Segurança e Auditoria de Sistemas

Tarcio Carvalho

Apresentação• Conceitos de Auditoria;• Auditoria de sistemas e área de sistemas de informação;• Controles em SI gerenciais e de aplicações;• Coleta de dados: testes, técnicas, entrevistas e

questionários;• Avaliação de integridade e segurança de dados, de

efetividade e eficiência;• Auditoria nos processos de desenvolvimento de sistemas;• Auditoria de sistemas em operação;• Softwares de auditoria;• Gerência da função auditoria e segurança em SI.

Bibliografia básica:• NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de.

Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007

•• VALLE, James Della; ULBRICH, Henrique César.

Universidade Hacker - H4CK3R: desvende todos os segredos do submundo dos hackers. 6ª ed. São Paulo: Digerati Books, 2009

•• NENETH, Evi; SNYDER, Garth; HEIN, Trent R. Manual

Completo do Linux. 2ª ed. São Paulo: Pearson Prentice-Hall, 2007

•

Bibliografia complementar:• TANENBAUM, Andrew S. Redes de computadores. Rio de

Janeiro: Elsevier, 2003•• SOARES, L. F. G. et al. Redes de computadores. 2ª ed. Rio

de Janeiro: Campus, 1995•• CARUSO, C. A. A.; STEFFE, F. D. Segurança em informática e

de informações. 2ª ed. São Paulo: Editora SENAC, 1999•• COMER, Douglas E. Interligação em Redes com TCP/IP. Rio

de Janeiro: Campus, 1999

Avaliações:

I unidade:• Avaliação Individual;• Trabalho em grupo (dia da responsabilidade

social ou Linux Day);II unidade:• Avaliação Individual;• Trabalho em grupo (II Workshop de Segurança da

Informação).

Definição

• A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas, causados por falha humana de processos.

Objetivos

• Conhecer conceitos inerentes à segurança da informação;

• Compreender a importância da segurança da informação no contexto organizacional;

• Ser apresentado a NBRISO/IEC 27002;• Identificar aspectos que devem ser abordados

numa auditoria de segurança da informação.

Riscos associados à informaçãoIncidentes:• Vírus;• Ataques (hackers);• Indisponibilidade;• Vazamento/furto de informação;• Fraudes;• Invasões.

Riscos associados à informaçãoConseqüências:• Perda financeira;• Danos à imagem;• Processos legais;• Queda de produtividade;

Segurança da informaçãoA segurança da informação está relacionada com

proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

Pilares

Atributos

• Não-repúdio:É a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica não poderá posteriormente negar sua autora;

• Responsabilidade:É a habilidade para manter pessoas ou entidades responsáveis por suas ações por meio do registro de seus atos.

Análise de riscos

• Análise das ameaças, impactos e vulnerabilidades dos recursos de TI e da probabilidade de sua ocorrência.

• Gastos com controle necessitam ser balanceados (Custo X Benefício).

• Direciona e determina ações gerenciais a partir da identificação de requisitos de segurança.

• Proporciona o estabelecimento de controles.• Análise de risco é responsabilidade do gestor. O

auditor é responsável por avaliar a gestão do risco realizada pelo gestor e os controles implementados.

Perfil do Auditor

• Ética;• Proatividade;• Abertura para a troca de conhecimento;• Visão global dos negócios;• Aprendizado de normas e procedimentos de

determinadas áreas;• Atualização contínua;• Relacionamento interpessoal.

Competências e Habilidades

• capacidade de unir aspectos distintos da área de exatas, como o raciocínio lógico, a visão de processos, associando-os às ciências humanas e a boa capacidade comunicar de forma clara, o profissional de TI que deseja seguir pela área da auditoria, deve ser curioso, detalhista e questionador, o que fará, dele, alguém de destaque, no meio. Ter uma boa formação superior, também é um bom diferencial, principalmente, se o diploma for em administração ou TI, complementado com uma pós-graduação em Gestão de Pessoas

Certificação

Motivação

• Notícias de 2011 (Fonte: Folha de São Paulo)– 01/02 - Ataque virtual usa "BBB 11" para roubar dados;

– 01/02 - Procon vai notificar LG sobre vazamento de dados dos clientes;

– 28/01 - FBI documenta ciberataques relacionados ao Wikileaks;

– 27/01 - Cinco hackers que apóiam o WikiLeaks são presos no Reino Unido;

– 26/01 - Primeiro vírus de computador completa 25 anos;

– 26/01 - Cem usuários dominam dois terços da pirataria virtual, diz

pesquisa;

– 24/01 - Crimes pela internet estão em alta, diz empresa de segurança;

WikiLeaks

Classificação da Informação

Segurança

Técnica x Gestão

Cenário pessimista

Cenário otimista