SlideShare une entreprise Scribd logo

Controles de segurança da informação

Thiago Branquinho
Thiago Branquinho

O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.

Business
1  sur  34
Télécharger pour lire hors ligne
Controles de Segurança de TI Thiago Branquinho, CISA, CRISC Junho de 2011
Controles de TIPage 2 Por que falar sobre segurança?
Controles de TIPage 3 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Ficarmos longe de problemas Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Aumento de ameaças e ataques Objetivos
Controles de TIPage 4 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Temos que fazer isso… Mas como fazer bem feito? Ficarmos longe de problemas Fazer melhor o nosso trabalho Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Uso efetivo da tecnologia Atividades coordenadas de gerenciamento de riscos Aumento de ameaças e ataques Políticas de segurança melhoradas Compliance com base no custo/benefício Controles racionalizados e otimizados Proteger melhor os ativos e informações chave Objetivos
Controles de TIPage 5 Segurança de TI em 2011 Tendências ► Man in the browser (MITB) ► Segurança de arquivos ► Smartphones ► Co-evolução de Cloud e hacking ► Atacante interno ► Redes sociais ► Convergência de regulações ► Segurança proativa ► Segurança como parte dos processos de negócio ► Hacktivismo de infraestruturas críticas Demandas ► Endpoint security ► Controle de acesso reforçado ► Proteção contra malware ► Criptografia de mídias ► Conscientização de usuários ► Security at Cloud (IaaS, SaaS and PaaS) ► Proteção de dados em trânsito e em repouso ► Continuidade de negócios (disponibilidade, integridade, recuperação) ► Gestão de contratos ► Segurança de Infraestrutura Crítica ► Segurança de redes de automação ► Prevenção de Stuxnet-like Tendências e demandas
Controles de TIPage 6 Agenda Introdução Controles de segurança Auditoria de TI Discussão
Controles de TIPage 7 Agenda Introdução Controles de segurança Auditoria de TI Discussão
Controles de TIPage 8 Definições ► Ações ► Proteger ativos ► Informações ► Equipamentos ► Instalações ► Pessoal ► Evitar/reduzir perdas de produtividade ► Auxiliar na redução de prejuízos ► Alinhada com o negócio ► Suficiente ► Confortável ► Dentro do melhor custo/benefício Segurança da Informação Confidencialidade Compartilhamento apenas com pessoas autorizadas Disponibilidade Acessibilidade quando necessária, por aqueles que têm direito Integridade Informação autêntica, completa e confiável
Controles de TIPage 10 Ameaças • Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas Naturais • Intencionais (vírus, cavalos de troia, operação inapropriada) • Não intencionais (falta de habilidade do usuário, falhas de configuração) Humanas • Falta de energia, falha no sistema de climatizaçãoAmbientais ► Antigamente... ► Ataques destrutivos: Chernobyl, Sexta- feira 13 e Madonna ► Motivação dos atacantes: demonstrar habilidades ► Hoje... ► Ataques multi-estágio, silenciosos: construção de botnets ► Foco em aplicações e controle remoto ► Motivação dos atacantes: dinheiro ► Principal alvo: usuários 63 % clicam “OK” sem ler a mensagem (IDG Now, 25 de setembro de 2008)
Controles de TIPage 11 Como estas ameaças podem nos impactar? Impactos Imagem e consumidor • Referência da Marca • Reputação • Confiança Financeiros • Queda de ações • Redução de vendas • Pagamentos de multas Produtividade • Navegação improdutiva • SPAM • Sistemas desligados • Muitos chamados de Help desk Conformidade • Falha no atendimento de leis e normas • Quebra de contratos
Controles de TIPage 12 Casos da Vida Real Fonte: EXAME.com
Controles de TIPage 13 Casos da Vida Real ► Ford tem projeto (B402) e plano estratégico divulgados (2005) ► Supostamente gravados em um CD ► Projeto cancelado (R$ 800 mi) ► Vazamento da prova do ENEM (2009) ► Pessoal envolvido com a impressão ► Prejuízo de R$ 40 mi ► Hacker trocou senha e pediu R$ 350 mil (2008) ► Órgão federal ► 24 horas sem operar, 3.000 pessoas sem acesso ► “Mortos-vivos” da previdência (atual) ► Inconsistência na atualização/verificação dos óbitos ► R$ 1,67 bi em fraudes
Controles de TIPage 14 Riscos ► Dicionários ► Risco: “possibilidade de perda” ► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança” ► (ISC)² ► Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades” Conceitos
Controles de TIPage 15 Riscos Composição Vulnerabildade Ameaça Impacto Ativo explora causando Risco exposição Probabilidade Impacto
