Auditando Segurança da Informação fileAuditoria de Segurança da Informação ... Abertura a...
Transcript of Auditando Segurança da Informação fileAuditoria de Segurança da Informação ... Abertura a...
Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert
Business Continuity & Security Senior Consultant
www.twitter.com/cdodt
www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr
Auditando Segurança da Informação
Facilitador – Perfil Profissional
Cláudio Dodt
http://claudiododt.com
http://www.linkedin.com/pub/cl%C3%A1udio-dodt/5/1a4/723
Business Continuity & Security Senior Consultant, Gerente regional da Daryus
Strategic Risk Consulting, atua na área de tecnologia há mais de 10 anos
exercendo atividades como técnico e analista de suporte, Analista de Segurança
Sr., Security Officer e Supervisor de Infraestrutura e Segurança da Informação.
Desenvolveu atividades em empresas brasileiras e multinacionais participando,
no Brasil e exterior, em projetos de segurança de diversos segmentos como
Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval,
Metal-Mecânica e Têxtil.
Geek convicto, mergulhador autônomo nível 1(CMAS) e um grande amante da
leitura e dos videogames.
Especializações
ITIL® V2 Service Manager;
ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
CobiT Foundation.
Agenda
A Daryus
Contexto atual
Papel da Segurança da Informação
Auditoria de Segurança da Informação
Desafios
Conclusões
Curso CISA® - Certified Information System
Auditor
Abertura a perguntas
Empresa 100% nacional especializada em
Continuidade, Riscos e Segurança da Informação;
Parceira educacional exclusiva desde 2005 do DRII –
Disaster Recovery Institute International;
Líder em serviços especializados de consultoria e
treinamentos para Continuidade de Negócios e
Recuperação de Desastres;
Reconhecida internacionalmente em Governança,
Riscos e Conformidade pela Infragard (USA) e ISSA;
Duas Unidades: Consultoria e Educação.
Quem é a DARYUS?
Nossas Unidades de Negócio Our Business Units
Copyright © 2011 DARYUS® Strategic Risk Consulting. BRASIL.
Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
- Cursos acadêmicos em parceria com Faculdades:
- Pós em Gestão de Segurança da Informação (400 horas)
- Pós em Governança de TI (400 horas)
- Pós em Investig. Fraudes e Forense Computacional (150 hs)
- Cursos de especialização (venda direta ou parceiros)
- Gestão de Continuidade de Negócios
- Gestão de Riscos
- Segurança da Informação
- Certificações ISACA: CISA, CISM, CGEIT, CRISC, COBIT
- Certificações EXIN: Segurança (ISFS, ISMAS) e ITIL
- Certificações DRII: ABCP, CFCP, CBCP, MBCP
- Mapeamento de Processos
- Cursos de Riscos Financeiros e Conformidade
- Controles Internos
- Controles Contábeis
- Gestão de Conformidade
- Gestão de Riscos
- Prevenção a Fraude
- Prevenção a Lavagem de Dinheiro
Educação
Consultoria
• Continuidade de Negócios
• Segurança da Informação
• Gerenciamento de Processos de Negócios
• Governança, Risco e Compliance
Alguns clientes de consultoria
Responsabilidade
Social
Corporativa
Segurança
da
Informação
Governança
Corporativa e
de
TI
Gestão de riscos
Segurança, Saúde
e Meio Ambiente
sustentatibilidade
Continuidade
de
Negócios
Leis e
Regulamentações
ISO 26001
NBR 16001
ISO 27001
ISO 27002
ISO 27005
Cobit DS.5
ISO 38500
ISO 31000
ISO 14001
OHSAS 18001
BS 25999-1
BS 25999-2
BS 25777-1
Cobit DS.4
Leis e
Regulamentações
Visão holística da gestão de riscos - Inteligência de riscos, uma tendência mundial.
Contexto atual – No Mundo
“Fraude impactou 87% das
organizações.” Kroll's Global Fraud Report 2010-2011
“Auditores internos ainda são
vistos como a primeira linha de
defesa contra a fraude em 65%
das empresas. 11th Global Fraud Survey - Ernst & Young
Contexto atual – No Brasil
Incidência de fraude maior que a média global;
Roubo ou ataque a informação: Maior fonte de risco;
Complexidade de TI: Maior fator de exposição.
