1 / 45

Segurança, Controle e Auditoria de Dados

Segurança, Controle e Auditoria de Dados. 10 – Análise de Impactos e Cálculo de Riscos. Análise de Impactos. Analisa-se impactos em dois aspectos: Curto prazo; Longo prazo. Em função do tempo que o impacto permanece afetando os negócios. De acordo com esta ótica, existem 6 classificações.

lan
Download Presentation

Segurança, Controle e Auditoria de Dados

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança, Controle e Auditoria de Dados 10 – Análise de Impactos e Cálculo de Riscos

  2. Análise de Impactos • Analisa-se impactos em dois aspectos: • Curto prazo; • Longo prazo. • Em função do tempo que o impacto permanece afetando os negócios. • De acordo com esta ótica, existem 6 classificações.

  3. Análise de Impactos • 0 – Impacto irrelevante; • 1 – Efeito pouco significativo, sem afetar a maioria dos processos de negócio da instituição; • 2 – Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e fornecedores, além de pequenas perdas financeiras;

  4. Análise de Impactos • 3 – Perdas financeiras de maior vulto e perda de clientes para a concorrência; • 4 – Efeitos desastrosos, porém sem comprometer a sobrevivência da organização; • 5 – Efeitos desastrosos que comprometem, de algum modo, a sobrevivência da organização;

  5. Análise de Impactos • Além desses níveis, outros, intrinsecamente relacionados aos negócios da organização, podem ser definidos; • Estes níveis devem ser criados por aqueles que mais entendem dos negócios, e que trabalham com os processos diariamente; • Exemplos de níveis criados:

  6. Análise de Impactos • 01 – Modificação de dados • 02 – Sistemas vitais não disponíveis • 03 – Divulgação de informações confidenciais • 04 – Fraude • 05 – Perda de credibilidade • 06 – Possibilidade de processo legal contra a instituição • 07 – Perda de clientes para a concorrência

  7. Análise de Impactos • Além de impactos, também tem-se níveis de probabilidade; • Estes níveis, de modo padrão semelhante ao anterior de impacto, também vão de 0 a 5; • Os níveis são como mostrados a seguir:

  8. Análise de Impactos • 0 – Ameaça completamente improvável de ocorrer; • 1 – Probabilidade da ameaça ocorrer menos de uma vez por ano; • 2 – Probabilidade da ameaça ocorrer pelo menos uma vez por ano;

  9. Análise de Impactos • 3 – Probabilidade da ameaça ocorrer pelo menos uma vez por mês; • 4 – Probabilidade da ameaça ocorrer pelo menos uma vez por semana; • 5 – Probabilidade da ameaça ocorrer diariamente.

  10. Matriz de Relacionamento • A maneira mais fácil de visualizar as ameaças, impactos e probabilidades é a matriz de relacionamento; • A matriz agrupará as ameaças em categorias; • As ameaças são associadas aos impactos; • Para cada par ameaça/impacto, associasse níveis de impacto e probabilidade;

  11. Matriz de Relacionamento

  12. Matriz de Relacionamento • O risco é calculado com base nessa matriz; • Risco = Probabilidade X Impacto • Valor mínimo = 0: nenhum risco • Valor máximo = 25: altíssimo risco • Quanto maior o risco, mais atenção devem ter as medidas de segurança para a ameaça em questão;

  13. Matriz de Relacionamento • Economicamente, e tecnicamente, nem todos os riscos serão minimizados; • Recomenda-se estabelecer um nível aceitável de risco, e tratar as ameaças com risco maior que este; • Isso visa diminuir o tempo de implementação de segurança, e o custo total envolvido;

  14. Análise de Risco • Para cada ameaça, define-se linhas de ação: • Eliminar risco; • Reduzir risco a nível aceitável; • Limitar o dano, reduzindo o impacto; • Compensar o dano, por meio de seguros. • Caso seja impossível eliminar o risco, tenta reduzi-lo a um nível aceitável, limitar o dano caso o mesmo ocorra, ou compensar os danificados, controlando o ambiente ameaçado.