Controles de TIPage 16 Riscos Aplicação de controles Vulnerabildade Ameaça Impacto Ativo Controle bloqueia elimina reduz
Controles de TIPage 17 Riscos Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
Controles de TIPage 18 Agenda Introdução Controles de segurança Auditoria de TI Discussão
Controles de TIPage 19 Controles ► As demandas de segurança são definidas a partir dos: ► Objetivos de negócio ► Riscos ► Compromissos normativos, contratuais e legais Definindo as demandas de segurança Demandas de Segurança Auditoria Implantação Políticas e Gestão
Controles de TIPage 20 Controles ► Diretivas e objetivos de controle ► Definição de macro processos ► Alinhamento com as demandas de segurança com o auxílio de documentos como: ► CobiT ► ISO 27000 ► ISO 20000 (ITIL) ► ISO 15408 (Common Criteria) ► Exemplo de texto: ► “Os sistemas da informação precisam ser mantidos íntegros” Políticas e Gestão Demandas de Segurança Auditoria Implantação Políticas e Gestão
Controles de TIPage 21 Aplicação de Controles ► Definições técnicas e operacionais ► Tem como referência: ► Documentos do NIST ► Guias OWASP, OSA ► Guias de configurações de fabricantes ► Exemplo de texto: ► “Os sistemas da informação precisam utilizar antivírus, configurado da maneira xyz” Implantação Demandas de Segurança Auditoria Implantação Políticas e Gestão
Controles de TIPage 22 Controles ► A auditoria revisa os controles e permite a melhoria contínua de processos, serviços e da segurança ► Referências ► Planos de auditoria do ISACA ► Exemplo de texto: ► “Os sistemas estão mantendo sua integridade?” ► “Vamos analisar os logs e os padrões de configuração do antivírus” Validação Demandas de Segurança Auditoria Implantação Políticas e Gestão
Controles de TIPage 23 Controles ► A segurança de sistemas e das informações é obtida com a implantação de controles, que podem ser distribuídos em três categorias: ► Gerenciais ► Técnicos ► Controles estabelecidos por sistemas ► Operacionais ► Controles realizados por seres humanos ► Natureza dos controles ► Preventivos ► Detectivos ► Corretivos • Gerenciamento de riscos • Governança Gerenciais • Controle de acesso • Proteção de dados • Proteção de comunicações Técnicos • Conscientização • Continuidade • Gestão de configurações e mudanças Operacionais
Controles de TIPage 24 AmbientedeSegurançadeTI ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
Controles de TIPage 25 Genérico
Controles de TIPage 26 Dados
Controles de TIPage 27 Nuvem ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
Controles de TIPage 28 Agenda Introdução Controles de segurança Auditoria de TI Discussão
Controles de TIPage 29 Auditoria ► Financeiras ► Operacionais ► Integradas ► Administrativas ► Sobre Sistemas da Informação ► Especializadas/ Atestação ► Forenses Preparação do relatório Alinhamento dos resultados Interpretação de resultados Execução Planejamento pré-auditoria Definição do escopo Definição dos objetivos Definição do tema Tipos e etapas
Controles de TIPage 30 Auditoria Concluir a auditoria Alinhar expectativas Estabelecer recomendações Realizar testes substantivos Testes detalhados Orientação para as boas práticas Realizar testes de conformidade Definir controles-chaves Testes de aderência às políticas e procedimentos Entender os controles internos Ambiente Procedimentos Riscos Auto-avaliações Obter informações e planejar Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos Orientação aos riscos
Controles de TIPage 31 Control Self Assessment 0. Identificar processos e objetivos 1. Identificar e avaliar riscos 2. Identificar e avaliar controles 3. Desenvolver questionários 4. Coletar e analisar respostas Panorama e Benefícios 6. Ações 5. Treinamento e conscientização • Detecção antecipada de riscos • Melhoria dos controles internos • Redução de custos em controles • Melhoria da pontuação de auditoria
Controles de TIPage 32 Agenda Introdução Controles de segurança Auditoria de TI Discussão
Controles de TIPage 33 Discussão ► A segurança é um processo contínuo ► Planejar, Fazer, Verificar, Agir ► Os objetivos do negócio e seus riscos devem ser os balizadores para a definição de controles que serão: ► Formalizados em políticas ► Implantados em sistemas e processos ► Verificados pela auditoria
Controles de TIPage 34 Discussão Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
Obrigado! Thiago Branquinho, CISA, CRISC thiago@branq.net

