Aula 01/10/10

Conceitos de criptografia
- Estuda os princpios e tcnicas onde a informao pode ser transformada de sua forma original para
outra ilegvel, de forma que possa ser conhecida apenas pelo destinatrio.
- O processo de criptografia feito por algoritmos que fazem o emaralhamento dos its desses dados a
paratir de ma determinada chave ou par de chaves, dependendo do sistema criptogrfico escolhido.
! criptografia tem " o#etivos principais$
% & 'onfidenciailidade & () o destinatrio autorizado deve ser capaz de e*trair o conte+do da
mensagem da sua forma cifrada.
, & -ntegridade & O destinatrio dever ser capaz de determinar se a mensagem foi alterada durante a
transmisso.
. & !utenticidade & O destinatrio dever ser capaz de identificar o remetente e verificar que foi mesmo
ele quem enviou a mensagem.
" & /o rep+dio & /o dever ser possvel ao emissor negar a autoria da mensagem.
Chaves simtrica e Assimtricas
Chave simtrica 0ipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave,
isto , uma +nica chave usada na codificao e decodificao da informao.
E*$ 1adro 2E( 32ata Encr4ption (tandard5
1ossui 67 its
- . 2E( 3triple 2E(5
Chave asimtrica 0amm conhecida como 8'have p+lica9, traalha com duas chaves$ uma
denominada privada e outra p+lica.
/este mtodo, um emissor deve 8criar9 uma chave de codificao e envia-la ao receptor. Essa a
chave p+lica.
:ma outra chave deve ser criada para a decodificao. Essa a chave privada, secreta.
E*.$
8;eltrano9 p+lica 8<ulano9 1rivada
1ergunta de prova$
=ual a diferena entre chave simtrica e assimtrica >
Aula 05/10/10
Algoritmo criptogrfico
O algoritmo criptogrfico a f)rmula matemtica que transforma uma mensagem legvel por
qualquer pessoa30e*to claro5 em uma mensagem cifrada, isto , cu#o conte+do est emaralhado e s)
pode ser decifrado por quem possua a chave secreta.
:m e*emplo de algoritmo simples seria associar n+meros ?s letras do alfaeto e depois adicionar
duas unidades para cada 8@etra impar9 e sutrair uma unidade para cada 8@etra par9.
E*$ ! A'B 3%C,D.5 EB=B 3%F-%D%G5
-nfo
-nfo

E*$ % , . " 6 7 G F H %I %% %,
0e*to 'laro ' E - 1 0 O J E ! < - !
0e*to cifrado E = K O L / - = ' E K '
MardNare
1rograma com hardare dedicado s) para criptografia
Certificado digital
! internet permite que indivduos, empresas, governos e outras entidades realizem uma srie de
procedimentos e transaOes de maneira rpida e precisa. ! certificao digital capaz de atender ? essa
demanda, atravs de operaOes eletrPnicas que precisam ser confiveis e seguras.
! certificao digital um tipo de tecnologia de identificao que permite que transaOes
eletrPnicas se#am feitas considerando sai integridade, autenticidade e sua confidencialidade, de forma a
evitar que adulteraOes, interceptaOes ou outros tipos de fraudes ocorram.
! certificao digital funciona com ase em um documento eletrPnico chamado 8'ertificado
2igital9 e um recurso denominado !ssinatura digital.
(eu funcionamento faz com que todo o documento a ser assinado se#a analisado, e com ase
nisso, um valor de tamanho fi*o gerado. 0rata-se do valor M!(M.
E*emplo$
E-'1< 3(EE!(!5
E-'/1Q 3EE'E-0!5
Camadas de proteo
1ara uma organizao o ideal assegurar a rede interna, criando camadas de segurana.
Aula 19/10/10
Plano de continuidade de negcios
O plano de contingRncia consiste em procedimentos de recuperao pr estaelecidos, com a
finalidade de minimizar o impacto sore as atividades da organizao no caso de ocorrRncia de um dano
ou desastre.
Entretanto, cada rea de neg)cio da organizao ser responsvel por definir o que considerado
como servio essencial.
Escopo do plano de contingncia
2eve ser considerado um plano de escopo a ser definido em con#unto com as reas e sistemas
crticos, aseado em alguns critrios$
- Jrau de criticidade
- 1rioridade
- (istema 'rtico
- <ator gerador da contingRncia
Planejando a continuidade
Os planos de continuidade de neg)cio so controles de segurana como todos os outros, o que
define aOes de implantao como resultado de uma ampla anlise de risco.
'ripto
Sanager
! !nlise de risco dir o que realmente importante. /o para uma ou outra rea, mas para a
estratgia de neg)cio da organizao.
