auditoria de segurança da informação prof. paulo fernando da silva faculdades senac p ó s-gradua...
TRANSCRIPT
![Page 1: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/1.jpg)
Auditoria de Segurança da Informação
Prof. Paulo Fernando da Silva
Faculdades SENACPós-Graduação em Segurança da Informação
![Page 2: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/2.jpg)
Conceitos Básicos
• Qual a importância da informação?
• O uso das informações evoluiu nas organizações?
![Page 3: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/3.jpg)
Conceitos Básicos
• Qual a importância da informação?– Financeira; Estratégica; Operacional, etc...
• Antigamente...– Centralizados e não automático;
• Depois...– Automatização dos processos;
![Page 4: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/4.jpg)
Conceitos Básicos
• Atualmente...– Tecnologia da informação;– Informação de alto nível;– Alta conectividade;– Aplicações conectadas:
• B2B;• B2C;• Comércio eletrônico;• ERPs;
![Page 5: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/5.jpg)
Conceitos Básicos
• Fundamental para os processos e negócios da empresa;
• Clientes, fornecedores, parceiros e governos conectados;
• Este cenário traz risco para as empresas.
• Quais riscos?
![Page 6: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/6.jpg)
Conceitos Básicos
• As empresas têm grande atenção aos seus ativos físicos e financeiros;
• E não protegem os ativos de informação;
• Ativos da informação:– A própria informação;– Meio de armazenamento;– Todo processo e manipulação;
![Page 7: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/7.jpg)
Conceitos Básicos
• Então é preciso criar medida para proteção dos ativos da informação;
• Segurança da Informação:– Área responsável pela proteção dos ativo da
informação;– Acesso não autorizado;– Alterações indevidas;– Indisponibilidade.
![Page 8: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/8.jpg)
Conceitos Básicos
• Três propriedades da segurança da informação:– Confidencialidade;– Integridade;– Disponibilidade;
![Page 9: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/9.jpg)
Conceitos Básicos
• Confidencialidade:– Protege o conteúdo;– Apenas lê quem tem direito;– Protege por grau de sigilo;
![Page 10: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/10.jpg)
Conceitos Básicos
• Integridade:– Modificação durante o trânsito;– Informação não pode ser alterada;– Informação igual a original;– Apenas quem tem direito pode modificar;
![Page 11: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/11.jpg)
Conceitos Básicos
• Disponibilidade:– A informação deve estar disponível;– Quando quem tem direito deseja acessar;– Exceto em situações previstas, como
manutenção.
![Page 12: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/12.jpg)
Conceitos Básicos
• Gestão Corporativa de Segurança:– Considera o negócio da empresa como um
todo;
• Incluí mais dois conceitos:– Autenticidade;– Legalidade;
![Page 13: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/13.jpg)
Conceitos Básicos
• Autenticidade:– Identificação dos elementos da transação;– Acesso através da identificação;– Comunicação, transações eletrônicas,
documentos, etc.
![Page 14: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/14.jpg)
Conceitos Básicos
• Legalidade:– Valor legal da informação;– Análise de cláusulas contratuais;– Concordância com a legislação.
![Page 15: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/15.jpg)
Conceitos Básicos – Outros
• Autorização;
• Auditoria;
• Relevância do ativo;
• Relevância do Processo;
• Criticidade;
• Irretratabilidade;
![Page 16: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/16.jpg)
Conceitos Básicos
• Autorização:– Concessão de permissão;– Acesso a informações ou aplicações;– Em um processo de troca de informações;– Depende da identificação e autenticação;
![Page 17: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/17.jpg)
Conceitos Básicos
• Relevância do Ativo:– Grau de importância de uma informação;– Quando os processos dependem da
informação;– Quando a organização depende da
informação;
![Page 18: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/18.jpg)
Conceitos Básicos
• Relevância do Processo:– Grau de importância do processo;– Objetivos da organização dependem dele;– Sobrevivência da organização depende do
processo;
![Page 19: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/19.jpg)
Conceitos Básicos
• Criticidade:– Gravidade do impacto no negócio;– Ausência de um ativo da informação;– Perda ou redução de funcionalidade;– Uso indevido ou não autorizado de ativos da
informação.
