O documento apresenta um resumo da aula sobre segurança e auditoria de sistemas. Ele discute a importância de organizar a segurança através de um modelo de gestão corporativa e comitês de segurança, e introduz conceitos como ativos tangíveis e intangíveis, motivação para segurança, normas e políticas de segurança.

1. Memória de Aula 05:
Segurança e Auditoria de Sistemas
Prof. Paulo Rangel, MSc.

2. CURSO:
CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS
DISCIPLINA:
043004 - SEGURANCA E AUDITORIA DE SISTEMAS
TUTOR:
PROF. PAULO SÉRGIO RANGEL GARCIA, MSc.
CONTEUDO:
Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança.
Prof. Paulo Rangel, MSc.

3. Introdução
 As organizações necessitam implantar um processo de
segurança da informação.
 Que deve ser considerado como um dos ativos
intangíveis de proteção de valor.
 Ativos tangíveis são os bens físicos ou bens financeiros
 Os ativos intangíveis são aqueles que não podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.

4. Introdução
 Bens Tangíveis e Intangíveis possuem valor:

5. Introdução
 Intangíveis
Por exemplo: Marcas Globais

6. Introdução
 Intangíveis

7. Introdução
 Os bens intangíveis possuem
valor:

8. Introdução
 Os ativos intangíveis podem ser divididos em
aqueles que geram valor e aqueles que protegem o
valor.

9. Exemplos de ativo intangíveis de
proteção de valor:
 Gestão de Riscos

10. Exemplos de ativo intangíveis de
proteção de valor:
 Governança Corporativa

11. Exemplos de ativo intangíveis de
proteção de valor:
 Segurança da Informação

12. Introdução
 Os bens intangíveis possuem valor e devem ser
protegidos:
Convém que a direção estabeleça uma clara orientação da politica, alinhada com os
objetivos de negócio e demonstre apoio e comprometimento com a segurança da
informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.
NBR ISO/IEC 27002:2005

13. Motivação
 Legislações:
 Setor Financeiro
 Normas do
Banco Central
 Normas da CVM

14. Motivação
 Normas e Acordos Internacionais
 Acordos da Basiléia
Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html

15. Motivação
 Normas e Acordos Internacionais
 Lei Sarbanes Oxley (SOX)

16. Motivação
 Normas e Acordos Internacionais
 Lei Sarbanes Oxley (SOX)
 Segurança e auditoria confiáveis
 Afeta empresas Brasileiras Com ADR (American
Depositary Receipts) na NYSE

17. Motivação
 Adesão a Normas de Segurança da Informação
 Pela conscientização do empresário e atitude madura
dos acionistas

18. Motivação
 Por pressão de organizações maiores que por estarem
obrigadas a possuírem uma estrutura de segurança da
informação também exigem o mesmo das organizações que
estão em sua cadeia de valor.

19. Motivação
 Movimentos setoriais
 Projeto da ABNT – 78:000.00-19 – Informática em Saúde
baseada na NBR ISO/IEC27002

20. Motivação
 Pesquisa
realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010

21. O que é Politica de Segurança

22. Politicas de Segurança
 As normas que abordam as Segurança, por exemplo a
NBR ISO 27002:2005 relacionam um série de requisitos
para a elaboração de uma Politica de Segurança;
 Não existe a definição de um padrão mínimo;
 As empresas que já implantaram as politicas de
segurança da informação não consideraram todos os
requisitos da norma;
 O que cada organização deverá adotar? Qual norma a
seguir?

23. Politicas de Segurança
 Processos, estruturas conceituais, normas:
 Processo de segurança da informação e gestão de riscos


NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006
 Governança Corporativa e Governança de Segurança da
Informação

(Control Objectives for Information and related Technology)

(Information Technology Infrastructure Library)

24. NBR ISO/IEC 27001
É a Norma Internacional que define os Requisitos para Sistemas de Gestão
de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurança em seus ativos e adequar as necessidades a área
de negócio.
Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Irá implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificação de sistema de gestão de segurança da informação;

25. NBR ISO/IEC 27001
Faz a abordagem da implementação segurança da Informação através de
processos que procura enfatizar aos usuários:
• O entendimento dos requisitos e a necessidade de se ter uma política
da segurança da informação.
• Implementar e operar controles para gerenciamento dos riscos
• Monitorar o desempenho e a eficácia da política de segurança da
informação.
• Promover a melhoria contínua.

26. NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA, conforme temos na figura abaixo:
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

27. NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA:
Planejar: Definição do escopo do sistema de gerenciamento de segurança
da informação. Identificação de riscos, analisar e avaliar riscos, opções de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no
sistema de segurança, conduzir auditorias internas, atualizar planos de
segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações
corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de
melhoria aos interessados.

28. NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, além de três anexos
informativos.

29. NBR ISO/IEC 27001

30. NBR ISO/IEC 27002
NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização”.
Também conhecida como uma norma para os códigos de práticas para
gestão de segurança da informação. E refere-se a quais requisitos devem ser
implementados pela organização, sendo também um guia que orienta a
utilização dos controles de segurança.

31. NBR ISO/IEC 27002

32. NBR ISO/IEC 27002

33. NBR ISO/IEC 27002
Mapa Mental da
ISO 27002

34. ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na
área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicação.
Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área
Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.
Com a implementação desta Norma, as organizações de saúde e outros depositários de informações
médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua
organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus
pacientes.

35. ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e
números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado
para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores
ou por via postal), e como informação deve ser sempre protegida apropriadamente.

36. Definição da Politica de Segurança
 Visão
metódica, criteriosa e técnica em seu
desenvolvimento.
 Envolve proposta de alterações de configurações de
equipamentos, na escolha de tecnologias, na definição de
responsabilidades, gerando politicas adequadas ao perfil
da organização e aderente aos negócios que ela prática e
alinhadas aos anseios dos seus proprietários ou acionistas.

37. Definição da Politica de Segurança
 Aspectos importantes a serem percebidos:
 Conceito que as informações são um ativo importante;
 Envolvimento da alta direção em relação à Segurança;
 Responsabilidade formal dos colaboradores;
 Definir padrões para a manutenção da segurança.

38. Desenvolvimento da Politica
 Criada antes de problemas ou após para evitar reincidências;
 Previne problemas legais e mostra aderência ao processo de
qualidade
 O que precisa ser protegido esta além do hardware e software;
 Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
 Recomenda-se a formação de um comitê multidepartamental;
 Catalogar e agrupar as informações por categoria estabelecendo
os seus proprietários

39. Desenvolvimento da Politica
 Politicas e normas devem ser:
 Simples;
 Compreensíveis (escritas de maneira clara e concisa)
 Homologadas e assinadas pela alta direção
 Estruturadas para permitir a implantação por fases
 Alinhadas com as estratégias de negócios da empresa, padrões e
procedimentos existentes;
 Orientadas aos riscos (contra);
 Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)
 Protetores dos ativos de informação, priorizando os de maior valor e
importância;
 Positivas e não apenas concentradas em ações proibitivas ou punitivas.

40. Etapas para o Desenvolvimento
 Pode ser dividida em quatro etapas:
 Fase I – Levantamento das Informações
 Fase II – Desenvolvimento do Conteúdo da
Politica e Normas de Segurança
 Fase III –Elaboração dos Procedimentos de
Segurança da Informação
 Fase IV – Revisão, aprovação e implantação das
Politicas, Normas e Procedimentos da Segurança
da Informação

41. Fase I Levantamento das Informações
 Padrões , normas e procedimentos de segurança em uso;
 Entender necessidades e uso dos recursos da TI nos negócios;
 Obtenção de informações sobre ambientes de negócios:
 Processos de negócios
 Tendências de mercado
 Controles e áreas de riscos
 Obtenção de informações sobre o ambiente tecnológico:
 Workflow entre ambientes
 Redes de aplicações
 Plataformas computacionais

42. Fase II Desenvolvimento do conteúdo
 Gerenciamento da política de segurança
 Definição da SI, objetivos do gerenciamento, Fatores críticos de
sucesso, gerenciamento de versão e manutenção da politica,
referencia para outras politicas, padrões e procedimentos.
 Atribuição de regras e responsabilidades
 Comitê de SI, Dono das Informações, Área de SI, Usuários da
informação, recursos humanos, auditoria interna
 Critérios para a classificação das informações
 Introdução, classificando a informação, níveis de classificação,
reclassificação, armazenamento e descarte, armazenamento e saídas.