Motivadores Gestão de Riscos
PR
ES
SÃ
O P
EL
A G
ES
TÃ
O D
E R
ISC
OS
PR
ES
SÃ
O P
AR
A M
EL
HO
RA
R
Papel da Segurança da Informação
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Procedimentos e Orientações
Políticas
Normas e Padrões
Alta Direção • Política de SI
Comitê de SI • Entendimento do Negócio
• Seleção de estratégias
• Preparação da PSI
• Exercitar, manter e melhorar a
SI
Security Officer
• Análise de riscos;
• BIA;
• Cenários;
• Planos;
• Testes, exercícios;
• Conscientização.
Definir
Viabilizar
Realizar
Papéis Responsabilidades
Papel da Segurança da Informação
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Procedimentos e Orientações
Políticas
Normas e Padrões
Alta Direção • Política de SI
Comitê de SI • Entendimento do Negócio
• Seleção de estratégias
• Preparação da PSI
• Exercitar, manter e melhorar a
SI
Security Officer
• Análise de riscos;
• BIA;
• Cenários;
• Planos;
• Testes, exercícios;
• Conscientização.
Definir
Viabilizar
Realizar
Papéis Responsabilidades
Auditoria:
Garantir que tudo isso é feito;
Evitar que erros ou falhas sejam
encobertos;
Apoiar governança e prevenção de
fraudes.
Auditoria de SegInfo: Desafios
Disponibilidade
Confidencialidade Integridade
Infraestrutura
e Serviços
Disponibilidade
dos Dados
Planejamento
GCN
Backup e
Recuperação
Vazamentos,
Invasões
Requisitos
Legais
Comunicações
Bancos de
dados
Complexidade
Auditoria de SegInfo: Como NÃO fazer!
O Auditor tem sempre razão;
Se o Auditor não encontrou nada errado, é
por que a auditoria não foi bem feita;
Auditorias “Receita de bolo”;
Ausência de padrões;
Medo, incerteza, dúvida.
O Auditor
Auditoria de SegInfo: Abordagem correta!
O Auditor se comunica e é parceiro, mas
mantém a independência;
Se um bom trabalho é feito, auditorias
podem ter fiddings mínimos;
Abordagem sistemática, metodologias
focadas no conceito de risco;
Utilização de frameworks e melhores
práticas, facilitando atendimento a
requisitos de compliance (SOX, PCI).
O Auditor
Auditoria de SegInfo: O foco é o risco
“Uma abordagem sistemática, com uma
metodologia baseada em riscos é a
melhor forma de se identificar e combater
fraudes.”
Auditoria de SegInfo: Planejando e Executando
1 - Coletar informação e planejar:
Conhecimento do negócio e indústria;
Resultados anteriores;
Informações financeiras atuais;
Estatutos regulamentatórios;
Riscos específicos do cenário.
2 – Obter entendimento dos controles internos:
Controles do ambiente;
Procedimentos de controle;
Avaliação da detecção de riscos;
Controles de detecção de risco;
Resultado total de risco.
3 – Executar testes de compliance:
Identificar controles chave que devem ser testados; Realizar testes focados na confiabilidade,
prevenção de riscos e aderência a politicas e
procedimentos da organização.
4 – Executar testes substantivos:
Executar procedimentos analíticos;
Observar aspectos chave como gestão do acesso;
Identificar e executar demais testes substantivos
pertinentes ao cenário.
5 – Concluir a auditoria:
Criar e consolidar recomendações; Escrever e apresentar relatório de auditoria.
Auditoria de SegInfo: Conclusões
Demonstre claramente que o foco da auditoria é apoiar o
negócio e não apontar culpados;
Normas e frameworks como a ISO 27001, ISO 27005 e
CobiT fornecem uma excelente base para planejamento;
Sempre siga uma abordagem baseada nos riscos e entenda
as ameaças antes de avaliar controles existentes;
E pergunte-se: 1. Quais ativos de informação estamos tentando proteger?
2. Qual o valor deles para o negócio?
3. Qual o impacto da perda de integridade, confidencialidade ou
disponibilidade nesses ativos?
4. Os controles existentes ajudam a reduzir o risco? Se não, quais os
controles são necessários?
Dúvidas
Obrigado!