Recommandé

Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Apresentacao de segurança
Apresentacao de segurançaApresentacao de segurança
Apresentacao de segurançaPereira Oliveira
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 

Recommandé

Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Apresentacao de segurança
Apresentacao de segurançaApresentacao de segurança
Apresentacao de segurançaPereira Oliveira
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Apresentação SIEM Inok
Apresentação SIEM InokApresentação SIEM Inok
Apresentação SIEM InokRenato Paço
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)luisjosemachadosousa
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introduçãoFernando Palma
 
Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiVíctor Leonel Orozco López
 
Internet[1]
Internet[1]Internet[1]
Internet[1]juanjosoto
 

Contenu connexe

Tendances

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Apresentação SIEM Inok
Apresentação SIEM InokApresentação SIEM Inok
Apresentação SIEM InokRenato Paço
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 

Tendances (20)

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Apresentação SIEM Inok
Apresentação SIEM InokApresentação SIEM Inok
Apresentação SIEM Inok
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunos
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introdução
 

En vedette

Segurança em redes wi-fi: estudo de caso em uma instituição de educação superior
Segurança em redes wi-fi: estudo de caso em uma instituição de educação superiorSegurança em redes wi-fi: estudo de caso em uma instituição de educação superior
Segurança em redes wi-fi: estudo de caso em uma instituição de educação superiorAllan Reis
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 

En vedette (8)

Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-Fi
 
Internet[1]
Internet[1]Internet[1]
Internet[1]
 
Segurança em redes wi-fi: estudo de caso em uma instituição de educação superior
Segurança em redes wi-fi: estudo de caso em uma instituição de educação superiorSegurança em redes wi-fi: estudo de caso em uma instituição de educação superior
Segurança em redes wi-fi: estudo de caso em uma instituição de educação superior
 
Cartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosCartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicos
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Clasemodelo Tcpip
Clasemodelo TcpipClasemodelo Tcpip
Clasemodelo Tcpip
 

Similaire à Controles de segurança da informação

CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfAdemarNeto18
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxClausia Antoneli
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...Cláudio Dodt
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Edson Aguilera-Fernandes
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
ICS Risk Eradication.pptx
ICS Risk Eradication.pptxICS Risk Eradication.pptx
ICS Risk Eradication.pptxssuserb65dc8
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta InteligenteAlexandre Freire
 

Similaire à Controles de segurança da informação (20)

CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdf
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptx
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
ICS Risk Eradication.pptx
ICS Risk Eradication.pptxICS Risk Eradication.pptx
ICS Risk Eradication.pptx
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta Inteligente
 

