Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Transcrição

1 Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU

2 Aula passada

3 Tipos de Auditoria 1. Auditoria durante o desenvolvimento de sistemas; 2. Auditoria de sistemas em produção; 3. Auditoria no ambiente tecnológico. 4. Auditoria em eventos específicos.

4 Metodologiade Auditoria de Sistemasde Informação Maurício Rocha Lyra (2008) propõe a seguinte metodologia, flexível e aderente aos quatro tipos de modalidades de auditoria: 1. Planejamento e controle do projeto de auditoria de sistemas de informação; 2. Levantamento do sistema de informação a ser auditado; 3. Identificação e inventário dos pontos de controle; 4. Priorização e seleção dos pontos de controle do sistema auditado; 5. Avaliação dos pontos de controle; 6. Conclusão da auditoria; 7. Acompanhamento da auditoria.

5 Metodologia de Auditoria de Segurança da Informação Rodrigues e Fernandes (2009) propõem o seguinte processo simplificado para auditoria de segurança da informação: 1. Gestão do projeto ou do programa de auditoria; 2. Decisão sobre o propósito da auditoria; 3. Identificação de objetos e pontos de controle; 4. Definição de técnicas para obter evidências e procedimentos de controle; 5. Montagem da roteirização de auditoria; 6. Coleta e registro de evidências em papéis de trabalho; 7. Verificação, validação e avaliação de evidências; 8. Produção de pareceres e outros entregáveis; 9. Acompanhamento pós-auditoria.

6 Normas e procedimentos

7 Tópicos Classificação da auditoria seguindo a tradição contábil; Modelo de roteirização; Auditoria de gestão; Auditoria operacional; Auditoria de conformidade.

8 Classificação da auditoria seguindo a tradição contábil

9 Auditoria - Tradição Contábil Auditoria de gestão; Auditoria de conformidade; Auditoria operacional.

10 Auditoria de gestão Verifica que as ações para acompanhar ou tomar decisões a respeito de itens de segurança estejam em plena execução; A auditoria de gestão está mais relacionada com a avaliação das declarações efetuadas pelo gestor.

11 Auditoria de conformidade Busca verificar que os controles de segurança que constituem parte do controle interno estão implementados e funcionais; Pode ser realizada sem que o auditado seja solicitado a justificar ou opinar sobre o conteúdo obtido pois o foco é sobre os controles de segurança; Possui forte lastro no modelo normativo da organização.

12 Auditoria operacional Baseia-se em: Estabelecer indicadores de desempenho; Avaliar as ações de segurança que estão ou não funcionando; Descrever o quão efetivos e eficazes são os controles para proteger os ativos de informação. Além dos pontos de controle, parâmetros de desempenho devem ser definidos para aferição de resultados esperados.

13 Verificações de uma auditoria de segurança Ao se trabalhar em uma auditoria de segurança (independente do tipo), deve-se considerar os três atributos clássicos da segurança da informação; Três atributos clássicos da segurança: Integridade; Disponibilidade; Confidencialidade.

14 Integridade A verificação de integridade permite descobrir se a informação foi: 1. Produzida de forma incoerente com a realidade; 2. Alterada por ações que apontam para possíveis fraudes que podem trazer impacto à organização.

15 Disponibilidade A verificação de disponibilidade permite avaliar possíveis riscos que emergem da indisponibilidade frequente de ativos de informação sensíveis.

16 Confidencialidade A verificação da confidencialidade permite identificar o risco de que a informação seja acessada por agentes não autorizados, quando naquele determinado momento ela não deveria ser de acesso ao público; Crescente preocupação com essa questão; Ponto de controvérsia na administração pública.

17 Modelo de roteirização

18 Modelo

19 Auditoria de gestão

20 Motivação Verificar que os processos de segurança e suas atividades foram implantados plenamente e que as metas de segurança traçadas estão sendo alcançadas; O que se quer alcançar com esse tipo de auditoria é a confirmação de que os procedimentos previstos no plano de segurança estão presentes ou, se não estão, quais foram os desvios que levaram a essa ausência.

21 Objetivos (possíveis pontos de controle) 1. Estrutura organizacional; 2. Política de segurança; 3. Documentação; Cultura de segurança; Pesquisa sobre incidentes; 6. Sistema de segurança; 7. Registros de auditoria;

22 Estrutura organizacional Não é possível implantar segurança da informação sem que haja uma estrutura organizacional apropriada para tal. Exemplos de pontos de controle: As unidades organizacionais responsáveis por segurança devem ser bem definidas, com níveis claros de autoridade, responsabilidades e habilidades técnicas necessárias para exercer os cargos; Atividades dos funcionários envolvidos com segurança devem ser supervisionadas e controladas através de procedimentos padrões devidamente documentados; Política de segregação de funções e controles de acesso deve ser constantemente perseguida para garantir na prática a idoneidade dos processos.

