Guia Essencial de Segurança da Informação e Auditoria

Classificado em Tecnologia

Escrito em em com um tamanho de 2,67 KB

Fundamentos de Segurança da Informação

O PDCA é o principal método da administração pela qualidade total. Ele se baseia no controle de processos, mas pode ser adaptado para ser utilizado num ciclo de verificação da informação em processos de segurança.

Ameaças e Vetores de Ataque

  • TCP/IP e Internet: Alcance mundial dos invasores aos seus alvos.
  • Macros (Word e Excel): Nova geração de vírus com infecção mais veloz.
  • Linguagens para Internet: Difícil controle, podendo causar problemas em redes internas.

Dada a inviabilidade, deve-se verificar as ameaças ignoradas. Os Logs de Firewall são recursos essenciais para realizar auditorias de segurança da informação.

Planejamento e Gestão

O Planejamento é o fator crítico de sucesso para a iniciativa de gerir a segurança da informação.

  • Plano Diretor de Segurança (PDS): Aponta o caminho e as atividades para suprir as necessidades de segurança do negócio. É uma ferramenta fundamental que auxilia todo o planejamento.
  • PSI (Política de Segurança da Informação): Contribui para o atingimento dos objetivos estratégicos (EGO), especifica o PDS e gera impactos sobre o PCS.

Auditoria e Controle

A Auditoria OSI deve avaliar os controles por meio da análise de ameaças e critérios de auditoria. A Auditoria de TI deve verificar a existência de políticas e avaliar a efetividade por meio de testes (senha pessoal, token com chave privada e biometria).

  • Privilégios de Acesso: Devem estar restritos à necessidade de cada usuário.
  • Auditoria Interna: Identifica falhas, propõe soluções e tem a finalidade de comunicar riscos e controles.
  • Plano Anual de Fiscalização: Foca na operacionalidade e conformidade.

Governança e Políticas

Sobre a gestão de políticas: a propriedade muitas vezes não assume a responsabilidade pela política de segurança. Devido à dificuldade de redigir uma boa política, é preferível terceirizar o serviço.

Tipos de Ataques à Informação

  • Modificação: A informação é captada e alterada.
  • Fabricação: O destinatário recebe uma mensagem que não foi enviada pelo remetente.
  • Interrupção: A informação não chega ao destino.
  • Interceptação: A informação é captada e chega distorcida ao transmissor.
Karma: 1%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Auditoria de TI Gestão de Riscos Segurança da Informação Segurança Cibernética PDCA