43. Fase II Desenvolvimento do conteúdo
 Procedimentos de segurança da informação
 Classificação e tratamento da informação,
 Notificação e Gerenciamento de incidentes de SI,
 Processos disciplinar,
 Aquisição e uso de software,
 Proteção contra software malicioso,
 Segurança e tratamento de mídias,
 Uso de internet,
 Uso de correio eletrônico,
 Uso de recursos de TI,
 Backup,

44. Fase II Desenvolvimento do conteúdo
 Procedimentos de segurança da informação
 Manutenção de testes e equipamentos,
 Coleta e registro de falhas,
 Gerenciamento e controle de rede,
 Monitoração do uso e acesso aos sistemas,
 Uso de controles de criptografia e gerenciamento de chaves,
 Controle de Mudanças Operacionais,
 Inventário dos ativos de informação,
 Controle de acesso físico às áreas sensíveis,
 Segurança Física e Supervisão de visitantes e prestadores de serviço.

45. Fase III Elaboração dos Procedimentos
 Pesquisa sobre as melhores práticas em SI adotadas no mercado
(Benchmarking);
 Desenvolvimento de procedimentos e padrões, para discussão com a Alta
Administração, de acordo com as melhores práticas de mercado e com as
necessidades e metas da organização;
 Formalização dos procedimentos para integra-los às políticas corporativas

46. Fase IV Revisão, Aprovação e Implantação
 Revisão e aprovação das políticas, normas e procedimentos de
segurança da informação;
 Efetiva implantação das políticas, normas e procedimentos de
segurança da informação por meio das seguintes alternativas:
 Atuação junto á área responsável pela comunicação / mkt
(divulgar)
 Divulgar as responsabilidades dos usuários e a importância
das Politicas
 Realização de palestras para os executivos referentes às
politicas, normas e procedimentos de segurança

47. Modelo de Cronograma

48. Fatores Comuns nas Políticas
 Especificação da Politica – Finalidade, o que é esperado, a quem




atinge;
Declaração da Alta Administração – Reafirma a toda
organização o compromisso da alta direção com o documento e seu
cumprimento;
Autores / Patrocinadores da Política – Quem desenvolveu e
que deverá receber sugestões de melhorias, duvidas, etc.;
Referências a outras politicas, normas e procedimentos;
Procedimentos para requisição de exceções à Política - Não
descrever em que condições, mas apenas o procedimento /
formulário de solicitação

49. Fatores Comuns nas Políticas
 Procedimentos para mudanças da política
 Quem serão os responsáveis e a metodologia para estabelecer as novas
revisões;
 Datas de Publicação, validade e revisão;

50. Pontos Críticos para o sucesso
 Formalização dos processos e instruções de trabalho
 Utilização de tecnologias capazes de prover segurança
 Atribuição formal das responsabilidades e das respectivas penalidades
 Classificação das informações
 Treinamento e conscientização constantes

51. Pontos Críticos para o sucesso
 Estabelecer na politica um capitulo para destacar os seguintes pontos:
 Confidencialidade;
 Integridade;
 Disponibilidade;
 Legalidade;
 Auditabilidade;
 Não repudio.

