AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Documentos relacionados
Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

Rabobank Segurança Cibernética

Segurança da Informação

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. Garín Investimentos LTDA

Gerenciamento de Crises e Continuidade do Negócio

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. SPA Strategic Portfolio Advisors

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Segurança da informação

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Gerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Faculdade de Tecnologia Senac Goiás. Projeto Integrador ATIVOS CRÍTICOS

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Processo de gerenciamento da disponibilidade

PLANO DE INFORMÁTICA

Controles Internos e Avaliação. Prof. Dr. Joshua Onome Imoniana

Auditoria de controles organizacionais. Prof. Dr. Joshua Onome Imoniana

Universidade de São Paulo Faculdade de Economia, Administração e Contabilidade Departamento de Contabilidade e Atuárias

O Ambiente Cooperativo e a Necessidade de Segurança

Auditoria de Controle de Acesso. Prof. Dr. Joshua Onome Imoniana

Segurança em Redes de Computadores. Conceitos Básicos Aula II

Gerenciamento e Interoperabilidade de Redes

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

LISTA DE EXERCÍCIOS. Amplia a abrangência de controle da alta administração. Permite monitorar as atividades com mais eficiência

PLANO DIRETOR DE INFORMÁTICA

Auditoria de Operações e Suporte Tecnico. Prof. Dr. Joshua Onome Imoniana

Segurança da Informação

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

CB.POL a. 1 / 7

Política Controles Internos

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Política de Tratamento de Incidentes de Segurança da Informação da UFRGS

Segurança e Auditoria de Sistemas

Política de Segurança da Informação

SUPORTE ATLASSIAN 2017 SUPORTE ATLASSIAN

Segurança da Informação. Alberto Felipe Friderichs Barros

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Grupo Técnico de Cibersegurança 2 Pesquisa ANBIMA de Cibersegurança 2018

PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

Segurança Informática em Redes e Sistemas

Política de Controles Internos

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Unidade III. Unidade III. Existe uma tendência dos sistemas de informação a funcionarem cada vez mais em Intranets e na Internet.

Segurança da Informação

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

SSC531 - Sistemas de Informação Segurança e Qualidade de Sistemas de Informação

Segurança da Informação

PLANO DE CONTINUIDADE (CONTINGÊNCIA) DE NEGÓCIOS

Política de Gerenciamento de Risco de Mercado e Operacional

Sistema de Gestão Empresarial

Política de Segurança da Informação do UNIPAM LISTA DE ACRÔNIMOS

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Conceitos e terminologia de segurança quanto à disponibilidade

Orientações para elaboração do Descritivo Sobre Aspectos Relevantes de Controles Internos - Circular Bacen 3.467/09

FALTA DE SEGURANÇA. Alberto Felipe Friderichs Barros

Cybersecurity. Virtualização. Antivírus. Análise de conteúdo. Firewall. Proxy. Monitoramento de acesso virtual. Monitoramento de acesso físico

Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

REGRAS INTERNAS DE ATUAÇÃO NAS OPERAÇÕES REALIZADAS EM TESOURARIA JUNTO A CETIP S.A

INSTITUTO PRESBITERIANO MACKENZIE. Ref.: Edital de Recrutamento 10/17 Público-alvo: Todos os colaboradores de todas as unidades e candidatos externos

Técnico em Radiologia. Prof.: Edson Wanderley

Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto

Política Institucional de Gerenciamento do Risco Operacional/Mercado

Plano de Continuidade. Plano de Continuidade. Plano de Contingência. Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas.

Segurança da Informação

Controles de acordo com o Anexo A da norma ISO/IEC 27001

5.3. Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

Governança. Corporativa e. Gestão de Riscos

Segurança das informações. Prof ª Gislaine Stachissini

Avaliação de Desempenho e Monitoramento Redes de Computadores. Gerenciamento de Redes. Professor Airton Ribeiro de Sousa

Segurança Informática em Redes e Sistemas

SUPORTE TÉCNICO. Processo de implantação e atendimento do Suporte Técnico

ASIA ASSET GESTORA DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

Política de Backup e Restauração

Política de Segurança Cibernética

Agenda 9:10-9:40 9:40-11:10. Combatendo spam com greylisting no sistema de André Gerhard - CCE/USP 11:30-12:10

Política de Controles Internos

OS RISCOS CIBERNÉTICOS NA AGENDA DAS CORPORAÇÕES BRASIL E GLOBAL. Cyber Insurance

Transcrição:

Segurança e Auditoria de Sistemas de Informação (TASAS) FUNDAMENTOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 2/3

AGENDA 1. GERENCIAMENTO DE RISCO 2. CONTROLES

FUNDAMENTOS DE AUDITORIA DE SI 1. GERENCIAMENTO DE RISCO

GERENCIAMENTO DE RISCO Monitora o grau de risco de um sistema de informação, expondo as ameaças e probabilidades de acontecer algo não desejado ou imprevisto Fig. 3

