Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert

Business Continuity & Security Senior Consultant

claudio.dodt@daryus.com.br

www.twitter.com/cdodt

www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr

Auditando Segurança da Informação

Facilitador – Perfil Profissional

Cláudio Dodt

claudio.dodt@daryus.com.br

http://claudiododt.com

http://www.linkedin.com/pub/cl%C3%A1udio-dodt/5/1a4/723

Business Continuity & Security Senior Consultant, Gerente regional da Daryus

Strategic Risk Consulting, atua na área de tecnologia há mais de 10 anos

exercendo atividades como técnico e analista de suporte, Analista de Segurança

Sr., Security Officer e Supervisor de Infraestrutura e Segurança da Informação.

Desenvolveu atividades em empresas brasileiras e multinacionais participando,

no Brasil e exterior, em projetos de segurança de diversos segmentos como

Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval,

Metal-Mecânica e Têxtil.

Geek convicto, mergulhador autônomo nível 1(CMAS) e um grande amante da

leitura e dos videogames.

Especializações

ITIL® V2 Service Manager;

ITIL® Expert;

Certified Information Systems Security Professional (CISSP®);

Certified Information Systems Auditor (CISA);

Certified in Risk and Information Systems Control (CRISC);

ISO 27001 Lead Auditor;

ISO/IEC 20000 Foundation;

Information Security Foundation (ISFS) based on ISO/IEC 27002;

CobiT Foundation.

Agenda

A Daryus

Contexto atual

Papel da Segurança da Informação

Auditoria de Segurança da Informação

Desafios

Conclusões

Curso CISA® - Certified Information System

Auditor

Abertura a perguntas

Empresa 100% nacional especializada em

Continuidade, Riscos e Segurança da Informação;

Parceira educacional exclusiva desde 2005 do DRII –

Disaster Recovery Institute International;

Líder em serviços especializados de consultoria e

treinamentos para Continuidade de Negócios e

Recuperação de Desastres;

Reconhecida internacionalmente em Governança,

Riscos e Conformidade pela Infragard (USA) e ISSA;

Duas Unidades: Consultoria e Educação.

Quem é a DARYUS?

Nossas Unidades de Negócio Our Business Units

Copyright © 2011 DARYUS® Strategic Risk Consulting. BRASIL.

Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539

- Cursos acadêmicos em parceria com Faculdades:

- Pós em Gestão de Segurança da Informação (400 horas)

- Pós em Governança de TI (400 horas)

- Pós em Investig. Fraudes e Forense Computacional (150 hs)

- Cursos de especialização (venda direta ou parceiros)

- Gestão de Continuidade de Negócios

- Gestão de Riscos

- Segurança da Informação

- Certificações ISACA: CISA, CISM, CGEIT, CRISC, COBIT

- Certificações EXIN: Segurança (ISFS, ISMAS) e ITIL

- Certificações DRII: ABCP, CFCP, CBCP, MBCP

- Mapeamento de Processos

- Cursos de Riscos Financeiros e Conformidade

- Controles Internos

- Controles Contábeis

- Gestão de Conformidade

- Gestão de Riscos

- Prevenção a Fraude

- Prevenção a Lavagem de Dinheiro

Educação

Consultoria

• Continuidade de Negócios

• Segurança da Informação

• Gerenciamento de Processos de Negócios

• Governança, Risco e Compliance

Alguns clientes de consultoria

Responsabilidade

Social

Corporativa

Segurança

da

Informação

Governança

Corporativa e

de

TI

Gestão de riscos

Segurança, Saúde

e Meio Ambiente

sustentatibilidade

Continuidade

de

Negócios

Leis e

Regulamentações

ISO 26001

NBR 16001

ISO 27001

ISO 27002

ISO 27005

Cobit DS.5

ISO 38500

ISO 31000

ISO 14001

OHSAS 18001

BS 25999-1

BS 25999-2

BS 25777-1

Cobit DS.4

Leis e

Regulamentações

Visão holística da gestão de riscos - Inteligência de riscos, uma tendência mundial.

Contexto atual – No Mundo

“Fraude impactou 87% das

organizações.” Kroll's Global Fraud Report 2010-2011

“Auditores internos ainda são

vistos como a primeira linha de

defesa contra a fraude em 65%

das empresas. 11th Global Fraud Survey - Ernst & Young

Contexto atual – No Brasil

Incidência de fraude maior que a média global;

Roubo ou ataque a informação: Maior fonte de risco;

Complexidade de TI: Maior fator de exposição.

