 Aquis., desenv. e manut. de sistemas Gestão de incidentes de segurança da informação Gestão da cont. do negócio Conformidade O COBIT apresenta orientações sobre como manter os riscos das organizações em níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em conformidade com a regulamentação vigente. Com a sua implementação garante que, na organização, a informação será protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). Apresenta 12 princípios : Foco no negócio Entregar qualidade e valor às partes interessadas Estar em conformidade com os requisitos legais e regulatórios relevantes Prover informação tempestiva e precisa sobre o desempenho da segurança da Informação Avaliar ameaças atuais e futuras à informação Promover melhorias contínuas na informação Promover melhorias contínuas na informação Adotar uma abordagem baseada em risco Proteger informação classificada Concentrar-se em aplicações críticas de negócio Desenvolver sistemas de forma segura Atuar de uma maneira profissional e ética Promover uma cultura de Segurança da Informação positiva

25 APO 13 Gerenciar a Segurança DSS 05 Gerenciar Serviços de Segurança O Processo APO 13 Gerenciar a segurança, pertence ao domínio Alinhar, planejar e Organizar. Tem como objetivo definir, operar e monitorar um sistema de gestão de segurança da informação (SI). Manter o impacto e ocorrências de incidentes de SI dentro dos níveis aceitáveis de risco na organização. Define as seguintes ações: Estabelecer e manter um ISMS Definir e gerenciar um plano de tratamento para o risco de SI Monitorar e revisar o ISMS O processo DSS - 05 Gerenciar Serviços de Segurança, pertence ao domínio Monitorar, Avaliar e Analisar. Tem como objetivo proteger as informações da organização para manter o nível de risco aceitável para a segurança da informação da organização, de acordo com a política de segurança. Ele estabelece e mantém as funções de segurança da informação, os privilégios de acesso e realiza o monitoramento. São ações definidas pelo processo DSS 05:

26 Proteger contra malware Gerenciar segurança de rede e conectividade Gerenciar segurança de endpoints Gerenciar identidade e acesso lógico e de usuários Gerenciar acesso físico a ativos de TI Gerenciar documentos e dispositivos de saída sensíveis Monitorar a infraestrutura quanto a eventos relacionados a segurança O SANS Institute, mantém uma lista com os 20 controles de segurança mais críticos para as organizações. O objetivo é apresentar os principais controles que todas as empresas e entidades devem priorizar no momento de criar e investir em sua infraestrutura de segurança: Controles de Segurança críticos Inventário de dispositivos autorizados e não autorizados Inventário de Software autorizados e não autorizados Configurações de segurança para hardware e software Avaliação e correção contínuas de vulnerabilidades Defesas contra Malware Segurança de software de aplicação Controle de acesso Wireless Recurso de recuperação de dados Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas Configurações seguras para dispositivos de rede Limitação e controle de portas de rede, protocolos e serviços Uso controlado de privilégios administrativos

27 Defesa de limites Manutenção, monitoramento e análise de registros de auditoria Acesso controlado com base na necessidade de saber Monitoramento e Controle de Conta Proteção de dados Resposta a incidentes e gerenciamento Engenharia de rede segura Testes de Penetração e Exercícios da equipe vermelha Matriz RACI No contexto da segurança da informação e do controle é essencial que as atribuições e responsabilidades estejam formalizadas e documentadas a fim de evitar dúvidas e posteriores conflitos entre os membros das equipes envolvidas. Pessoas Quem faz o quê Quem decide o quê Neste sentido a matriz de responsabilidades ou matriz de designação de responsabilidades, também conhecida como Matriz RACI é um eficiente instrumento cujo principal objetivo é a atribuição de funções e responsabilidades dentro de um determinado processo, projeto, serviço ou departamento/função.

28 A sigla RACI significa: R A C I Responsible - Responsável por executar uma atividade (o executor); Accountable - Quem deve responder pela atividade, o dono (apenas uma autoridade pode ser atribuída por atividade); Consult - quem deve ser consultado e participar da decisão ou atividade no momento que for executada; Inform - quem deve receber a informação de que uma atividade ou ação foi executada. Na construção de uma tabela RACI devemos atribuir às responsabilidades R, A, C e I em tarefas de um processo, serviço ou departamento. Desta forma devemos criar uma tabela, onde as linhas correspondem as atividades e as colunas os responsáveis envolvidos. Cada célula desta tabela deverá ser preenchida com um ou mais letras (R, A, C e/ou I) associando cada atividade da linha com os responsáveis descritos em cada coluna, conforme a tabela abaixo: Dono do Processo Usuário1 Usuário2 Área A Atividade 1 A/R C I C Atividade 2 A R I C Atividade 3 A R I I Atividade 4 A C I R Matriz RACI de um processo de segurança qualquer. Existem duas regras básicas que devem ser seguidas na construção de qualquer tabela RACI: Para toda atividade, deve existir pelo menos 01 um responsável em executá-la (R) e um dono (A); Não pode existir mais de um dono para uma mesma atividade (A).

29 Referências: SCHMIDT, Paulo; Santos, Jose Luiz dos; Arima, Carlos Hideo. Fundamentos de Auditoria de Sistemas. Rio de Janeiro, Atlas, 2006 FERREIRA, Fernando N. Freitas ; ARAÚJO, Márcio T. Política de Segurança da Informação. Ciência Moderna, PEIXOTO, Mario Cesar Pintaudi. Engenharia Social e Segurança da Informação. Brasport, CAMPOS, Andre L.N. Sistema de Segurança da Informação: Controlando os Riscos. São Paulo, Visual Books, Cobit for assurancce: última consulta em 24/10/2015. COBIT 5 for security: Product-Page.aspx, última consulta em 24/10/2015. Daychoum, Merhi ferramentas e técnicas de gerenciamento / Merhi Daycoum; prefácio Ana Cláudia Baumotte. 4. Ed. Rio de Janeiro: Barsport, DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro, Axcel Books, GIL, Antonio de Loureiro. Auditoria de Computadores. SAO PAULO: ATLAS, CISA, Review Manual. Edição 2014, ed. ISACA Imoniana, Joshua Onome, Auditoria e Sistemas de Informação, 2. Ed. São Paulo: atlas, 2008.

30 Lyra, Maurício Rocha Segurança e Auditoria em Sistemas de Informação Rio de Janeiro: Editora Ciência Moderna Ltda., MARTINS, José Carlos Cordeiro. Gestão de Projetos de segurança da Informação. Brasport Matriz RAcI: acessado em 20/11/2015. Portal de Auditoria: última consulta em 24/10/2015 San institute: poster.pdf?utm_medium=social&utm_source=twitter&utm_content=sansinstit ute+poster+20+critical+controls&utm_campaign=sans+20+critical+securit y+controls+, última consulta em 24/10/2015