Segurança e Auditoria de Sistemas. Tarcio Carvalho

Transcrição

1 Segurança e Auditoria de Sistemas Tarcio Carvalho

2 Apresentação Conceitos de Auditoria; Auditoria de sistemas e área de sistemas de informação; Controles em SI gerenciais e de aplicações; Coleta de dados: testes, técnicas, entrevistas e questionários; Avaliação de integridade e segurança de dados, de efetividade e eficiência; Auditoria nos processos de desenvolvimento de sistemas; Auditoria de sistemas em operação; Softwares de auditoria; Gerência da função auditoria e segurança em SI.

3 Bibliografia básica: NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007 VALLE, James Della; ULBRICH, Henrique César. Universidade Hacker - H4CK3R: desvende todos os segredos do submundo dos hackers. 6ª ed. São Paulo: Digerati Books, 2009 NENETH, Evi; SNYDER, Garth; HEIN, Trent R. Manual Completo do Linux. 2ª ed. São Paulo: Pearson Prentice-Hall, 2007

4 Bibliografia complementar: TANENBAUM, Andrew S. Redes de computadores. Rio de Janeiro: Elsevier, 2003 SOARES, L. F. G. et al. Redes de computadores. 2ª ed. Rio de Janeiro: Campus, 1995 CARUSO, C. A. A.; STEFFE, F. D. Segurança em informática e de informações. 2ª ed. São Paulo: Editora SENAC, 1999 COMER, Douglas E. Interligação em Redes com TCP/IP. Rio de Janeiro: Campus, 1999

5 Avaliações: I unidade: Avaliação Individual; Trabalho em grupo (dia da responsabilidade social ou Linux Day); II unidade: Avaliação Individual; Trabalho em grupo (II Workshop de Segurança da Informação).

6 Definição A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas, causados por falha humana de processos.

7 Objetivos Conhecer conceitos inerentes à segurança da informação; Compreender a importância da segurança da informação no contexto organizacional; Ser apresentado a NBRISO/IEC 27002; Identificar aspectos que devem ser abordados numa auditoria de segurança da informação.

8 Riscos associados à informação Incidentes: Vírus; Ataques (hackers); Indisponibilidade; Vazamento/furto de informação; Fraudes; Invasões.

9 Riscos associados à informação Conseqüências: Perda financeira; Danos à imagem; Processos legais; Queda de produtividade;

10 Segurança da informação A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

11 Pilares

12 Atributos Não-repúdio: É a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica não poderá posteriormente negar sua autora; Responsabilidade: É a habilidade para manter pessoas ou entidades responsáveis por suas ações por meio do registro de seus atos.

13 Análise de riscos Análise das ameaças, impactos e vulnerabilidades dos recursos de TI e da probabilidade de sua ocorrência. Gastos com controle necessitam ser balanceados (Custo X Benefício). Direciona e determina ações gerenciais a partir da identificação de requisitos de segurança. Proporciona o estabelecimento de controles. Análise de risco é responsabilidade do gestor. O auditor é responsável por avaliar a gestão do risco realizada pelo gestor e os controles

14 Perfil do Auditor Ética; Proatividade; Abertura para a troca de conhecimento; Visão global dos negócios; Aprendizado de normas e procedimentos de determinadas áreas; Atualização contínua; Relacionamento interpessoal.

15 Competências e Habilidades capacidade de unir aspectos distintos da área de exatas, como o raciocínio lógico, a visão de processos, associando-os às ciências humanas e a boa capacidade comunicar de forma clara, o profissional de TI que deseja seguir pela área da auditoria, deve ser curioso, detalhista e questionador, o que fará, dele, alguém de destaque, no meio. Ter uma boa formação superior, também é um bom diferencial, principalmente, se o diploma for em administração ou TI, complementado com uma pós-graduação em Gestão de Pessoas

16 Certificação

17 Motivação Notícias de 2011 (Fonte: Folha de São Paulo) 01/02 - Ataque virtual usa "BBB 11" para roubar dados; 01/02 - Procon vai notificar LG sobre vazamento de dados dos clientes; 28/01 - FBI documenta ciberataques relacionados ao Wikileaks; 27/01 - Cinco hackers que apóiam o WikiLeaks são presos no Reino Unido; 26/01 - Primeiro vírus de computador completa 25 anos; 26/01 - Cem usuários dominam dois terços da pirataria virtual, diz pesquisa; 24/01 - Crimes pela internet estão em alta, diz empresa de segurança;

18 WikiLeaks

19 Classificação da Informação

20 Segurança

21 Técnica x Gestão

22 Cenário pessimista

23 Cenário otimista