Segurana e Auditoria de Sistema Data: 12-Fev-11 Importncia - pagina 3 Definir, alcanar, manter e melhorar a segurana da informao pode ser

atividades essenciais para assegurar a lucratividade. Tipos de ameaas s informaes: fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio, inundaes e ECT. Observa-se que muitos sistemas de informao no foram projetados para serem seguros. Fonte de requisitos de segurana da informao. Analise/avaliao de risco para organizao: Analise de risco deve levar em conta os objetivos e estratgia da empresa, onde esta analise deve identificar as ameaas e o impacto que poder ocorre ao negocio. Legislao vigente: So estatutos, regulamento e clusulas contratuais que todos que prestam algum tipo de servio devem seguir. Conjunto particular de princpios: so os princpios e objetivos que a organizao tem que desenvolver para apoiar suas operaes. Seleo de controle pagina 4 Controle apropriados so implementados para manter o risco em um nvel aceitvel: Com os requisitos de segurana criado este deve ter um controle para que os nveis de segurana sejam reduzidos a um nvel confivel. Controles essenciais: Privacidade de informaes pessoais; Proteo de registros organizacionais; Direitos de propriedade intelectual; Documentos de polticas de segurana da informao; Atribuio de responsabilidades

Fatores crticos de sucesso FCS pagina 5 Compreenso dos requisitos; Comprometimento gerencial; Gesto de iniciantes; Treinamentos; Recursos humanos.

Data: 21-Fev-11

Riscos pagina 5 Definio do escopo; Magnitude do risco; Determinar se o risco pode ser aceito ou no; Contemplar mudanas nos requisitos de segurana da informao. Opes para tratamento dos riscos incluem pagina 6 Aplicao de controle; Conhecer os riscos; Evitar riscos; Transferir os riscos para, por exemplo, uma seguradora.

A reduo do risco para um nvel aceitvel requer: Avaliao do custo de implementao; Balanceamento (equilbrio) entre implementao e falhas.

Objetos organizacionais: Requisitos de legislao nacional e internacional; Requisitos operacionais. Poltica de segurana de informao pagina 6 Essas polticas tm como objetivo prover orientao e apoio a direo para segurana da informao. A poltica deve conter: Comprometimento da direo; Definio de segurana; Objetivos de controle; Princpios, normas e etc; Documentao; Regras de segurana.

Data: 14-Mar-11 Gestor com responsabilidade definidas; Nveis de autorizao definidos; Compatibilidade entre hardware (hm) e software (SW); Uso de recursos privados (exemplo: notebook) e relao com vulnerabilidades;

Acordos de confidencialidades ou de divulgao Aes previstas nos casos de violao; Aes requeridas ao termino do acordo; Auditoria / monitoramento; Proprietrio da informao; Segredos comerciais e propriedade intelectual; Durao do acordo; Destruio da informao ao final do acordo; Classificao da informao como confidencial; Entidade externas (pagina 10) Bombeiro, fiscalizao, provedor de internet, servios de sade, etc; Grupos de interesse especiais (pagina 10) Ampliao do conhecimento; Compartilhamento de informao; Relacionamento adequado para tratar de incidentes; Receber advertncias de alertas, conselhos e correes relativos aos ataques.

Data: 28-Mar-11 Acordo com os clientes (pagina 13) Acordos envolvem. Acesso; Processamento; Comunicao; Gerenciamento; Acrscimo de produtos; Acrscimo de servios. Termo para incluso no acordo Conscientizao dos usurios ; Renegociao; Proteo fsica requerida; Descrio da informao; Direito de monitoramento; Direito de propriedade intelectual; Relao do terceiro com subfornecedores; Processo escalonado para resoluo de problemas; Nveis de servios acordados;

Manuteno e instalao de hardware e software; Planejamento da operao.

2. Gesto de ativos (pagina 15) Principais tipos de ativos: Fsicos. Exemplo Informao. Exemplo Intangveis. Exemplo Pessoa. Exemplo Servios. Exemplo Software. Exemplo Hardware Base de dados Imagem da empresa Qualificao Ar condicionado Aplicativos

04-abril-11 Proprietrio dos ativos (pagina 15) Responsabilidade do proprietrio dos ativos: Classificao da informao; Definir as classificaes.