Controles de segurança da informação

  • 1. Controles de Segurança de TI Thiago Branquinho, CISA, CRISC Junho de 2011
  • 2. Controles de TIPage 2 Por que falar sobre segurança?
  • 3. Controles de TIPage 3 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Ficarmos longe de problemas Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Aumento de ameaças e ataques Objetivos
  • 4. Controles de TIPage 4 Por que falar sobre segurança? Isso não acontece… Até enfrentarmos os problemas! Temos que fazer isso… Mas como fazer bem feito? Ficarmos longe de problemas Fazer melhor o nosso trabalho Aumento dos casos de exposição Novas brechas de potencial ataque Consequências catastróficas para a reputação Maiores perdas financeiras por vazamento de informações Novas regulamentações globais sobre privacidade Uso efetivo da tecnologia Atividades coordenadas de gerenciamento de riscos Aumento de ameaças e ataques Políticas de segurança melhoradas Compliance com base no custo/benefício Controles racionalizados e otimizados Proteger melhor os ativos e informações chave Objetivos
  • 5. Controles de TIPage 5 Segurança de TI em 2011 Tendências ► Man in the browser (MITB) ► Segurança de arquivos ► Smartphones ► Co-evolução de Cloud e hacking ► Atacante interno ► Redes sociais ► Convergência de regulações ► Segurança proativa ► Segurança como parte dos processos de negócio ► Hacktivismo de infraestruturas críticas Demandas ► Endpoint security ► Controle de acesso reforçado ► Proteção contra malware ► Criptografia de mídias ► Conscientização de usuários ► Security at Cloud (IaaS, SaaS and PaaS) ► Proteção de dados em trânsito e em repouso ► Continuidade de negócios (disponibilidade, integridade, recuperação) ► Gestão de contratos ► Segurança de Infraestrutura Crítica ► Segurança de redes de automação ► Prevenção de Stuxnet-like Tendências e demandas
  • 6. Controles de TIPage 6 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  • 7. Controles de TIPage 7 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  • 8. Controles de TIPage 8 Definições ► Ações ► Proteger ativos ► Informações ► Equipamentos ► Instalações ► Pessoal ► Evitar/reduzir perdas de produtividade ► Auxiliar na redução de prejuízos ► Alinhada com o negócio ► Suficiente ► Confortável ► Dentro do melhor custo/benefício Segurança da Informação Confidencialidade Compartilhamento apenas com pessoas autorizadas Disponibilidade Acessibilidade quando necessária, por aqueles que têm direito Integridade Informação autêntica, completa e confiável
  • 9. Controles de TIPage 10 Ameaças • Enchentes, tornados, deslizamentos, terremotos, tempestades elétricas Naturais • Intencionais (vírus, cavalos de troia, operação inapropriada) • Não intencionais (falta de habilidade do usuário, falhas de configuração) Humanas • Falta de energia, falha no sistema de climatizaçãoAmbientais ► Antigamente... ► Ataques destrutivos: Chernobyl, Sexta- feira 13 e Madonna ► Motivação dos atacantes: demonstrar habilidades ► Hoje... ► Ataques multi-estágio, silenciosos: construção de botnets ► Foco em aplicações e controle remoto ► Motivação dos atacantes: dinheiro ► Principal alvo: usuários 63 % clicam “OK” sem ler a mensagem (IDG Now, 25 de setembro de 2008)
  • 10. Controles de TIPage 11 Como estas ameaças podem nos impactar? Impactos Imagem e consumidor • Referência da Marca • Reputação • Confiança Financeiros • Queda de ações • Redução de vendas • Pagamentos de multas Produtividade • Navegação improdutiva • SPAM • Sistemas desligados • Muitos chamados de Help desk Conformidade • Falha no atendimento de leis e normas • Quebra de contratos
  • 11. Controles de TIPage 12 Casos da Vida Real Fonte: EXAME.com
  • 12. Controles de TIPage 13 Casos da Vida Real ► Ford tem projeto (B402) e plano estratégico divulgados (2005) ► Supostamente gravados em um CD ► Projeto cancelado (R$ 800 mi) ► Vazamento da prova do ENEM (2009) ► Pessoal envolvido com a impressão ► Prejuízo de R$ 40 mi ► Hacker trocou senha e pediu R$ 350 mil (2008) ► Órgão federal ► 24 horas sem operar, 3.000 pessoas sem acesso ► “Mortos-vivos” da previdência (atual) ► Inconsistência na atualização/verificação dos óbitos ► R$ 1,67 bi em fraudes
  • 13. Controles de TIPage 14 Riscos ► Dicionários ► Risco: “possibilidade de perda” ► Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança” ► (ISC)² ► Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades” Conceitos
  • 14. Controles de TIPage 15 Riscos Composição Vulnerabildade Ameaça Impacto Ativo explora causando Risco exposição Probabilidade Impacto
