Segurança e Auditoria de Sistemas de Informação (TASAS) FUNDAMENTOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 2/3
AGENDA 1. GERENCIAMENTO DE RISCO 2. CONTROLES
FUNDAMENTOS DE AUDITORIA DE SI 1. GERENCIAMENTO DE RISCO
GERENCIAMENTO DE RISCO Monitora o grau de risco de um sistema de informação, expondo as ameaças e probabilidades de acontecer algo não desejado ou imprevisto Fig. 3
SITUAÇÃO CONSIDERE O SEGUINTE CENÁRIO Há uma rede de grande porte com diversos pontos de acesso: internet, filiais, extranet (parceiros) etc. Existem diversos tipos de ameaças às quais a rede está exposta: Falha humana intencional Falha humana não intencional Acidentes Fig. 4 Desastres naturais e ocorrências inesperadas
SITUAÇÃO (cont.) A rede de filiais está protegida por um firewall, possui banco de dados e servidor de autenticação, hospeda subredes de vendas, estoque e contabilidade Considere os dados envolvidos, hardware, software, instalações e RH sujeitos a diversas ameaças 1. Qual a probabilidade de algo ruim acontecer? 2. Quais as soluções e custos envolvidos (custo X benefício) p/ gestão do risco a um nível aceitável?
NÍVEIS DE RISCO RISCO PROBABILIDADE Baixíssimo Praticamente impossível Baixo Médio Alto Pode ocorrer uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano) Pode ocorrer uma vez em 100 dias (ou uma vez a cada dez dias) Pode ocorrer uma vez por dia (ou 10 vezes por dia) Fonte: MANOTTI, p. 24
NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).
NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).
NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).
NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).
NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).
MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).
MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).
AMEAÇAS E CONSEQUÊNCIAS As ameaças e consequências mostram situações em que falhas, humanas ou não, acontecem nos SI e devem ser consideradas para uma boa auditoria Diversas metodologias são adotadas para análise de risco e avaliação de ameaças Cabe ao auditor escolher a mais adequada a cada situação A experiência vai determinar as melhores escolhas
AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA INTENCIONAL AMEAÇAS Acesso irrestrito a documentos eletrônicos Hackers, Crackers, Criminosos profissionais Vírus Espionagem industrial Fonte: adaptado de MANOTTI, p. 24 CONSEQUÊNCIAS Alteração, destruição indevida ou roubo de informações Custos de backup e recuperação de dados Interrupção dos negócios Vazamento de informações para concorrência Fig. 5
AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA NÃO INTENCIONAL AMEAÇAS Operador ou técnico incapaz Falhas no controle de entrada de dados Pessoal desmotivado Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Retrabalhos Perda de capital intelectual Fig. 6
AMEAÇAS E CONSEQUÊNCIAS DE ACIDENTES AMEAÇAS Falha no equipamento de ar-condicionado Desmoronamento do edifício Destruição de dados, discos, documentos, relatórios Rompimento de canos de água ou esgoto Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Perda dos dados Perda financeira Informações imprecisas Fig. 7
AMEAÇAS E CONSEQUÊNCIAS DE DESASTRES NATURAIS E OCORRÊNCIAS INESPERADAS AMEAÇAS Umidade Enchentes Tempestades/ trovões Variação de energia Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Danos a equipamentos Ferimentos, perda de vidas Perda financeira Interrupção dos negócios Fig. 8
METODOLOGIA OCTAVE Metodologia pública/gratuita Desenvolvida pela Universidade Carnegie Mellon (EUA) Usada para a realização de Análise de Risco e Avaliação de ameaças, ativos e vulnerabilidades críticas
METODOLOGIA OCTAVE O PROCESSO Fig. 9
METODOLOGIA OCTAVE DESCRIÇÃO DO PROCESSO Fase 1: Visão Organizacional Ativos Ameaças Práticas atuais Vulnerabilidades organizacionais Requerimentos de segurança Fase 2: Visão Tecnológica Componentes-chave Vulnerabilidades técnicas Fase 3: Estratégia e Plano de Desenvolvimento Riscos Estratégia de proteção Planos de mitigação (atenuação)
O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (1/3) Ativos relacionados a informação importantes para a organização. Ex.: sistemas e infraestrutura de TI Foco na análise dos riscos nos ativos críticos, se suportam direta ou indiretamente a atividade-alvo da organização Relacionamentos entre ativos críticos, ameaças e vulnerabilidades (organizacionais e técnicas) Ex.: uma senha de administrador (ativo crítico) é divulgada/obtida indevidamente (vulnerabilidade), cai em mãos erradas (ameaça) e permite acesso indevido ao sistema contábil da organização (impacto)
O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (2/3) Grau de exposição dos ativos em contexto operacional, como os ativos conduzem os negócios e o risco envolvido na vulnerabilidade da segurança Estratégia de proteção para melhoria dos processos, como plano de implementação de controles (técnicos, operacionais) para mitigação (gerenciamento) Razão de custo X benefício, onde a implementação do controle seja sempre inferior ao montante das perdas ocasionais
O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (3/3) Depois que as ameaças potenciais são identificadas, devem ser reduzidas a um subconjunto de ameaças relevantes a um ambiente de TI específico A identificação dos riscos significativos assegura que a empresa alocará de forma adequada seus recursos às medidas de segurança para os riscos identificados
FUNDAMENTOS DE AUDITORIA DE SI 2. CONTROLES
CONTROLES GERAIS DE TI Situação-exemplo: Melhorar o relacionamento e exceder em 20% o número de clientes Quais as necessidades operacionais a serem consideradas para atingir o objetivo: Aumento da capacidade de processamento? Aumento da banda larga nos links de comunicação? Maior número de canais de comunicação (Internet, Extranet, WAP)? Quais os riscos a serem assumidos para atingir esse objetivo: Trabalhar com nível limite de processamento? Maior exposição a ataque de hackers? Maior possibilidade de fraudes?