52. Pontos Críticos para o sucesso
 Também se recomendar desmembrá-la em 4 grandes aspectos:
 Segurança Computacional – Conceitos e técnicas para proteger o
ambiente de TI contra incidentes;
 Segurança Lógica – Prevenção contra acessos não autorizados;
 Segurança Física – Procedimentos e recursos para prevenir acessos
a áreas criticas
 Continuidade dos negócios – Procedimentos para reduzir a um
nível aceitável o risco de interrupção causada por desastres e falhas
(ISO 22031)

53. Características
 Para ser efetiva a politica deve:
 Ser verdadeira – Exprimir o pensamento da empresa e ser coerente
com suas ações;
 Ser complementada com a disponibilidade de recursos –
Recursos materiais e humanos para sua plena implantação;
 Ser válida para todos – Deve ser cumprida por todos, do Presidente
ao estagiário;
 Ser simples – Fácil leitura e compreensão. Evite termos técnicos;
 Comprometimento da Alta Direção – Deve ser assinada pelo mais
alto executivo da empresa;

54. Treinamento, publicação e divulgação
 Mudança da cultura através de:
 Avisos (comunicação interna, e-mail, intranet) sobre o
esclarecimento dos principais pontos relativos as
responsabilidades;
 Palestras de conscientização / sensibilização;
 Elaboração de material promocional (endomarketing)
 Treinamento direcionado (Financeiro, Comercial, etc.)
 NBR ISO/IEC 27002
 “deve-se garantir que os usuários estejam cientes das ameaças e
preocupações de segurança da informação e estejam equipados
para apoiar a política de segurança da organização durante a
execução normal de seu trabalho”

55. Treinamento, publicação e divulgação
 Para a disseminação das políticas, deve-se considerar:
 Uso de diferentes tipos de mídias;
 Diferenciação dos tipos de treinamento , por exemplo, básico e
avançado;
 Orientação para os novos funcionários (integração);
 Informativos sobre as atuais tendências dos incidentes de
segurança
 O elemento humano é fundamental. Quem não participa dos
programas de treinamentos se torna o elo fraco da corrente!

56. Treinamento, publicação e divulgação
 O Programa de conscientização precisa ser planejado, implantado,
mantido/corrigido e periodicamente reavaliado. Deve englobar as
seguintes fases:
 Identificação do escopo, metas e objetivos;
 Identificação dos instrutores;
 Identificação do público alvo
 Motivação dos funcionários e da Alta Direção;
 Administração do programa;
 Continuidade do programa;
 Avaliação do programa.

57. Treinamento, publicação e divulgação
 Modelo de Matriz de Treinamento

58. Treinamento, publicação e divulgação
 É responsabilidade da Alta Direção assegurar que todos os
usuários dos sistemas de informação da organização saibam
como proteger os seus ativos (informações, hardware,
software, etc.) e estejam de acordo com as Políticas de
Segurança desenvolvidas a partir desta proposta de modelo.

59. Benefícios
 Curto prazo:
 Formalização e documentação dos procedimentos de SI;
 Implementação de novos procedimentos e controles de SI;
 Prevenção de acessos não autorizados, danos ou interferências nos
negócios, mesmo em casos de falhas ou desastres;
 Maior segurança ao processo de negócios.

60. Benefícios
 Médio prazo:
 Padronização dos procedimentos de segurança incorporados a rotina
da Companhia;
 Adaptação segura de novos processos de negócios;
 Qualificação e quantificação dos sistemas de respostas a incidentes;
 Conformidade com padrões de segurança como a NBR ISO/IEC
27002.

61. Benefícios
 Longo prazo:
 Retorno sobre o investimento realizado pela redução dos
problemas e incidentes de SI;
 Consolidação da imagem corporativa associada à Segurança da
Informação

62. BIBLIOGRAFIA BÁSICA
IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas,
1
2008.
LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de
2
Janeiro: Ciência Moderna, 2009.
3
MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de
Janeiro: Ciência Moderna, 2010.
BIBLIOGRAFIA COMPLEMENTAR
CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os
1
riscos. 2ª Edição. Florianópolis: Visual Books, 2007.
2
3
4
5
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da
Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo:
Brasport, 2008.
Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet
no Brasil.
PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa.
1ª. Edição – São Paulo. Brasport, 2006
Prof. Paulo Rangel, MSc.

63. BIBLIOGRAFIA RECOMENDADA
MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator
1
Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro:
2
Editora Campus, 2003.
Prof. Paulo Rangel, MSc.

64. • Dúvidas
• As dúvidas devem ser encaminhadas, e serão respondidas
pelo Professor, através do MAIL disponível no TutorWeb.
Prof. Paulo Rangel, MSc.