![Page 20: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/20.jpg)
Conceitos Básicos
• Irretratabilidade:– Sinônimo de não-repúdio;– Informação possuí a identificação do emissor;– A identificação autentica o autor;– Autor não pode negar a geração da
informação.
![Page 21: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/21.jpg)
Ameaças e Ataques
• Ameaças:– Agentes ou condições;– Causam incidentes que comprometem as
informações;– Exploram vulnerabilidades;– Perda de confidencialidade, integridade e
disponibilidade;– Causam impacto nos negócios da
organização.
![Page 22: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/22.jpg)
Ameaças e Ataques
• Ameaças externas ou internas;
• As ameaças sempre existirão;– Independente dos controles de segurança;
• As medidas podem eliminar as vulnerabilidades;
• E neutralizar as ameaças;
![Page 23: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/23.jpg)
Ameaças e Ataques
• Classificação das ameaças:– Intencionais;– Acidentais;– Internas;– Externas;
![Page 24: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/24.jpg)
Ameaças e Ataques
• Ameaças exploram vulnerabilidade para realizar ataques.
• Ataques:– Tentativa de quebras as propriedades de
segurança;– Confidencialidade, integridade e
disponibilidade;– Outras propriedades estudadas;
![Page 25: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/25.jpg)
O papel das Ameaças
![Page 26: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/26.jpg)
Definição de Controles• Políticas de Segurança;
• Normas ISO;
• Tipos de Políticas;
![Page 27: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/27.jpg)
Definições
• Conjunto de regras;
• Determina como as informações são geridas;
• Deve ser ampla e simples;
• Revisão contínua;
• Apoio da alta administração;
![Page 28: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/28.jpg)
Definições
• Define objetivos;
• Define responsabilidades;
• Define Penalidades;
![Page 29: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/29.jpg)
Definições
• BS7799: norma inglesa;
• BS7799-1 = ISO 17799: código de boas práticas de segurança;
• BS7799-2 = ISO 27001: requisitos para estabelecer, implementar e documentar SGSI;
• ISO 17799 e 27001 foram traduzidos pela ABNT.
![Page 30: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/30.jpg)
Definição
• CobiT: modelo de governança de TI;– 30% relacionado com segurança;
• ISO 15408 (Common Criteria):– Define e avalia requisitos de segurança em
sistemas;– Volume 1: Definições e Metodologia;– Volume 2: Requisitos de Segurança;– Volume 3: Metodologias de Avaliação;
![Page 31: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/31.jpg)
ISO 27001
• Define um “Sistemas de Gestão da Segurança da Informação”
• Usa o ciclo PDCA– Planejar (plain);– Fazer ou implementar (do);– Monitorar (check);– Melhorar (act);
![Page 32: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/32.jpg)
ISO 27001
![Page 33: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/33.jpg)
ISO 27001
• Possui 11 seções:– Política de Segurança;– Organizando a Segurança da Informação;– Gestão de Ativos;– Segurança em Recursos Humanos;– Segurança Física e do Ambiente;– Gerenciamento das Operações e
Comunicações;
![Page 34: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/34.jpg)
ISO 27001
• Possui 11 seções:– Controle de Acesso;– Aquisição, Desenvolvimento e Manutenção
de Sistemas de Informação;– Gestão de Incidentes de Segurança;– Gestão de Continuidade do Negócio;– Conformidade;
![Page 35: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/35.jpg)
ISO 27001
• Norma encoraja:– Entendimento de requisitos de segurança;– Necessidade de uma política de segurança;– Implementação de controles;– Gerência de riscos;– Monitoração e revisão do SGSI;– Melhoria contínua;
![Page 36: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/36.jpg)
Políticas Organizacionais
• Aplicada a toda a organização;
• Define objetivos;
• Define responsabilidades;
• Define escopo;
• Cita leis e regulamentos;
![Page 37: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/37.jpg)
Políticas Organizacionais
• Observações:– Não existem modelos prontos de política;– Não existe política certa ou errada;– A política deve ser definida de acordo com
cada organização;
![Page 38: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/38.jpg)
Políticas Específicas
• Trata que questões detalhas;
• De um determinado setor;
• Do uso de um determinado serviços;
• Ex: e-mail:– Uma política específica pode definir detalhes
sobre o relacionamento dos usuários com o serviços de e-mail;
![Page 39: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/39.jpg)
Políticas de Sistemas
• Definem as configurações dos sistemas;
• Ex.: Banco de Dados, Sistemas Operacionais;
• De forma que os sistemas estejam de acordo com a política organizacional;
![Page 40: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/40.jpg)
Plano de Contingência
• É mais amplo que o plano de recuperação de desastres;
• Plano global para manter os ativos em funcionamento;
• São procedimentos pré-estabelecidos para o caso de ataques;
• Muitas empresas não sobrevivem à perda de seus ativos;
![Page 41: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/41.jpg)
Plano de Contingência
• Preservação: tentar evitar a destruição dos ativos;
• Recuperação: possibilidade de disponibilizar novamente ativos que foram destruídos;
• São 2 conceitos importantes para a continuidade;
![Page 42: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/42.jpg)
Gestão de Segurança...