O termo proprietrio identifica uma pessoa ou organismo que tenha responsabilidade para controlar a produo, o desenvolvimento, o uso e a segurana dos ativos. Ateno especial: Dispositivos mveis; Internet; Correio eletrnico. Classificao da informao (pagina 16) Objetivo: Assegurar que a informao receba nvel adequado de proteo Alguns itens necessitam nvel adicional de proteo; Critrio: valor, requisitos legais, sensibilidade e criticidade; Necessidade de compartilhamento; Polticas de acesso; Rtulo de classificao apresentam variaes entre empresas; Com frequncia , a informao deixa de ser sensvel/critica aps certo perodo; Classificao superestimada conduz a custos desnecessrios. Rtulos Itens considerados: relatrios impressos, fitas, discos, mensagens eletrnicas, arquivos e etc. O rtulo pode ser exibido.

Data: 11-Abr-11 Segurana em Recursos Humanos (p.17)

As responsabilidades pela segurana da informao so atribudas antes da contratao Contratao no caso equivale contratao propriamente dita, nomeao, promoo, mudana de funo, etc. importante que as questes relacionadas segurana da informao sejam discutidas durante a fase de pr-contratao (exemplo: entrevistas, testes, dinmica de grupo, etc). Aspectos importantes: Confirmao das qualificaes acadmicas/profissionais; Referncias: pessoal e profissional; Verificao da exatido das informaes do currculo do candidato; Verificaes detalhadas ( exemplo: crdito no mercado, registros criminais); Assinatura de termo de confidencialidade; Responsabilidades durante a execuo de trabalhos em casa.

Data: 02-Mai-11

4. Gerenciamento das Operaes e Comunicaes (p.22)

Documentao atualizada e disponvel ; Procedimentos de Inicializao e desligamento dos computadores ; Segregao de funes ; Dados para contato de suporte ; Gerenciamento de Logs; Procedimentos para reinicio ; Agendamento de tarefas (Inicio/Termino). 4.1 Gesto de Mudanas

Registro de mudanas significativas; Teste das mudanas; Aprovao das mudanas; Recuperao em caso de insucesso; Treinamento Adicional; Custos de Licenciamento.

Data: 09-Mar-11 4.2 Segregao de funo pagina 23 Objetivo: Reduzir as oportunidades de modificao ou de uso indevido dos ativos da empresa. E conveniente garantir a separao dos ambientes de produo, teste e desenvolvimento. Itens importantes: Ambiente de testes emulem o ambiente de produo; Compiladores, editores, etc no acessam os sistemas operacionais; Evitar a copia de dados sensveis para o ambiente de testes; Regras claras para transferncia de software de desenvolvimento para a produo; Software em desenvolvimento de produo executados em sistemas diferentes ou processadores diferentes com diretrios, pastas especificas; Usurios tenham perfis diferentes para produo e teste. 4.3 gerenciamentos de servios terceirizados Garantias de manuteno da segurana; Monitoramento da conformidade; Aderncia entre os termos de segurana da informao e as condies dos acordos; Manuteno dos nveis de continuidade; Garantia dos nveis de entrega; Aes apropriadas quando forem observadas deficincias na entrega dos servios; Habilidades tcnicas suficientes e recursos tcnicos disponibilizadas para monitorar os requisitos do acordo; Monitorar nveis de desempenho dos servios para verificar a aderncia aos acordos; Melhoria dos servios fornecidos; Modificao ou atualizao das polticas e procedimentos; Adoo de novos produtos ou novas verses; Mudanas de fornecedores; Mudana de localizao fsica dos recursos; Uso de novas tecnologias.

4.4 Planejamento e Aceitao dos Sistemas Objetivo: Minimizar o risco de falhas. Pontos importantes: Implantar controles detectivos; Projees de capacidade futura; Sincronizao e monitoramento dos sistemas;

 Data: 23-Mai-11

Identificao de gargalos operacionais; Testes para novos sistemas; Concordncia sobre o conjunto de controles; Facilidade de uso; Manuais eficazes; Testes rotineiros; Recuperao de erros; Treinamento.

4.5 Protees contra cdigos maliciosos e cdigos mveis Objetivo: garantir a integridade do software e da informao; Conduzir anlises crticas regularmente; Conscientizar usurios; Proteo contra importao de software de outras redes (downloads); Proibir o uso de software no autorizado; Utilizar fontes qualificadas par obter informao correta; Atualizar software para deteco/remoo de cdigos maliciosos; Prepara planos de continuidade.