  15. Análise de Risco • Devido à complexidade dos ambientes computacionais, recomenda-se o controle em camadas; • Isso evita que, caso a proteção seja quebrada, todo o ambiente fique desprotegido; • Caso a proteção de uma camada seja quebrada, ainda existem a dos outros níveis;

  16. Análise de Risco • Camadas: • Programas e aplicativos, • Serviços; • SO; • Hardware. • Levar em consideração controles de segurança física e outros controles administrativos;

  17. Análise de Risco • Deste modo, mesmo que um invasor consiga quebrar uma das camadas, ainda existem outras barreiras a transpor; • Porém, isso somente funciona das camadas mais acima para as inferiores; • App -> SO • Hardware -/-> SO

  18. Análise de Risco • Assim, quanto mais inferior a camada, mais criteriosa deverá ser a escolha das medidas de segurança aplicadas; • ISO 7498-2 define categorias de serviço de segurança: • Autenticação; • Controle de Acesso; • Confidencialidade de Dados; • Integridade de Dados; • Disponibilidade; • Não repudio.

  19. Gerência de Segurança • Pessoa, ou grupo de pessoas, que desenvolve as políticas de segurança definidas; • Após definida a política, é o gerente de segurança que deve encabeçar sua implantação; • Deve estar diretamente ligado à alta gerência, para evitar que suas sugestões (ou ordens) sejam ignoradas;

  20. Gerência de Segurança • Deve ter em mente três princípios básicos: • Prevenir o acesso de pessoas não autorizadas aos sistemas e informações; • Impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer coisa; e • Uma vez ocorrida a contingência, estar preparado para identificar suas causas, recuperar os sistemas e dados, e modificar os controles para que o problema não torne a acontecer.

  21. Gerência de Segurança • Pode ser dividida em: • Gerência de segurança de sistemas; • Gerência dos serviços de segurança; • Gerência dos mecanismos de segurança; • Gerência de auditoria de segurança. • Outros responsáveis: • Proprietário ou dono do sistema; • Gerente do sistema; • Usuário.

  22. Gerência de Segurança - Checklist • Elaborar, divulgar e manter atualizado o documento que descreva a política de segurança de informações; • A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado;

  23. Gerência de Segurança - Checklist • Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política; • Estabelecer procedimentos de segurança de pessoal, com o intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraudes ou roubos, por meio de um processo rigoroso de recrutamento e de controle sobre acesso a dados confidenciais;

  24. Gerência de Segurança - Checklist • Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a este assunto; • É recomendável que exista um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização;

  25. Gerência de Segurança - Checklist • Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a organização; • Todos os recursos (hardware, software, dados, documentação etc.) devem ser administrados por um responsável designado seu proprietário; • Definir padrões adequados de segurança física para prevenir acesso não autorizado, danos ou interferência em atividades críticas;

  26. Gerência de Segurança - Checklist • Devem ser estabelecidos limites de acesso ou áreas de segurança com dispositivos de controle de entrada; • Todos os equipamentos e cabeamentos de energia e de telecomunicação devem ser protegidos contra interceptação, dano, falha de energia, picos de carga e outros problemas elétricos; • Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados;

  27. Gerência de Segurança - Checklist • O controle de acesso lógico pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria etc; • Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos;

  28. Gerência de Segurança - Checklist • Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software; • A freqüência de backup deve ser apropriada e pelo menos uma cópia do mesmo deve ser guardada em local seguro; • Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários;

  29. Gerência de Segurança - Checklist • Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização; • Investigar qualquer incidente que comprometa a segurança dos sistemas e informações; • Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada;

  30. Controles de Acesso Lógico • Recursos utilizados para proteger, de modo lógico, os recursos informacionais; • Pode ser por: • Senhas; • Token; • Biometria. • Cada usuário deverá ter acesso somente aos recursos estritamente necessários, assim como o que pode fazer com estes também é controlado;