![Page 43: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/43.jpg)
Gestão de Segurança...
![Page 44: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/44.jpg)
Conceitos Básicos
• Auditoria:– Coleta de evidências;– Busca a identificação de entidades;– Busca a origem, o destino e os meios de
tráfego da informação.
![Page 45: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/45.jpg)
Serviços e MecanismosAuditoria
• Auditoria engloba análise:– das operações;– dos processos;– dos sistemas;– das responsabilidades;
• Objetivo de verificar conformidade com normas, regras, políticas ou padrões;
![Page 46: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/46.jpg)
Serviços e MecanismosAuditoria
• Auditoria abrange:1. Identificação de Controles;
2. Aplicação de Procedimentos de Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;
![Page 47: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/47.jpg)
Serviços e MecanismosAuditoria
• Identificação de Controles:– Fiscalização sobre atividades de pessoas,
órgãos ou produtos;
• Três tipos de controles:– Preventivo: prevenir ataques. Ex: Senhas;– Detectivo: detectar ataques. Ex: Relatório
de acesso;– Corretivo: reduzir impactos. Ex: Plano de
Continuidade;
![Page 48: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/48.jpg)
Serviços e MecanismosAuditoria
• Aplicação de Procedimentos:– Geralmente são Checklists;– Averiguação de procedimentos;– Para formação do opinião do auditor;
![Page 49: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/49.jpg)
Serviços e MecanismosAuditoria
• Achados da Auditoria:– Fatos observados pelo auditor;– Devem ser relevantes;– Devem ser baseados em evidências;
![Page 50: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/50.jpg)
Serviços e MecanismosAuditoria
• Papéis de Trabalho:– Registros que provam os fatos
observados pelo auditor;– Documentos, tabelas, listas, etc;– Dão suporte ao relatório de auditoria;– Contêm verificações, testes, etc;
![Page 51: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/51.jpg)
Serviços e MecanismosAuditoria
• Recomendações de auditoria:– É feito na fase de relatório;– Apresentação dos achados;– Apresentação dos papéis de auditoria;– Sugestões de medidas corretivas;
![Page 52: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/52.jpg)
Serviços e MecanismosAuditoria
• Uma Auditoria geralmente envolve:– Avaliação da política de segurança;– Controle de acessos lógicos;– Controle de acessos físicos;– Plano de Continuidade de Negócio;
![Page 53: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/53.jpg)
Atividade 1
• Escolher um capítulo da ISO 27002 e definir \ exemplificar em um estudo de caso:1. Identificação de Controles;
2. Aplicação de Procedimentos de Auditoria;
3. Descoberta de Achados da Auditoria;
4. Geração de Papéis de Trabalho;
5. Recomendações de auditoria;53
![Page 54: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/54.jpg)
Fases do Processo – ISO 15504-5
• Descreve o processo de auditoria
• Objetivo: determinar de forma independente a aderência dos produtos e processos selecionados com as especificações, planos e contrato, quando apropriado.