Cdigo mvel: e transferido de um computador para outro e executado automaticamente, realizando funes especificas com pequena ou nenhuma interao com o usurio. Aes no autorizadas para cdigos movem: Bloquear o recebimento de cdigo mvel; Bloquear recursos disponveis para aceso ao cdigo mvel; Estabelecer controle criptogrfico de autenticao exclusiva do cdigo mvel; Executar cdigo moveis em ambientes isolados logicamente.

30/05/11

4.6 Cpias de Segurana (p.28)

Cpias efetuadas e testadas; Estratgias para a gerao das cpias; Recursos para a gerao das cpias; Extenso e freqncia das cpias; Cpias armazenadas em local remoto; Mdias testadas; Nvel de segurana das cpias; Criptografia das cpias; Proteo fsica das copias; Registro e documentao das cpias; Automao dos procedimentos para gerao das cpias.

4.7 Gerenciamento da Segurana em Redes (p.29)

Capacidade do provedor dos servios de rede para gerenciar os servios; Nvel de servio; Proteo dos dados em redes pblicas; Gravao das aes relevantes de segurana; Gerenciamento de equipamentos remotos; Firewall; Deteco de intrusos;

4.8 Manuseio de mdias (p.30)

Proteo fsica das mdias; Evitar perdas em decorrncia da deteriorao; Destruio aps arquivamentos ser considerado desnecessrio; Procedimentos formais para descarte seguro; Incinerao; Triturao; Restries de acesso.

29/08/2011 Responsabilidade dos usurios pag. 43 Objetivo: prevenir o acesso no autorizado dos usurios e evitar o comprometimento da informao. Cooperao dos usurios. Poltica de mesa limpa. Poltica de tela limpa Efetivo controla de acesso mediante senhas. Boas prticas de segurana da informao. Alterao da senha diante da indicao de comprometimento do sistema. Evitar senha anotadas em papel. Manter a confidencialidade senhas. Modificar senha regulamente. No compartilhar senha individuais. No incluir senhas em processo automtico de acesso. No utilizar a mesma senha em diferentes sistemas. No utilizar como senha palavras inclusas em dicionrio. Ateno especial ao servio de help desk no tratamento de senhas perdidas/esquecida. Efetuar a desconexo ao termino de uma sesso.

Encerra sesses ativas Utilizar telas de proteo com senha. Poltica de armazenamento de mdias removveis. Remoo imediata de documentos da impressa. Proteo dos pontos de entrada/sada de correspondncia. Evitar o uso no autorizado de fotocopiadora, scanners, maquinas fotogrficas digitais. Uso de cofres. Proteo conta incndio, enchentes, exploso e etc. Acesso a impresso de arquivos somente para pessoas autorizadas.

08/08/11

Troca de Informao pgina 32

Conformidade com a legislao Evitar difamao, assdio, falsa identidade, correntes, compras no autorizadas, etc Evitar o armazenamento de dados pessoais No revelar informaes sensveis Cautela com a relao memria de dispositivos como, por exemplo, aparelhos de fax Evitar o envio de mensagens para o destinatrio incorreto Evitar mensagens com informaes sensveis em secretrias eletrnicas Procedimentos para o uso de redes wireless Uso de criptografia Evitar conversa confidencial em local pblico Cautela com a escuta de celulares em locais pblicos Identificao dos portadores da informao Normas para gravao e leitura Procedimentos para rastreabilidade Procedimentos para no repdio Procedimentos para transmisso/recepo Direitos de propriedade Condies de contratao Embalagens Identificao do transportador Assinatura eletrnica Acesso remoto Gravao de chamadas telefnicas

05-Set-2011 Controle de acesso a rede pag. 45 Objetivo: prevenir acesso no autorizado a rede. A poltica de uso da rede deve considerar: Proteo do acesso a conexes. Procedimento para determinar permisses. Redes de servios que permitem acesso. Autenticao dos usurios remotos. Criptografia. Controle de discagem reversa (ou dial-back). Acesso a rede sem fio wireless. Determinao do nvel de proteo requerido. Identificao automtica de equipamentos com permisso para conexo a rede. Portas, servios e recursos no requeridos para a funcionalidade do negocio devem ser removidos. Recursos de diagnostico ou configurao remota devem ser geridos com controle por possibilitarem o acesso ao sistema. Instalao de gatewary (exemplo firewall) entre redes interconectadas.

Restries tpicas: Acesso a aplicao. Transferncia de arquivos. Restrio da capacidade de conexo do usurio. Evitar o compartilhamento da rede com terceiros.