Motivadores Gestão de Riscos

PR

ES

SÃ

O P

EL

A G

ES

TÃ

O D

E R

ISC

OS

PR

ES

SÃ

O P

AR

A M

EL

HO

RA

R

Papel da Segurança da Informação

Confidencialidade

Integridade Disponibilidade

Segurança

da

Informação

Procedimentos e Orientações

Políticas

Normas e Padrões

Alta Direção • Política de SI

Comitê de SI • Entendimento do Negócio

• Seleção de estratégias

• Preparação da PSI

• Exercitar, manter e melhorar a

SI

Security Officer

• Análise de riscos;

• BIA;

• Cenários;

• Planos;

• Testes, exercícios;

• Conscientização.

Definir

Viabilizar

Realizar

Papéis Responsabilidades

Papel da Segurança da Informação

Confidencialidade

Integridade Disponibilidade

Segurança

da

Informação

Procedimentos e Orientações

Políticas

Normas e Padrões

Alta Direção • Política de SI

Comitê de SI • Entendimento do Negócio

• Seleção de estratégias

• Preparação da PSI

• Exercitar, manter e melhorar a

SI

Security Officer

• Análise de riscos;

• BIA;

• Cenários;

• Planos;

• Testes, exercícios;

• Conscientização.

Definir

Viabilizar

Realizar

Papéis Responsabilidades

Auditoria:

Garantir que tudo isso é feito;

Evitar que erros ou falhas sejam

encobertos;

Apoiar governança e prevenção de

fraudes.

Auditoria de SegInfo: Desafios

Disponibilidade

Confidencialidade Integridade

Infraestrutura

e Serviços

Disponibilidade

dos Dados

Planejamento

GCN

Backup e

Recuperação

Vazamentos,

Invasões

Requisitos

Legais

Comunicações

Bancos de

dados

Complexidade

Auditoria de SegInfo: Como NÃO fazer!

O Auditor tem sempre razão;

Se o Auditor não encontrou nada errado, é

por que a auditoria não foi bem feita;

Auditorias “Receita de bolo”;

Ausência de padrões;

Medo, incerteza, dúvida.

O Auditor

Auditoria de SegInfo: Abordagem correta!

O Auditor se comunica e é parceiro, mas

mantém a independência;

Se um bom trabalho é feito, auditorias

podem ter fiddings mínimos;

Abordagem sistemática, metodologias

focadas no conceito de risco;

Utilização de frameworks e melhores

práticas, facilitando atendimento a

requisitos de compliance (SOX, PCI).

O Auditor

Auditoria de SegInfo: O foco é o risco

“Uma abordagem sistemática, com uma

metodologia baseada em riscos é a

melhor forma de se identificar e combater

fraudes.”

Auditoria de SegInfo: Planejando e Executando

1 - Coletar informação e planejar:

Conhecimento do negócio e indústria;

Resultados anteriores;

Informações financeiras atuais;

Estatutos regulamentatórios;

Riscos específicos do cenário.

2 – Obter entendimento dos controles internos:

Controles do ambiente;

Procedimentos de controle;

Avaliação da detecção de riscos;

Controles de detecção de risco;

Resultado total de risco.

3 – Executar testes de compliance:

Identificar controles chave que devem ser testados; Realizar testes focados na confiabilidade,

prevenção de riscos e aderência a politicas e

procedimentos da organização.

4 – Executar testes substantivos:

Executar procedimentos analíticos;

Observar aspectos chave como gestão do acesso;

Identificar e executar demais testes substantivos

pertinentes ao cenário.

5 – Concluir a auditoria:

Criar e consolidar recomendações; Escrever e apresentar relatório de auditoria.

Auditoria de SegInfo: Conclusões

Demonstre claramente que o foco da auditoria é apoiar o

negócio e não apontar culpados;

Normas e frameworks como a ISO 27001, ISO 27005 e

CobiT fornecem uma excelente base para planejamento;

Sempre siga uma abordagem baseada nos riscos e entenda

as ameaças antes de avaliar controles existentes;

E pergunte-se: 1. Quais ativos de informação estamos tentando proteger?

2. Qual o valor deles para o negócio?

3. Qual o impacto da perda de integridade, confidencialidade ou

disponibilidade nesses ativos?

4. Os controles existentes ajudam a reduzir o risco? Se não, quais os

controles são necessários?

Dúvidas

Obrigado!