54
![Page 55: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/55.jpg)
Resultados do Processo
• O processo de auditoria envolve:
1.Uma estratégia de auditoria
2.Análise da Aderência dos produtos de trabalho selecionados ou processo em relação as especificações de acordo com a estratégia
55
![Page 56: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/56.jpg)
Resultados do Processo
• O processo de auditoria envolve:
3. Realização por uma empresa independente
4. Comunicação de problemas identificados para a tomada de ações corretivas.
56
![Page 57: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/57.jpg)
Fases do Processo
• Fase 1 – Estratégia de auditoria:– Definir o objetivo, escopo, marcos de
acompanhamento, critério e equipe de auditoria
• Fase 2 – Selecionar os auditores:– Independentes, imparciais e objetivos.
57
![Page 58: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/58.jpg)
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Plano de Auditoria
58
![Page 59: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/59.jpg)
Atividades 2.1
• Definir um plano de auditoria para a política recebida por seu grupo.
59
![Page 60: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/60.jpg)
Fases do Processo
• Fase 3 – Verificação de conformidade:– Verificar os itens definidos na estratégia– Registrar as não conformidades
• Fase 4 – Relatório de auditoria:– Confecção e divulgação do relatório de
auditoria
60
![Page 61: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/61.jpg)
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Relatórios com evidências– Aplicabilidade dos controles
61
![Page 62: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/62.jpg)
Atividades 2.2
• Descrever relatório de auditoria para a política recebida por seu grupo.
62
![Page 63: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/63.jpg)
Fases do Processo
• Fase 5 – Tomada de ações corretivas:– Pode ser ação imediata ao prevista para
próxima auditoria.
• Fase 6 – Acompanhar a resolução:– Auditor deve revisar as ações corretivas e
atualizar seus relatório com base na mudanças
63
![Page 64: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/64.jpg)
Estudo de Caso e-frete
• Apresentar estudo de caso e-frete...– Solicitação de plano de ação até o final da
auditoria!!!
64
![Page 65: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/65.jpg)
Atividades 2.3
• Descrever ações corretivas e atualizar o relatório de auditoria para a política recebida por seu grupo.
www.inf.furb.br/~paulofernando/download/pos
• DEFINIR CONTROLES, EVIDÊNCIAS E RECOMENDAÇÕES para a política de seu grupo!!!
65
![Page 66: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/66.jpg)
Auditoria Interna – ISO 27003
• Orientação para auditoria interna
• Realizada em intervalos regulares
• Resultados com base em evidências
• Reservar tempo adequado para coleta de evidências
66
![Page 67: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/67.jpg)
Auditoria Interna – ISO 27003
• Avaliar controles, processos e questões legais
• E se são efetivamente implementados e mantidos
• Convém que métricas de implementação sejam analisadas
67
![Page 68: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/68.jpg)
Auditoria Interna – ISO 27003
• Deve ser considerada a importância do controle para a organização
• Deve analisar o resultado de auditorias anteriores
• Convém documentar critérios, escopo aplicável, frequência e método utilizados
68
![Page 69: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/69.jpg)
Auditoria Interna – ISO 27003
• Ao selecionar os auditores, convém garantir a objetividade e a imparcialidade do processo de auditoria
• Sugestão de fases:1. Planejamento e execução da auditoria;
2. Divulgação dos resultados;
3. Proposição das ações corretivas e preventivas
69
![Page 70: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/70.jpg)
Auditoria Interna – ISO 27003
• Convém que as não conformidades e suas causas sejam tratadas de forma adequada e tempestivamente
• Isto não significa necessariamente que não conformidades tenham que ser corrigidas de imediato
• Convém que as ações corretivas realizadas incluam verificação das atitudes tomadas e um relatório com os resultados dessa verificação
70
![Page 71: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/71.jpg)
Atividade 3 – Checklist de SegInfo
• Checklist de Auditoria ISO 19977
• Avaliar e definir evidências...
• Discussão em grupo!!!
71
![Page 72: Auditoria de Segurança da Informação Prof. Paulo Fernando da Silva Faculdades SENAC P ó s-Gradua ç ão em Seguran ç a da Informa ç ão](https://reader031.vdocuments.net/reader031/viewer/2022013003/552fc10d497959413d8c45c5/html5/thumbnails/72.jpg)
Atividade a ser entregue
• Descrever as 6 fases da auditoria para o cenário de trabalho de seu grupo.
• Documentos específicos (estudo de caso):– Plano de auditoria– Relatório de auditoria– Plano de ações corretivas
72