  31. Controles de Acesso Lógico - Cheklist • Conceder acesso, aos usuários, somente aos recursos realmente necessários para execução de suas tarefas; • Restringir e monitorar o acesso a recursos críticos; • Utilizar softwares de controle de acesso lógico; • Utilizar criptografia segura;

  32. Controles de Acesso Lógico - Cheklist • Revisar periodicamente as listas de controle de acesso; • Evitar dar orientações ao usuário durante o processo de logon; • Bloquear a conta do usuário após um determinado número de tentativas frustradas de logon; • Restringir acesso a determinados periféricos;

  33. Controles de Acesso Lógico - Cheklist • Fornecer contas apena a pessoas autorizadas; • Não fornecer a mesma conta para mais de um usuário; • Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização; • Bloquear, se possível, a escolha de senhas frágeis;

  34. Controles de Acesso Lógico - Cheklist • Orientar o usuário na escolha de senhas seguras; • Orientar o usuário a não armazenarem senhas em arquivos ou enviá-las por e-mail; • Armazenas as senhas no sistema sob a forma criptografada; • Prevenir o uso freqüente de senhas já utilizadas pelo mesmo usuário anteriormente;

  35. Controles de Acesso Lógico - Cheklist • Estabelecer prazo máximo de utilização de uma mesma senha; • Informar os usuários quanto aos perigos de divulgação de senhas; • Impedir que o usuário seja capaz de ler arquivos e senha, identificar e trocar senhas de outros usuários;

  36. Controles de Acesso Lógico - Cheklist • Desabilitar contas inativas, sem senhas, ou com senhas padronizadas; • Desabilitar a senha de ex-funcionários; • Não armazenas senhas em logs; • Manter e analisar trilhas de auditoria e logs;

  37. Controles de Acesso Lógico - Cheklist • Limitar o número de sessões concorrentes e o horário de uso dos recursos; • Configurar time-out automático; • Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.

  38. Controles de Acesso Físico • Recursos protegidos: • Servidores; • Estações de trabalho; • CPU, • Placas; • Monitores; etc • Controles Administrativos: • Crachás; • Câmeras; • Controle de entrada e saída de equipamentos; etc

  39. Controles de Acesso Físico • Controles Específicos: • Cadeados; • Fechaduras eletrônicas; • Fechaduras biométricas; • Guardas; etc

  40. Controles de Acesso Físico - Checklist • Instituir formas de identificação capazes de distinguir um funcionário de um visitante, e categorias diferentes de usuários, se for o caso; • Exigir a devolução de bens e propriedade da instituição quando o funcionário é desligado ou demitido; • Controlar a entrada e saída de equipamentos, registrando data, horários e responsável;

  41. Controles de Acesso Físico - Checklist • Controlar a entrada e saída de visitantes, registrando data, horários e local de visita e, dependendo do grau de segurança necessário, acompanhá-los até o local de destino; • Instituir vigilância no prédio, 24/7; • Supervisionar a atuação da equipe de limpeza, manutenção e vigilância;

  42. Controles de Acesso Físico - Checklist • Não instalar, em áreas de acesso público, equipamentos que possam acessar a rede interna; • Orientar os funcionários a não deixarem os computadores sem qualquer supervisão de pessoa autorizada, por exemplo, durante o horário de almoço ou quando se ausentarem de sua sala por tempo prolongado;

  43. Controles de Acesso Físico - Checklist • Encorajar o bloqueio de teclado, a guarda de documentos confidenciais, disquetes, cd’s, backups e laptops em armários com chave; • Utilizar mecanismos de controle de acesso físico, tais como fechaduras, câmeras de vídeo e alarmes; • Proteger as linhas telefônicas e outros dispositivos de comunicação contra “grampo”; • Proteger fisicamente os backups;

  44. Controles de Acesso Físico - Checklist • Restringir o acesso a computadores e impressoras que manipulem dados confidenciais; • Instituir política de descarte de equipamentos, dispositivos e documentos em papel que possam conter informações confidenciais; • Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.

  45. Controles de Acesso Ambiental É com vocês!!

More Related