Business">
Segurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
de Sistemas
https://vidadesuporte.com.br/suporte-a-serie/auditoria/
Auditoria
auditoria em papel;
Maior produtividade.
Auditoria de Segurança e Controles de Segurança
Fonte: https://gifer.com/en/XlOL9
Controles Gerais de
Auditoria de Sistemas
Contextualizando
Você deve partir para o detalhamento do planejamento, com foco
nos controles. Justifique cada ponto de seu material sobre os
controles, já ele será distribuído para a diretoria executiva para
aprovação.
Uma sugestão de itens do material que você irá desenvolver
sobre controles que não podem faltar são:
•Tipos de controles considerados e para que servem.
•Como os controles são definidos. Fonte: shutterstock
Princípios.
Governança.
Melhoria contínua.
34 práticas de gerenciamento.
ITIL (Information Technology Infrastructure Library)
Dentre os benefícios do ITIL para as empresas, estão :
Padronização do modelo de operação de TI.
Cumprimento dos requisitos de clientes e funcionários.
Maior agilidade e capacidade para inovação.
Entregas em ambientes em constante mudança.
Maior controle e governança.
Demonstração do valor de TI. Fonte: shutterstock
Análise
Reporte.
Relatório das técnicas
e ferramentas que
serão utilizadas na
auditoria
Os controles implantados no data center foram resultados da
avaliação de riscos, que direcionaram as necessidades com base
na probabilidade das ameaças se tornarem incidentes de
segurança e os impactos envolvidos.
Além dos riscos, a definição dos controles foi feita a partir de
requisitos que direcionam a seleção e implementação de
controles e são derivados de leis, ordens executivas, diretrizes,
regulações, políticas, padrões e necessidades da empresa, como
a norma de certificação de data centers TIA-942, o padrão de
segurança PCI DSS da indústria de cartões de pagamento e as
melhores práticas de gerenciamento de serviços ITIL.
O primeiro ponto da auditoria é a realização de uma avaliação de
riscos, para que todos os riscos do escopo referente ao
datacenter tenham sido mapeados.
Na avaliação de riscos, devem ser identificados e mapeados
ameaças, agentes de ameaças, ativos, suas vulnerabilidades, e
calculados a probabilidade e os impactos.
Os ativos são:
A área segura.
Os racks com os servidores e os equipamentos de
comunicação.
Os administradores de sistemas.
As máquinas virtuais.
Sistemas operacionais disponibilizados para os clientes.
Sistema de provisionamento de acesso aos clientes.
Após a avaliação dos riscos, o tratamento dos riscos pode se
basear nos controles do TIA-942, PCI DSS, ABNT NBR ISO/IEC
27002, NIST Cybersecurity Framework, ITIL e COBIT, entre outros,
focando nestes ativos. Os controles das diferentes normas,
padrões e frameworks são equivalentes e complementares.
A verificação dos controles pode ser feita pensando nos controles
técnicos, físicos e processuais, que são utilizados pela empresa.
Os principais controles existentes na empresa devem estar
cumprindo os objetivos de, pelo menos:
Políticas de segurança da informação.
Organização da segurança da informação.
Segurança em recursos humanos.
Gestão de ativos.
Controle de acesso.
Criptografia.
Segurança física e do ambiente.
Segurança nas operações.
Segurança nas comunicações.
Aquisição, desenvolvimento e manutenção de sistemas.
Relacionamento na cadeia de suprimento.
As técnicas e ferramentas para a auditoria no provedor de nuvem
podem incluir, pelo menos:
Análise das políticas, processos e procedimentos de segurança
e privacidade.
Entrevistas com todas as áreas da empresa para percepção
sobre se a política de segurança é de conhecimento
organizacional e se está sendo seguida.
Visita ao data center para analisar a segurança física.
Análise de configuração do firewall.
Análise do fluxo para gestão de identidades.
Pentest para identificar vulnerabilidades do ambiente.
Análise de logs do banco de dados.
Análise dos relatórios do IDS/IPS.
Análise dos antivírus.
Análise de código do sistema corporativo.
Teste de phishing.
Auditoria
Entenderam os pontos principais de auditoria?
Fonte: https://gifer.com/en/XlOL9
Recapitulando
Fundamentos de Auditoria de Sistemas
Controles gerais de auditoria de sistemas
Técnicas e Ferramentas para auditoria de sistemas