  • 15. Controles de TIPage 16 Riscos Aplicação de controles Vulnerabildade Ameaça Impacto Ativo Controle bloqueia elimina reduz
  • 16. Controles de TIPage 17 Riscos Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  • 17. Controles de TIPage 18 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  • 18. Controles de TIPage 19 Controles ► As demandas de segurança são definidas a partir dos: ► Objetivos de negócio ► Riscos ► Compromissos normativos, contratuais e legais Definindo as demandas de segurança Demandas de Segurança Auditoria Implantação Políticas e Gestão
  • 19. Controles de TIPage 20 Controles ► Diretivas e objetivos de controle ► Definição de macro processos ► Alinhamento com as demandas de segurança com o auxílio de documentos como: ► CobiT ► ISO 27000 ► ISO 20000 (ITIL) ► ISO 15408 (Common Criteria) ► Exemplo de texto: ► “Os sistemas da informação precisam ser mantidos íntegros” Políticas e Gestão Demandas de Segurança Auditoria Implantação Políticas e Gestão
  • 20. Controles de TIPage 21 Aplicação de Controles ► Definições técnicas e operacionais ► Tem como referência: ► Documentos do NIST ► Guias OWASP, OSA ► Guias de configurações de fabricantes ► Exemplo de texto: ► “Os sistemas da informação precisam utilizar antivírus, configurado da maneira xyz” Implantação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  • 21. Controles de TIPage 22 Controles ► A auditoria revisa os controles e permite a melhoria contínua de processos, serviços e da segurança ► Referências ► Planos de auditoria do ISACA ► Exemplo de texto: ► “Os sistemas estão mantendo sua integridade?” ► “Vamos analisar os logs e os padrões de configuração do antivírus” Validação Demandas de Segurança Auditoria Implantação Políticas e Gestão
  • 22. Controles de TIPage 23 Controles ► A segurança de sistemas e das informações é obtida com a implantação de controles, que podem ser distribuídos em três categorias: ► Gerenciais ► Técnicos ► Controles estabelecidos por sistemas ► Operacionais ► Controles realizados por seres humanos ► Natureza dos controles ► Preventivos ► Detectivos ► Corretivos • Gerenciamento de riscos • Governança Gerenciais • Controle de acesso • Proteção de dados • Proteção de comunicações Técnicos • Conscientização • Continuidade • Gestão de configurações e mudanças Operacionais
  • 23. Controles de TIPage 24 AmbientedeSegurançadeTI ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  • 24. Controles de TIPage 25 Genérico
  • 26. Controles de TIPage 27 Nuvem ExtraídodositedaOSA:http://www.opensecurityarchitecture.org
  • 27. Controles de TIPage 28 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  • 28. Controles de TIPage 29 Auditoria ► Financeiras ► Operacionais ► Integradas ► Administrativas ► Sobre Sistemas da Informação ► Especializadas/ Atestação ► Forenses Preparação do relatório Alinhamento dos resultados Interpretação de resultados Execução Planejamento pré-auditoria Definição do escopo Definição dos objetivos Definição do tema Tipos e etapas
  • 29. Controles de TIPage 30 Auditoria Concluir a auditoria Alinhar expectativas Estabelecer recomendações Realizar testes substantivos Testes detalhados Orientação para as boas práticas Realizar testes de conformidade Definir controles-chaves Testes de aderência às políticas e procedimentos Entender os controles internos Ambiente Procedimentos Riscos Auto-avaliações Obter informações e planejar Objetivos do negócio Auditorias anteriores Normas internas e leis vigentes Avaliações de riscos Orientação aos riscos
  • 30. Controles de TIPage 31 Control Self Assessment 0. Identificar processos e objetivos 1. Identificar e avaliar riscos 2. Identificar e avaliar controles 3. Desenvolver questionários 4. Coletar e analisar respostas Panorama e Benefícios 6. Ações 5. Treinamento e conscientização • Detecção antecipada de riscos • Melhoria dos controles internos • Redução de custos em controles • Melhoria da pontuação de auditoria
  • 31. Controles de TIPage 32 Agenda Introdução Controles de segurança Auditoria de TI Discussão
  • 32. Controles de TIPage 33 Discussão ► A segurança é um processo contínuo ► Planejar, Fazer, Verificar, Agir ► Os objetivos do negócio e seus riscos devem ser os balizadores para a definição de controles que serão: ► Formalizados em políticas ► Implantados em sistemas e processos ► Verificados pela auditoria
  • 33. Controles de TIPage 34 Discussão Demandas de Segurança Auditoria Implantação Políticas e Gestão Posicionamento Riscos Probabilidade Impacto
  • 34. Obrigado! Thiago Branquinho, CISA, CRISC thiago@branq.net