23 Política de segurança Sem uma política de segurança da informação (PSI) discutida por todos os setores, qualquer procedimento de segurança será aleatório e, provavelmente, irá entrar em conflito com outras iniciativas; Exemplos de pontos de controle segundo a norma ISO 27002: Objetivos, metas, escopo e a relevância da política de segurança da informação para toda a organização devem ser estabelecidas e positivadas em documentos; Declaração da alta direção de que está compromissada com o que está definido na política deve ser de conhecimento de todos; É preciso saber se existe um alinhamento da política de segurança da informação com os objetivos de negócio, no caso, com a missão institucional e a legislação; Devem ser definidas responsabilidades gerais e específicas a respeito da segurança da informação, seja para indivíduos, seja para comissões, comitês e grupos de trabalho.

24 Documentação Documentos devem ser classificados e versionados para que seu conteúdo e finalidade estejam sob controle; Novas normas devem ser catalogadas, discutidas e disseminadas, principalmente aquelas que têm referências legais; Na questão do sigilo de documentos, convém acompanhar se os critérios definidos estão sendo implementados e se são aderentes à legislação em vigor.

25 Cultura de segurança Devem ser produzidos materiais para divulgação e disseminação da cultura de segurança da informação; Deve-se aplicar o princípio do need to know como a regra geral de segurança (Organisation for Economic Co-operation and Development, 2002): Uma informação deve ser acessível apenas àqueles que tem necessidade de conhecê-la.

26 Pesquisa sobre incidentes A organização deve providenciar constantes pesquisas sobre incidentes e falhas de segurança; Faz parte da gestão da segurança promover uma constante investigação nos ativos de informação, formulando novas programações de auditoria; Essa atividade também deve promover novas soluções de segurança para as novas ameaças e vulnerabilidades descobertas, bem como avaliar se é necessária a continuidade de aplicação de controles antigos.

27 Sistema de segurança O sistema de segurança da informação deve funcionar de acordo com a política de segurança implantada, e estar em constante atualização - ISO/IEC

28 Registros de auditoria Todos os usuários devem ser identificados. Nesse caso, o que mais interessa é registrar o acesso de novos usuários e observar mudanças no status de antigos usuários; Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instalações sejam em sistemas é registrado com hora e data. A saída de pessoas de instalações críticas também deve ser registrada igualmente; Alterações em configurações dos sistemas devem ser registradas; O acesso a arquivos nos bancos de dados precisa ser registrado; Cada pessoa deve ter privilégios de acesso bem definidos. O uso desses privilégios deve ser registrado e acompanhado.

29 Auditoria operacional

30 Motivação Na medida que os pontos de controles são implantados, a auditoria de desempenho operacional deve se certificar de que os mesmos são efetivos (resolvem o problema) diante do que se espera em termos de nível de segurança; Ideia básica: realizar um exame detalhado das operações de segurança implantadas na organização.

31 Objetivos (possíveis pontos de controle) 1. Segurança física 2. Segurança lógica 3. Segurança de dados Segurança de usuários Segurança de redes 6. Eficiência da segurança 7. Eficácia da segurança.

32 Segurança física Definir claramente os perímetros de segurança; Construir uma área de recepção para que se tenha um acesso controlado às instalações da organização; As instalações de processamento de informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros; Controle de acesso a instalações dos computadores principais e seus periféricos, somente para pessoas autorizadas - Acesso ao Datacenter; Controle de acesso a dispositivos de redes, tais como roteadores, switches, Hubs - Acesso ao Datacenter; Controle de acesso a servidores, somente por administradores - Acesso ao Datacenter; Todas as comunicações com os dispositivos que acessam a rede interna da organização devem ser criptografadas utilizando os protocolos adequado.

33 Segurança lógica Diretrizes de controle para os ativos intangíveis que incluem sistemas e informação; Verificar problemas de processamento de dados e se as informações produzidas por esses sistemas são corretas e oportunas. Exemplos: Absoluta atenção a códigos que podem conter vulnerabilidades que permitem invasão; Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versionados e com autoria devidamente registrada; Verificar o desempenho dos cálculos matemáticos nos sistemas, pois podem gerar informações erradas; Assegurar que programas ou sistemas novos não sejam colocados em produção sem teste e homologação.