SITUAÇÃO CONSIDERE O SEGUINTE CENÁRIO Há uma rede de grande porte com diversos pontos de acesso: internet, filiais, extranet (parceiros) etc. Existem diversos tipos de ameaças às quais a rede está exposta: Falha humana intencional Falha humana não intencional Acidentes Fig. 4 Desastres naturais e ocorrências inesperadas

SITUAÇÃO (cont.) A rede de filiais está protegida por um firewall, possui banco de dados e servidor de autenticação, hospeda subredes de vendas, estoque e contabilidade Considere os dados envolvidos, hardware, software, instalações e RH sujeitos a diversas ameaças 1. Qual a probabilidade de algo ruim acontecer? 2. Quais as soluções e custos envolvidos (custo X benefício) p/ gestão do risco a um nível aceitável?

NÍVEIS DE RISCO RISCO PROBABILIDADE Baixíssimo Praticamente impossível Baixo Médio Alto Pode ocorrer uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano) Pode ocorrer uma vez em 100 dias (ou uma vez a cada dez dias) Pode ocorrer uma vez por dia (ou 10 vezes por dia) Fonte: MANOTTI, p. 24

NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).

MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).

AMEAÇAS E CONSEQUÊNCIAS As ameaças e consequências mostram situações em que falhas, humanas ou não, acontecem nos SI e devem ser consideradas para uma boa auditoria Diversas metodologias são adotadas para análise de risco e avaliação de ameaças Cabe ao auditor escolher a mais adequada a cada situação A experiência vai determinar as melhores escolhas

AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA INTENCIONAL AMEAÇAS Acesso irrestrito a documentos eletrônicos Hackers, Crackers, Criminosos profissionais Vírus Espionagem industrial Fonte: adaptado de MANOTTI, p. 24 CONSEQUÊNCIAS Alteração, destruição indevida ou roubo de informações Custos de backup e recuperação de dados Interrupção dos negócios Vazamento de informações para concorrência Fig. 5

AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA NÃO INTENCIONAL AMEAÇAS Operador ou técnico incapaz Falhas no controle de entrada de dados Pessoal desmotivado Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Retrabalhos Perda de capital intelectual Fig. 6

AMEAÇAS E CONSEQUÊNCIAS DE ACIDENTES AMEAÇAS Falha no equipamento de ar-condicionado Desmoronamento do edifício Destruição de dados, discos, documentos, relatórios Rompimento de canos de água ou esgoto Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Perda dos dados Perda financeira Informações imprecisas Fig. 7

AMEAÇAS E CONSEQUÊNCIAS DE DESASTRES NATURAIS E OCORRÊNCIAS INESPERADAS AMEAÇAS Umidade Enchentes Tempestades/ trovões Variação de energia Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Danos a equipamentos Ferimentos, perda de vidas Perda financeira Interrupção dos negócios Fig. 8

METODOLOGIA OCTAVE Metodologia pública/gratuita Desenvolvida pela Universidade Carnegie Mellon (EUA) Usada para a realização de Análise de Risco e Avaliação de ameaças, ativos e vulnerabilidades críticas

METODOLOGIA OCTAVE O PROCESSO Fig. 9

METODOLOGIA OCTAVE DESCRIÇÃO DO PROCESSO Fase 1: Visão Organizacional Ativos Ameaças Práticas atuais Vulnerabilidades organizacionais Requerimentos de segurança Fase 2: Visão Tecnológica Componentes-chave Vulnerabilidades técnicas Fase 3: Estratégia e Plano de Desenvolvimento Riscos Estratégia de proteção Planos de mitigação (atenuação)

O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (1/3) Ativos relacionados a informação importantes para a organização. Ex.: sistemas e infraestrutura de TI Foco na análise dos riscos nos ativos críticos, se suportam direta ou indiretamente a atividade-alvo da organização Relacionamentos entre ativos críticos, ameaças e vulnerabilidades (organizacionais e técnicas) Ex.: uma senha de administrador (ativo crítico) é divulgada/obtida indevidamente (vulnerabilidade), cai em mãos erradas (ameaça) e permite acesso indevido ao sistema contábil da organização (impacto)

O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (2/3) Grau de exposição dos ativos em contexto operacional, como os ativos conduzem os negócios e o risco envolvido na vulnerabilidade da segurança Estratégia de proteção para melhoria dos processos, como plano de implementação de controles (técnicos, operacionais) para mitigação (gerenciamento) Razão de custo X benefício, onde a implementação do controle seja sempre inferior ao montante das perdas ocasionais

O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (3/3) Depois que as ameaças potenciais são identificadas, devem ser reduzidas a um subconjunto de ameaças relevantes a um ambiente de TI específico A identificação dos riscos significativos assegura que a empresa alocará de forma adequada seus recursos às medidas de segurança para os riscos identificados

FUNDAMENTOS DE AUDITORIA DE SI 2. CONTROLES

CONTROLES GERAIS DE TI Situação-exemplo: Melhorar o relacionamento e exceder em 20% o número de clientes Quais as necessidades operacionais a serem consideradas para atingir o objetivo: Aumento da capacidade de processamento? Aumento da banda larga nos links de comunicação? Maior número de canais de comunicação (Internet, Extranet, WAP)? Quais os riscos a serem assumidos para atingir esse objetivo: Trabalhar com nível limite de processamento? Maior exposição a ataque de hackers? Maior possibilidade de fraudes?

