AUDITORIA INFORMTICA

POLTICA DE SEGURANA

Poltica de Segurana
Em um pas, temos a legislao que deve ser seguida para que tenhamos um padro de conduta considerado adequado s necessidades da nao para garantia de seu progresso e harmonia. No havia como ser diferente em uma empresa. Nesta precisamos definir padres de conduta para garantir o sucesso do negcio. (ABREU, 2002)

Uma poltica de segurana consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organizao

Poltica de Segurana
Segundo Wadlow (2000, p.40) uma poltica de segurana atende a vrios propsitos: Descreve o que est sendo protegido e por qu; Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo; Permite estabelecer um acordo explcito com vrias partes da empresa em relao ao valor da segurana;

Fornece ao departamento de segurana um motivo vlido para dizer no quando necessrio;

Proporciona ao departamento de necessria para sustentar o no; segurana a autoridade

Impede que o departamento de segurana tenha um desempenho ftil.

4

Poltica de Segurana
Sua criao e sua definio envolvem conhecimentos abrangentes de segurana, ambiente de rede, organizao, cultura, pessoas e tecnologias, sendo uma tarefa complexa e trabalhosa.

Porm a dificuldade maior ser na implementao desta poltica criada, quando todos os funcionrios devem conhecer a poltica, compreender para que as normas e procedimentos estabelecidos realmente sejam seguidos por todos os funcionrios.
A implementao pode ser considerada a parte mais difcil da poltica de segurana.

Poltica de Segurana
As polticas de segurana devem ter implementao realista, e definir claramente as reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para implementao de mecanismos de segurana, definem procedimentos segurana adequados, processos de auditoria segurana estabelecem uma base para procedimentos legais na sequncia ataques. a de e de

O documento que define a poltica de segurana deve ser um documento de fcil leitura e compreenso, alm de resumido.
Algumas normas definem aspectos que devem ser levados em considerao ao elaborar polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British Standards Institution) A ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
6

Poltica de Segurana
Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido). Os elementos da poltica de segurana devem ser considerados: A Disponibilidade: O sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Utilizao: O sistema deve ser utilizado apenas para os determinados objetivos. A Integridade: O sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
7

Poltica de Segurana
A segurana deve ser considerada um dos assuntos mais importantes dentre as preocupaes das organizaes. Deve-se entender que segurana da informao no uma tecnologia. No possvel comprar um dispositivo que torne a rede segura ou um software capaz de tornar seu computador seguro. Segurana da informao no um estado que se pode alcanar. .. A Segurana no uma questo tcnica, mas uma questo gerencial e humana. No adianta adquirir uma srie de dispositivos de hardware e software sem treinar e conscientizar o nvel gerencial da empresa e todos os seus funcionrios. (OLIVEIRA, 2001, p.43)

Poltica de Segurana
A segurana a direo em que se pretende chegar, mas a empresa deve saber que nunca chegar de facto ao destino. O que possvel fazer administrar um nvel aceitvel de risco. Segurana um processo, pode-se aplicar o processo rede ou empresa visando melhorar a segurana dos sistemas. (WADLOW, 2000, p.25]
A segurana a direo em que se pretende chegar!

CLASSIFICAO DA INFORMAO
O objetivo da Classificao da Informao assegurar que os activos da informao recebam um nvel adequado de proteo. A informao deve ser classificada para indicar a importncia, a prioridade e o nvel de proteo. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteco ou tratamento especial. Um sistema de classificao da informao deve ser usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento. Not all information has the same value or importance to Organization. Information exists in many forms, and different types of information have different values to the Organization and therefore information requires different levels of protection.
10

CLASSIFICAO DA INFORMAO
Secreta Confidencial Interna Pblica

11

CLASSIFICAO DA INFORMAO
Secreta Estas informaes devem ser acessadas por um nmero restrito de pessoas e o controle sobre o uso destas informaes deve ser total, so informaes essenciais para a empresa, portanto, sua integridade deve ser preservada. O acesso interno ou externo por pessoas no autorizadas a esse tipo de informao extremamente crtico para a instituio.

12

CLASSIFICAO DA INFORMAO
Confidencial
Estas informaes devem ficar restritas ao ambiente da empresa, o acesso a essessistemas e informaes feito de acordo com a sua estrita necessidade, ou seja, os usurios s podem acess-las se estes forem fundamentais para o desempenho satisfatrio de suas funes na instituio. O acesso no autorizado estas informaes podem causar danos financeiros ou perdas de fatia de mercado para o concorrente.

13

CLASSIFICAO DA INFORMAO
Interna Essas informaes no devem sair do mbito da instituio. Porm, se isto ocorrer as conseqncias no sero crticas, no entanto, podem denegrir a imagem da instituio ou causar prejuzos indiretos no desejveis.

Pblica

Informaes que podem ser divulgadas para o pblico em geral, incluindo clientes,fornecedores, imprensa, no possuem restries para divulgao.

14

Segurana da Informao
A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio

15

Segurana da Informao
Podem ser estabelecidas mtricas para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou no da situao de segurana existente.

A segurana de uma determinada informao pode ser afectada por factores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao.
16

Mecanismos de segurana
O suporte para as recomendaes de segurana pode ser encontrado em: Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta. Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc .. Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
17

Segurana Fsica e Segurana lgica

Segurana fsica
Do pessoal

Objectivos
Reduzir os riscos devido a erros humanos, roubo, fraudes e/ou m utilizao dos recursos existentes
Requisitos da localizao e estrutura dos edifcios destinados aos centros de informtica de forma a garantir um nvel de segurana adequado

Das instalaes

Segurana lgica
Gesto e controlo de acessos

Objectivos
O acesso ao SI informatizado deve ser condicionado pelo uso de passwords Assegurar uma segura e adequada gesto de todos os computadores existentes na rede Manuteno aplicacionais da segurana dos sistemas
18

Gestao do SI informatizado e da rede

Segurana dos sistemas aplicativos

Mecanismos de segurana
Existem mecanismos de segurana que apiam os controles lgicos: Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinaturas digital, Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade e autenticidade do documento associado, mas no a sua confidencialidade. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio.

19

Mecanismos de segurana
Mecanismos de controle de acesso,Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao, Atesta a validade de um documento. Integridade, Medida em que um servio/informao genuno, isto , est protegido contra a personificao por intrusos. Honeypot, o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os anti-vrus, firewalls,, filtros anti-spam, analisadores de cdigo, etc
20

AUDITORIA INFORMTICA E A SEGURANA

Os tipos de controlos proporcionam gesto empresarial e tambm aos auditores um dado nvel de segurana quando fiabilidade da informao e quando ao funcionamento de todo um SI
necessrio concentrar a ateno das organizaes nos aspectos que vo condicionando o meio profissional como, por exemplo, a segurana em TI, os requisitos legais, as medidas de segurana para a proteco de dados pessoais e a proteco da privacidade no sector das telecomunicaes.
21

AUDITORIA INFORMTICA E A SEGURANA

Em relao a segurana da TI importa dizer que se assiste h alguns anos a configurao de um novo modelo cuja orientao a construo da confiana. Um dos objectivos bsicos do mencionado modelo contribuir para a actual sociedade da informao, com a requerida confiana nos seus SI e nas possveis interaes dos mesmos.

Trata-se de um domnio vasto e complexo, que afecta a legislao vigente, a administrao, a formao, a conscincia tica e, obviamente, a TI; Apresenta uma dimenso internacional
22

AUDITORIA INFORMTICA E A SEGURANA

importante continuar a pensar em temas como: Os contributos da tecnologia de deteco e de respostas a ataques que perturbem a segurana dos SI; Os mecanismos e tcnicas de segurana, nomeadamente a criptografia, esteganografia e os critrios de avaliao dessa segurana; Diferena entre o domnio da segurana e o da tecnologia, o que dirige as consideraes para os campos da tica e da dimenso sociolgica das tecnologias;

A projeo social do que deve ser ainda realizado e decidido, at a nvel governamental, relativamente a proteo de dados pessoais e as medidas de segurana dos ficheiros automatizados que contenham dados de carcter pessoal; Os aspectos jurdicos relevantes em matria de comrcio electrnico;
E, finalmente, os contributos provenientes da auditoria dos SI informatizados.
23

AUDITORIA INFORMTICA E A SEGURANA

A Esteganografia o estudo das tcnicas de ocultao de mensagens dentro de outras, diferentemente da Criptografia, que a altera de forma a tornar seu significado original ininteligvel.

24

AUDITORIA INFORMTICA E A SEGURANA

Segurana Fsica
importante a segurana fsica dos computadores. Deve-se avaliar o grau de segurana proporcionado aos recursos envolvidos no ambiente de sistemas em relao s ameaas externas existentes, como o caso de um sinistro ou de um incndio. O ambiente onde os servidores ficam deve ter restrio de acesso fsico, limpeza e organizao, dispositivos para monitoramento vinte e quatro horas por dia e equipamentos de combate a sinistros. A infra-estrutura para os servidores deve contar com rede eltrica estabilizada e cabeamento estruturado. As estaes de trabalho devem ter moblia adequada, equipamentos protegidos com lacres ou cadeados, limpeza e configurao compatvel com a carga de trabalho.
25

AUDITORIA INFORMTICA E A SEGURANA

Segurana de Redes
Quanto segurana de redes as seguintes medidas de segurana devem ser tomadas: uso da criptografia no envio de dados, monitoramento do sistema, cuidados com a criao de novos usurios e uso de firewall, pois o firewall um sistema desenvolvido para prevenir acessos no autorizados a uma rede local de computadores.

Os firewalls so implementados atravs de programas de computador e dispositivos eletrnicos. Atravs dele, os dados que entram ou saem da rede so examinados com a finalidade de bloquear os dados que no esto de acordo com os critrios de segurana.
Apenas usurios autorizados podem ter acesso rede e dentro da rede, eles s podem ter acesso aos recursos realmente necessrios para a execuo de suas tarefas. Sendo que os recursos crticos devem ser monitorados e seu acesso restrito a poucas pessoas..
26

AUDITORIA INFORMTICA E A SEGURANA

Segurana do Banco de Dados
Especial ateno deve ser dada ao banco de dados para o qual devem existir dispositivos de segurana, procedimentos de autorizao de acesso aos dados, atualizao das novas verses e procedimentos de cpias para possveis restauraes. A segurana das informaes processadas pelo sistema de informtica deve ser sempre monitorada para verificar se os relatrios gerados esto corretos, se esto protegidas contra fraudes, se as instalaes e os equipamentos tambm esto protegidos.

27

VULNERABILIDADES
A vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque, ou seja, uma condio encontrada em determinados recursos, processos, configuraes, etc. Condio causada muitas vezes pela ausncia ou ineficincia das medidas de proteo utilizadas de salvaguardar os bem da empresa. (Moreira, 2001, p.22)

Qualquer grande empresa precisa tomar providencias especiais para evitar as vulnerabilidades. Para tanto, planos de recuperao psdesastre incluem procedimentos e instalaes para restaurar os servios de comunicao aps terem sofrido algum tipo de problema. Quando a empresa utiliza intranet ou Internet, firewalls e sistemas de deteco de invaso ajudam a salvaguardar redes internas contra o acesso no autorizado.
28

VULNERABILIDADES
A auditoria em segurana da informao tem o papel de assegurar a qualidade da informao e participar do processo de garantia quanto a possveis e indesejveis problemas de falha humana.

Com dados concentrados em formato digital e procedimentos invisveis devido automao, os sistemas de informao so vulnerveis a destruio, abuso, alterao, erro, fraude e a falhas de programas e equipamentos.

Os sistemas on-line e os que utilizam a Internet so os mais vulnerveis, pois seus dados e arquivos podem ser acessados imediata e diretamente em terminais de computador ou em muitos pontos de rede. Hackers podem invadir redes e causar srios danos ao sistema e s informaes armazenadas, sem deixar qualquer rastro. Vrus de computador podem se propagar rapidamente entupindo a memria de computadores e destruindo arquivos. Os softwares em si tambm apresentam problemas e a m qualidade dos dados tambm pode causar srios impactos sobre o desenvolvimento do sistema.

29

VULNERABILIDADES
Assegurar que existe uma preocupao efectiva com a segurana e se os custos em segurana esto proporcionalmente distribudos pelos recursos a proteger Assegurar que os recursos aplicados no SI esto sujeitos a um risco reduzido no que concerne sua integridade fsica e capacidade energtica e que os recursos do SI esto devidamente acondicionados e climatizados. Assegurar que os recursos do SI esto protegidos contra modificao, destruio, perdas, danos ou depreciao e se o acesso aos recursos do SI limitado apenas aos funcionrios que efectivamente necessitam de lhes aceder.
30

VULNERABILIDADES
Uma vulnerabilidade pode partir das prprias medidas de segurana implantadas na empresa, se existir estas medidas, porm configuradas de maneira incorreta, ento a empresa possuir uma vulnerabilidade e no uma medida de segurana.

Quando pretende-se garantir a segurana da informao da empresa deve-se identificar os processos vulnerveis, se estes processos forem de grande importncia para garantir a segurana da informao, as medidas e controles de segurana adequados so implementados.
31

VULNERABILIDADES
As vulnerabilidades podem ser fsicas, naturais, humanas, de software ou hardware, entre outras. Pode-se citar alguns exemplos de vulnerabilidades: Fsicas: Falta de extintores, salas mal projetadas, instalaes eltricas antigas e em conjunto com as instalaes da rede de computadores. Naturais: Acumulo de poeira, umidade, possibilidade de desastre naturais, como enchente, tempestade, terremotos, etc. Humana: Falta de treinamento, compartilhamento de informaes confidenciais por parte dos funcionrios da empresa, falta de comprometimento dos funcionrios.

32

Impacto dos incidentes de segurana nos negcios

33

Bibliografia
Oliveira,2006. Metodo de auditoria a sistemas de informacao Santos,P. Auditoria a Sistemas de informacao www.ifac.com

34