34 Segurança de dados Deve existir um grupo muito restrito de administradores de banco de dados, cujas ações devem ser monitoradas; Deve existir uma estratégia definida para utilização dos bancos de dados por sistemas de informação, pessoas ou programas; Ocorrência de perda de dados deve ser investigada, pois pode ser sintoma de ameaças aos ativos de informação; Verificar ocorrência de falhas de hardware que provoquem erros de processamento, de informações erradas ou de distorção de integridade de dados; Backups periódicos dos dados; Contas de usuários que acessam diretamente os bancos de dados ou por meio de utilitários em situação privilegiada devem ser observadas.

35 Segurança de usuários Credenciais únicas devem ser atribuídas a usuários individuais; Credenciais devem conter uma combinação de alguns requisitos: Identificar quem é o usuário (nome, ID etc); Verificar alguma coisa que o usuário sabe (código secreto, senha); Verificar onde o usuário está (reconhece local do usuário); Verificar alguma coisa que o usuário tem (token); Verificar alguma coisa que o usuário é (biometria). Cada usuário deve ser responsabilizado por aquilo que realiza com suas credenciais; Devem ser realizadas varreduras periódicas de atributos de acesso, principalmente sobre aqueles usuários que estão com acesso ilimitado a um ou mais ativos de informação.

36 Segurança de redes A segurança de redes se preocupa com os riscos a segurança das redes de comunicação; Pontos de controle: Redes sem fio devem ser protegidas usando o protocolo mais seguro e já relativamente bem testado no mercado; Acesso remoto a computadores protegido com protocolo de segurança Secure Socket Layer (SSL) ou seu equivalente mais atualizado; Equipamentos de rede catalogados e protegidos fisicamente; Proteção dos dados armazenados na rede por meio de criptografia.

37 Eficiência da segurança Parâmetros de medida de eficiência podem indicar problemas de segurança ou sua iminência: Tempo médio para reparo (MTTR - Mean Time to Repair); Tempo médio entre falhas (MTBF Mean Time Between Failures); Tempo médio entre o aparecimento de um problema ou incidente e sua comunicação ao Service Desk; Percentual de sistemas cujos requisitos de segurança não estão sendo atendidos.

38 Eficácia da segurança. O objetivo é saber se os ativos de informação estão mais ou menos seguros após implantados os controles de segurança da informação: Tempo médio de atendimento após um alarme de segurança ser disparado; Tempo médio para a solução de um problema de segurança; Percepção do usuário a respeito dos mecanismo de segurança implantados, enquanto garantia de segurança de que seus dados não estão sendo violados.

39 Auditoria de conformidade

40 Motivação Examina se aquilo que está sendo auditado está de acordo com as especificações de produtos e serviços; Verificar que as informações produzidas pela organização, seja por sistemas computacionais ou por registros manuais, estão em conformidade com os padrões de segurança definidos em documentos normativos reconhecidos. Importante: um auditor de conformidade também não se envolve na gestão da segurança, nem na implementação da segurança ou no seu funcionamento.

41 Objetivos (possíveis pontos de controle) A auditoria de conformidade de segurança da informação deve examinar todos os tipos de documentos relacionados aos ativos de informação: Documentos de metodologias de desenvolvimento de sistemas adotadas pela organização; Documentos de projetos considerados críticos ao negócio e que precisam ser protegidos de acordo com critérios aprovados pela alta direção; Orçamentos; Manual de versionamento e arquivamento de documentos. Servem para averiguar se a documentação está de acordo com as instruções para sua elaboração.

42 Objetivos (possíveis pontos de controle) Os seguintes objetos de controle, não exaustivos, podem ser usados como referência de auditoria de conformidade de segurança da informação: Normativos expedidos por órgãos de controle e normatização da esfera federal. GSIPR (Gabinete de Segurança Institucional da Presidência da República), MPOG (Ministério do Planejamento, Orçamento e Gestão), CGU (Controladoria Geral da União) e TCU (Tribunal de Contas da União). Melhores práticas como a ISO/IEC 27002, CMMI, COBIT e ITIL.

43 Objetivos (possíveis pontos de controle) Se no âmbito da organização não estão em usos esses padrões ou melhores práticas então a organização pode criar suas próprias normas de segurança da informação. A política de segurança da informação; Os contratos com empresas de segurança; Os procedimentos de segurança já padronizados - procurar divergências entre o que foi auditado e o que está prescrito nas normas; Normas de propriedade intelectual; Chaves Públicas - Seguem a ICP-Brasil?.