COMO OS CONTROLES GERENCIAM OS RISCOS ATIVIDADES DE CONTROLE: Planejamento de capacidade Monitoração da largura de banda (desempenho/disponibilidade) Adoção de métodos de autenticação forte (biometria/senhas fortes) Gerenciamento de incidentes CONTROLES consistem nas políticas e procedimentos que ajudam a garantir que as estratégias de negócio sejam atendidas, com ações necessárias para gestão de riscos inerentes a estas estratégias Deve haver garantia que estes procedimentos sejam periodicamente executados a fim de assegurar a aderência ao respectivo controle

TIPOS DE CONTROLE 1/8 CONTROLES PREVENTIVOS Prevenção do problema Segregação física do CPD (porta-cofre) Segregação lógica da rede Inteligência artificial (análise de comportamento do cliente) para evitar fraudes Ex.: João tenta usar cartão de crédito às 3h da manhã para comprar R$ 8.000,00 em carne no açougue

TIPOS DE CONTROLE 2/8 CONTROLES DETECTIVOS Detecção do problema Identificação de tráfego suspeito na rede Análise forense Trilhas de auditoria Logs de firewall Sensores de detecção de incêndio

TIPOS DE CONTROLE 3/8 CONTROLES CORRETIVOS Correção do problema antes das perdas ocorrerem Verificar integridade das informações em aplicativos Ex.: sistema de plano de saúde realiza indevidamente lançamentos de ginecologia para pacientes homens

TIPOS DE CONTROLE 4/8 GARANTIR A SEGURANÇA DE SISTEMAS Grande importância devido ao crescimento do uso de diversas redes de comunicação (voz e dados) Maior eficácia nos controles permite maior confiança nas comunicações e servidores, prevenindo acessos não autorizados, invasões por crackers, hackers etc.

TIPOS DE CONTROLE 5/8 GERENCIAR DADOS Controles de processamento das informações nos aplicativos Visam garantir integridade e confiabilidade às transações realizadas

TIPOS DE CONTROLE 6/8 GERENCIAR OPERAÇÕES Controle de programação e execução de tarefas dos operadores Monitoração do desempenho Procedimentos de contingência Gerenciamento e planejamento da capacidade do ambiente de TI Uso de recursos computacionais e de comunicação (processamento, largura de banda etc.)

TIPOS DE CONTROLE 7/8 GERENCIAR CONFIGURAÇÕES Eficácia dos controles de aquisição, implementação e manutenção dos sistemas operacionais, banco de dados, telecomunicações e utilitários de segurança

TIPOS DE CONTROLE 8/8 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS APLICATIVOS Uso de boas práticas de desenvolvimento e mapeamento dos controles de segurança, conforme o risco do processo a ser automatizado Visam racionalizar o alto custo operacional na implementação destes, após o desenho e implementação dos sistemas de informação da empresa

REFERÊNCIAS IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2ª ed. 6ª reimpr. São Paulo: Atlas, 2013. 207pp. LEITE, Dirceu. Fundamentos de Auditoria de SI. Slides. Disponível offline. MANOTTI, Alessandro. Curso Prático de Auditoria de Sistemas. Rio de Janeiro: Ciência Moderna, 2010. 244pp. BASTOS, L.R. Auditoria de Sistemas: aula 1. Disponível em: <https://www.youtube.com/watch?v=kt-uxjquyja>. Acesso em 15 abr. 2016. IMAGENS Fig. 1: http://www.ezequieljuliano.com.br/wp-content/uploads/2014/09/82967.jpg Fig. 2: https://www.profissionaisti.com.br/2014/05/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/ Fig. 3: http://www.gp4us.com.br/contextualizacao-gestao-de-riscos/ Fig. 4: http://gerenciamentoderedes2010.xpg.uol.com.br/redes/aquipamentos.htm Fig. 5: http://www.opensourcez.org/ Fig. 6: http://images.reachsite.com/ Fig. 7: http://gilbertoleda.com.br/ Fig. 8: http://www.e-farsas.com/ Fig. 9: http://jamia.oxfordjournals.org/ Fig. 10: http://www.catho.com.br/ Fig. 11: http://www.legitimogeek.com/ Fig. 12: adaptado de http://pt.slideshare.net/q2management/melhorando-a-sua-auditoria-interna/ Fig. A: adaptado de https://pt.dreamstime.com/foto-de-stock-royalty-free-um-homem-gordo-fora-do-espelho-e-um-homem-magrodentro-do-espelho-image31912045/

112

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback