Auditoria e Segurança da

Informação– GSI035
Prof. Rodrigo Sanches Miani – FACOM/UFU
 Políticas de Segurança e
Fundamentos de auditoria
Tópicos

1. Políticas de segurança (definição, necessidade e exemplos);

2. Fundamentos de auditoria de sistemas (definição,
classificação, metodologia e papel do auditor).
Políticas de segurança
Segurança da informação
 Todos os conceitos estudados até o momento são
importantes para manter a segurança da informação;

 Porém, o gerenciamento e implantação dos métodos

estudados exigem a criação de procedimentos
específicos;

 As normas ou políticas de segurança são construídas

para auxiliar o gerenciamento e implantação da segurança
da informação.
Implantação

 A implantação da segurança requer:

1. O comprometimento formal da alta administração da organização;

2. A criação de uma área específica com profissionais qualificados;
3. Uma abordagem de processo capaz de estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar o que foi
definido;
Gerenciamento

 O gerenciamento da segurança tem por objetivo manter os ativos

da informação em nível de risco controlado;

 Para isso, são utilizadas políticas, processos, procedimentos,

estruturas organizacionais, infra-estrutura e mecanismos de
proteção aplicados sobre todo um conjunto de ativos;

 O principal objetivo é a preservação do valor e da segurança das

informações contra possíveis ameaças.
E a Auditoria?

 A auditoria de segurança de informação é uma atividade para

examinar criteriosamente a situação do gerenciamento e
implantação de segurança assim como das políticas criadas.
Definição

“Recomendações e regras com o propósito de estabelecer

critérios para o adequado manuseio, armazenamento,
transporte e descarte de informações.”
Objetivos

1. Informar aos usuários, equipe e gerentes, as suas

obrigações para a proteção da tecnologia e do acesso à
informação - especificar os mecanismos através dos quais
estes requisitos podem ser alcançado;

2. Oferecer um ponto de referência a partir do qual se possa

adquirir, configurar e auditar sistemas computacionais e
redes, para que sejam adequados aos requisitos propostos.
Formulação

 Seu desenvolvimento é o primeiro e o principal passo da

estratégia de segurança das organizações;

 A área de TI, chefes de área, representantes de funcionários e

os gerentes devem se envolver na redação e planejamento da
política;

 Uso de normas existentes (ISO 27001 e ISSO 27002, por

exemplo) e reuso de políticas anteriores.
Pontos importantes para uma PSI
 Classificação da informação
 Tipos de usuários – interno, externo...
 Grau de confidencialidade da informação – pública, restrita, secreta...

 Comportamento do usuário
 Responder por atos que violam as regras de uso (por exemplo, regras de
uso dos laboratórios);
 Não se passar por outra pessoa;
 Cuidar de sua identidade eletrônica...
Pontos importantes para uma PSI –
normas/regras específicas
 Política para as senhas
 Estabelecimento de medidas para configurar um sistema com base em
senhas;
 Armazenamento de senhas.
 Política para o firewall
 Proibir tudo e liberar somente aqueles serviços que forem explicitamente
permitidos? Ou o contrário? Como será feita a manutenção de novas
regras?
 Política para acesso remoto
 Como a organização poderá ser acessada remotamente?
 Política para navegação Web
 A navegação na Web dentro da organização será totalmente liberada? Caso
não seja quais serão os critérios para permitir/não permitir que um site seja
acessado?
Exemplos

 Exemplos reais:
 UTFPR - http://www.utfpr.edu.br/estrutura-
universitaria/couni/portarias/Deliberao09_2014c.POSIC.pdf
 IFAM - http://www.ifam.edu.br/portal/images/file/PSI_autorizada.pdf

 Google - https://www.google.com.br/intl/pt-BR/policies/privacy/
 Facebook - https://www.facebook.com/legal/terms
Exercício

Considere dois tipos de empresa: um banco e uma

empresa de porte médio de TI. Como seria a política
de segurança para os seguintes itens:
 Senhas
 Firewall
 Acesso remoto
Auditoria de sistemas
Pergunta

 É possível saber se as normas, políticas, procedimentos, processos e

controles adotados estão funcionando de acordo?

 Como?
Pergunta

 É possível saber se as normas, políticas, procedimentos, processos e

controles adotados estão funcionando de acordo?

 Como?

 Resposta: investigando criteriosamente tais controles! Ou seja,

realizando auditorias.
Definição

“A auditoria de segurança de informação é uma atividade devidamente

estruturada para examinar criteriosamente a situação de controles
que se aplicam à segurança da informação. A atividade deve ser feita por
um profissional devidamente qualificado, que irá expressar sua opinião
acerca de uma determinada situação, e ao final do processo irá criar um
relatório ou parecer.”
Características

 A auditoria cria condições técnicas para investigar e emitir um juízo

sobre as evidências encontradas, de modo a se antecipar ante a
possíveis riscos de violação dos ativos de informação;

 Ativos de informação:
 os processos organizacionais e processuais (procedimentos, roteiros,
atividades),;
 itens físicos (instalações, equipamentos, cabeamento);
 lógicos (programas, sistemas, estruturas de dados).
Características
 O auditor deve:

 empregar práticas geralmente aceitas, baseadas em um método racional;

 lidar com responsabilidade e princípios éticos perante os clientes;
 agir com independência no que se refere à investigação e produção do
relato.

 Exemplos de auditoria de segurança da informação:

 Testes de invasão;
 Verificação do cumprimento de políticas de senha e controles de acesso;
 Investigações de ataques (perícias forense).
Processo de auditoria x Controles internos
 Passos do processo de auditoria:

 1) o gestor declara fatos sobre o desempenho das atividades da organização

para os envolvidos;
 2) faz-se necessário recorrer a um profissional especializado, o auditor
(externo ou interno), para opinar sobre a veracidade de tais declarações;
 3) o auditor verifica se as declarações do gestor estão satisfatoriamente
coerentes com as condições observadas no controle interno, emitindo uma
opinião fundamentada acerca de tais declarações.
Auditoria x Políticas de segurança

 A política de segurança deve tornar claro que cada colaborador na

organização é um ator relevante quando se trata de proteger ativos
na organização;

 Os colaboradores devem estar cientes dos riscos de segurança

existentes e das medidas preventivas que devem ser tomadas;

 A política de segurança da informação é o principal controle

de segurança numa organização - a ele se articulam todos os
outros controles.
Perfil

 Deve unir aspectos da área de exatas, como o raciocínio lógico e a

visão de processos com outras associadas às ciências humanas,
como boa capacidade de comunicação;

 Ser curioso, questionador e detalhista;

 Possuir formação superior sólida – preferencialmente em

Administração ou TI, complementada por uma pós-graduação em
Gestão de Pessoas. Cursos e certificações específicos para a área
de auditoria.

 Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/
Certificações

 Certified Information Systems Auditor (CISA) fornecida pela organização

ISACA (Information Systems Audit and Control Association);

 No Brasil, a academia CLAVIS fornece o curso preparatório e também as

provas.
Tipos de Auditoria (Classificação 1)

1. Auditoria durante o desenvolvimento de sistemas;

2. Auditoria de sistemas em produção (funcionamento);
3. Auditoria no ambiente tecnológico.
4. Auditoria em eventos específicos.
Tipos de auditoria (Classificação 2)

Considere a seguinte situação:

Suponha que com base na ISO 27002, foi redigido um plano de

segurança que contempla a implementação de antivírus em 100%
dos computadores da empresa.

Auditoria de gestão - Verificar se o anti-virus foi instalado em 100%

dos computadores;
Auditoria de conformidade - verificar se os antivirus foram
instalados com base na norma ISO 27002;
Auditoria operacional - Verificar se os antivirus estão funcionando
corretamente ou se o número de infecções diminuiu.
Metodologia de Auditoria de Sistemas de
Informação
 Maurício Rocha Lyra em seu livro Segurança e Auditoria em
Sistemas de Informação (2008) propõe a seguinte
metodologia, flexível e aderente aos quatro tipos de
modalidades de auditoria:
1. Planejamento e controle do projeto de auditoria de sistemas de informação;
2. Levantamento do sistema de informação a ser auditado;
3. Identificação e inventário dos pontos de controle;
4. Priorização e seleção dos pontos de controle do sistema auditado;
5. Avaliação dos pontos de controle;
6. Conclusão da auditoria;
7. Acompanhamento da auditoria.
3) Identificação e inventário dos pontos de
controle

 Identificar os diversos pontos de controle que merecem ser

validados no contexto do sistema escolhido;

 Cada ponto de controle deve ser relacionado, e seus

objetivos, descritos, assim como as funções que eles exercem
no sistema;

 Pontos de controle - situações do ambiente computacional

considerada pelo auditor como sendo de interesse para
validação e avaliação – instalações físicas a senhas de acesso
aos sistemas, por exemplo.
3) Identificação e inventário dos pontos de
controle - Exemplos

Suponha que uma auditoria sobre um ataque de negação de

serviço do site da um organização esteja em curso. Após o
planejamento e o levantamento de informações, os pontos
de controle devem ser identificados. Nesse caso, alguns
pontos de controle incluem:

1. Código do site da organização;

2. Datacenter;
3. Política de segurança referente aos controles de acesso;
4. Empresa que desenvolveu o site da organização;
5. Firewall da organização.
Conclusão
 Atividades de auditorias só são possíveis se a organização
estiver preparada;

 Organizações precisam desenvolver uma cultura de segurança

para que qualquer projeto de auditoria tenha êxito (caso
contrário a auditoria somente apontará problemas e falhas);

 O produto final de uma auditoria deve ser:

 Relatório (documento)
 Conscientização e criação/adequação de controles
Leitura recomendada
 Emilio Tissato Nakamura, Paulo Lício de Geus – “Segurança de
Redes em Ambientes Cooperativos”, Editora Novatec;
 Capítulo 6 – Política de segurança

 Normas – 27001 e 27002

 Capítulo 1 e 2 da apostila “Auditoria e Conformidade de

Segurança da Informação” (PIAZZA).