COMO OS CONTROLES GERENCIAM OS RISCOS ATIVIDADES DE CONTROLE: Planejamento de capacidade Monitoração da largura de banda (desempenho/disponibilidade) Adoção de métodos de autenticação forte (biometria/senhas fortes) Gerenciamento de incidentes CONTROLES consistem nas políticas e procedimentos que ajudam a garantir que as estratégias de negócio sejam atendidas, com ações necessárias para gestão de riscos inerentes a estas estratégias Deve haver garantia que estes procedimentos sejam periodicamente executados a fim de assegurar a aderência ao respectivo controle
TIPOS DE CONTROLE 1/8 CONTROLES PREVENTIVOS Prevenção do problema Segregação física do CPD (porta-cofre) Segregação lógica da rede Inteligência artificial (análise de comportamento do cliente) para evitar fraudes Ex.: João tenta usar cartão de crédito às 3h da manhã para comprar R$ 8.000,00 em carne no açougue
TIPOS DE CONTROLE 2/8 CONTROLES DETECTIVOS Detecção do problema Identificação de tráfego suspeito na rede Análise forense Trilhas de auditoria Logs de firewall Sensores de detecção de incêndio
TIPOS DE CONTROLE 3/8 CONTROLES CORRETIVOS Correção do problema antes das perdas ocorrerem Verificar integridade das informações em aplicativos Ex.: sistema de plano de saúde realiza indevidamente lançamentos de ginecologia para pacientes homens
TIPOS DE CONTROLE 4/8 GARANTIR A SEGURANÇA DE SISTEMAS Grande importância devido ao crescimento do uso de diversas redes de comunicação (voz e dados) Maior eficácia nos controles permite maior confiança nas comunicações e servidores, prevenindo acessos não autorizados, invasões por crackers, hackers etc.
TIPOS DE CONTROLE 5/8 GERENCIAR DADOS Controles de processamento das informações nos aplicativos Visam garantir integridade e confiabilidade às transações realizadas
TIPOS DE CONTROLE 6/8 GERENCIAR OPERAÇÕES Controle de programação e execução de tarefas dos operadores Monitoração do desempenho Procedimentos de contingência Gerenciamento e planejamento da capacidade do ambiente de TI Uso de recursos computacionais e de comunicação (processamento, largura de banda etc.)
TIPOS DE CONTROLE 7/8 GERENCIAR CONFIGURAÇÕES Eficácia dos controles de aquisição, implementação e manutenção dos sistemas operacionais, banco de dados, telecomunicações e utilitários de segurança
TIPOS DE CONTROLE 8/8 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS APLICATIVOS Uso de boas práticas de desenvolvimento e mapeamento dos controles de segurança, conforme o risco do processo a ser automatizado Visam racionalizar o alto custo operacional na implementação destes, após o desenho e implementação dos sistemas de informação da empresa
REFERÊNCIAS IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2ª ed. 6ª reimpr. São Paulo: Atlas, 2013. 207pp. LEITE, Dirceu. Fundamentos de Auditoria de SI. Slides. Disponível offline. MANOTTI, Alessandro. Curso Prático de Auditoria de Sistemas. Rio de Janeiro: Ciência Moderna, 2010. 244pp. BASTOS, L.R. Auditoria de Sistemas: aula 1. Disponível em: <https://www.youtube.com/watch?v=kt-uxjquyja>. Acesso em 15 abr. 2016. IMAGENS Fig. 1: http://www.ezequieljuliano.com.br/wp-content/uploads/2014/09/82967.jpg Fig. 2: https://www.profissionaisti.com.br/2014/05/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/ Fig. 3: http://www.gp4us.com.br/contextualizacao-gestao-de-riscos/ Fig. 4: http://gerenciamentoderedes2010.xpg.uol.com.br/redes/aquipamentos.htm Fig. 5: http://www.opensourcez.org/ Fig. 6: http://images.reachsite.com/ Fig. 7: http://gilbertoleda.com.br/ Fig. 8: http://www.e-farsas.com/ Fig. 9: http://jamia.oxfordjournals.org/ Fig. 10: http://www.catho.com.br/ Fig. 11: http://www.legitimogeek.com/ Fig. 12: adaptado de http://pt.slideshare.net/q2management/melhorando-a-sua-auditoria-interna/ Fig. A: adaptado de https://pt.dreamstime.com/foto-de-stock-royalty-free-um-homem-gordo-fora-do-espelho-e-um-homem-magrodentro-do-espelho-image31912045/
112