O documento discute a importância dos testes de invasão para avaliar a segurança de sistemas e alcançar a conformidade com padrões e normas. Testes de invasão simulam ataques reais e identificam falhas de segurança, ao contrário de auditorias tradicionais que se baseiam em amostras. Vários padrões como PCI DSS e HIPAA requerem a realização periódica de testes de invasão.
2. filipe@clavis.com.br
@filipevillar
filipevillar
Diretor Comercial
Diretor de Auditorias
Segurança da Informação desde 2006
Responsável técnico em diversos projetos de GRC
Responsável pelas atividades de auditoria interna
Coordenador de Segurança da Informação na ANS
GRC, auditoria de segurança e continuidade de negócios
3. segurança da informação
não está relacionada à atividade fim
nasce na área de TI
não é bem vista
não tem a força necessária
em
geral
16. ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVMSUSEP
ISO/IEC27005
BS25999
TISS
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
TISS
Basiléia IIResoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
TISS
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
19. 133 itens de controle
apresenta os requisitos de auditoria da família ISO27000
A.10.3.2 – Aceitação de sistemas
A.12.5.2 - Análise crítica técnica das aplicações
após mudanças no sistema operacional
A.10.3 - Planejamento e aceitação dos sistemas
A.10.5 - Segurança em processos de desenvolvimento
e de suporte
24. The Sarbanes-Oxley Act
Sec.
302
transfere para a alta administração
a responsabilidade por garantir a
confiabilidade, acurácia e completude
das informações constantes em seus
relatórios financeiros
trata de controles internos e
auditorias externas
Sec.
404
26. Redação baseada na ISO27001
Composta por 12 requerimentos de controle
Está em sua v.2
27. Realizar testes de penetração externos e
internos pelo menos uma vez por ano e após
qualquer upgrade ou modificação significativa na
infraestrutura ou nos aplicativos (como um upgrade no
sistema operacional, uma sub-rede adicionada ao
ambiente ou um servidor da Web adicionado ao
ambiente)
Req.11.3
28. CFR - FDA
Reduzir a quantidade de papel
Aumentar a eficiência dos processos
Reduzir os custos
21 Code of Federal Regulations (CFR) part 11
• Forma de armazenamento
• Tempo de guarda de dados
• Assinatura digital
• Uso de criptografia
Código Federal de Regulação
29. CFR - FDA
21 Code of Federal Regulations (CFR) part 11
When any change (even a small change) is made to the software, the validation
status of the software needs to be re-established. Whenever software is
changed, a validation analysis should be conducted not just
for validation of the individual change, but also to determine
the extent and impact of that change on the entire software
system.
4.7. SOFTWARE
VALIDATION AFTER
A CHANGE
http://www.fda.gov/RegulatoryInformation/Guidances/ucm126954.htm
Código Federal de Regulação
30. HIPAA - Health Insurance
Portability and Accountability Act
Garantir a confidencialidade, integridade e disponibilidade de
informações médicas protegidas eletronicamente que ele cria, recebe,
mantém ou transmite;
Proteja-se contra quaisquer ameaças razoavelmente esperadas e
os riscos para a segurança ou a integridade de informações médicas
protegidas eletronicamente e
Proteja-se contra os usos razoavelmente previstos ou divulgação
de tais informações que não sejam permitidos pela Regra de Privacidade.
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
31. HIPAA - Health Insurance
Portability and Accountability Act
Provedores de serviços de
dados
Sistema de medicamentos
com desconto (farmácia
legal)
Planos de saúde
Profissionais de
atendimento de saúde
informação
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
32. HIPAA - Health Insurance
Portability and Accountability Act
dados cadastrais
prontuários
históricos médicos
diagnósticos
resultados de exames
outros....
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
33. HIPAA - Health Insurance
Portability and Accountability Act
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
NIST SP 800-66
34. HIPAA - Health Insurance
Portability and Accountability Act
Lei de Portabilidade de Seguro de Saúde e de Responsabilidade
Sec. 164.308(a)(8)
Conduct
Evaluations
Collect and document all needed information.
Collection methods may include the use of
interviews, surveys, and outputs of
automated tools, such as access control
auditing tools, system logs, and results of
penetration testing
Conduct penetration testing (where
trusted insiders attempt to compromise
system security for the sole purpose of
testing the effectiveness of security controls),
if reasonable and appropriate.
36. RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
requisitos de um programa de
certificação para sistemas de registro
eletrônico em saúde.
Controle de sessão de usuário
Autorização e controle de acesso
Comunicação remota
Segurança de Dados
Auditoria
37. RESOLUÇÃO CFM Nº 1.821, DE 11
DE JULHO DE 2007
Troca de Informação de Saúde Suplementar – TISS
resoluções a respeito de
prontuário do paciente
validade aos documentos
eletrônicos no País
cadastros nacionais em Saúde
padrão TISS para troca de informações
40. BACEN
BMFBOVESPA
Programa de Qualificação Operacional
Qualidade de serviços oferecidos por
operadoras
Requisitos “grosseiros” de segurança
Portaria 3380
Segurança operacional
44. ...testes de invasão operam com
a "fotografia" completa dos
sistemas
Auditorias são baseadas
em amostras...
45. Teste de
Invasão
Ponto de vista do atacante real
Medida concreta de segurança
Foco nos aspectos técnicos/tecnológicos
Diagnóstico de “momento”
Metodologia mais flexível/adaptável
46. Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Realizar testes de penetração externos e internos pelo menos uma
vez por ano e após qualquer upgrade ou modificação significativa na
infraestrutura ou nos aplicativos (como um upgrade no sistema operacional,
uma sub-rede adicionada ao ambiente ou um servidor da Web adicionado ao
ambiente)
47. Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Testes de invasão são frequentemente citados HIPAA Security Rule
Perform a periodic technical and nontechnical evaluation, based initially upon
the standards implemented under this rule and subsequently, in response to environmental
or operational changes affecting the security of electronic protected health
information, which establishes the extent to which an entity’s security policies and
procedures meet the requirements of this subpart
48. Teste de
Invasão
Testes de invasão são obrigatórios em alguns casos
E os atuais padrões de
segurança
PCI DSS, req. 11.3
Testes de invasão são frequentemente citados HIPAA Security Rule
Teste de invasão estão, quase sempre, evidenciando
que um processo não foi seguido ou um requisito
não foi atendido.
49. Leis, normas, padrões e resoluções
requisitos mínimos
senso comum
direcionamento
mensurados
acompanhados
verificados
controles