Os planos de continuidade devem ser documentados e ser acionados pela ocorrRncia de um
evento especfico, so a responsailidade de uma pessoa ou rea pr determinado dentro do tempo
necessrio e anteriormente estipulado.
arantia funcional dos planos
Os planos precisam ser testados antes que tornem realmente necessrios.
2evem ser testados de tempos em tempos de acordo com os critrios definidos pela anlise de
risco.
Eealizao de testes e manuteno nos planos de continuidade de neg)cio.
Auditoria de sistemas
O o#etivo de uma auditoria garantir a efetividade dos processos e ativos de uma organizao.
! auditoria poder dedicar-se a comprovar a eficcia, a eficiRncia ou a efetividade do sistema de
segurana da informao. ! eficcia tem a ver com a oteno dos resultados, a eficiRncia preocupase
com os controles de segurana da informao, este#am sendo inplementados com qualidade e menor
custo. Q a efetividade a #uno dessas duas coisas.
1or isso um pro#eto de auditoria precisa ser elaorado, que garanta os traalhos de auditoria,
seguindo o (J(- a cada ciclo.
E*istem alguns tipos de auditoria$
%T !uditoria de %U parte$ V aquela realizada pela pr)pria organizao, conhecida como auditoria interna.
O o#etivo desse tipo de auditoria demonstrar as falhas no sistema de segurana de modo que planos
de ao para correo e melhoria possam ser elaorados e e*ecutados. -(O ,GII%.
,T !uditoria de ,U parte$ V aquela realizada para avaliar se o (J(- est implementado de maneira
correta. 'onhecida tamm como qualificao ou pr-qualificao de fornecedores, o o#etivo garantir
que o fornecedor siga ?s normas de segurana.
.T !uditoria de .U parte$ V aquela realizada por um )rgo certificador na organizao que dese#a oter a
certificao -(O ,GII%, por e*emplo$
!lguns o#etivos para a certificao$
- Eeconhecimento de mercado,
- Jarantir que produtos, servios se#am melhores
- @eis, e outros.
:ma auditoria consiste asicamente na comparao do estado dos processos de neg)cio, dos seus
servios e ativos, contra um critrio de auditoria. 2essa comparao, so possveis os seguintes
resultados$ 'onforme, e no conforme.
Critrios de auditoria
:m critrio de auditoria pode ser uma norma ou um con#unto de polticas, procedimentos ou
requisitos.
E*istem diversos critrios de auditoria, dependendo do seu tipo e dos resultados esperados.
Le#amos alguns$
- ! -((O ,GII% V um critrio especfico para auditoria de segurana da informaoW
- ! (aranes-O*le4 3(aro*X(OY5 V um critrio especfico para auditorias de segunrana da
informao, mais relacionadas com aspectos financeiros da organizao.
- ! metodologia -0-@, trata do gerenciamento de servios de 0-. :m con#unto de iliotecas que
apresentam melhores prticas de 0-.
- 'O;-0 & Jesto de governana de 0-, com foco no alinhamento estrattigo, no plane#amento e
acompanhamento dos planos e retorno sore os investimentos de 0-.
- 'SS- & !valia a melhoria contnua do processo de desenvolvimento de softNare. 0rata-se de
um modelo de maturidade, ou se#a, que permite a organizao evoluir ao passo que implementa os
procedimentos propostos.
8/aturalmente e*istem diversas outras normas e metodologias que podem ser adotados como
critrio de uma auditoria.9
Perfil do auditor
Essa competRncia uma composio entre os atriutos pessoais, conhecimento, hailidade e e*periRncia
profissional.
Alguns atri!utos pessoais
-Vtico, viso, diplomtico, oservador, persistente, e outros.
/o entanto, na prtica, esses requisitos esto muito longe da realidade, pois as organizaOes e
consultorias e*igem cada vez mais, incluindo p)s-graduao, certificaOes e outras hailidades
necessrias para a sua devida competRncia como auditor.
Aula 29/10/10
erenciando um programa de auditoria
!s auditorias internas, ou de %U parte, so uma atividade continua na organizao se o o#etivo
realmente implementar o sistema de gesto de (.-. 1ara isso fundamental haver um programa anual de
auditoria.
'omo todos os processos do (J(-, o programa de auditorias tamm precisa garantir a melhoria
continua e, para tanto, utilizar o ciclo 12'!$
1@!/ & Estaelecer o programa de auditoriaW
2O & -mplement-lo
'ME'K & Sonitora-lo e analisa-lo
!'0 & Selhora-lo.
Esta!elecendo o programa de auditoria
O primeiro passo definir o o#etivo do programa de auditoria, que pode estar relacionado com
questOes estratgicas, aspectos comerciais, requisitos do (J(-, dos clientes, das leis e regulamentos,
entre outros.
1or e*emplo$ 8(atisfazer requisitos da norma YZ[9, 8Jarantir conformidade com contratos9, e
outras..
-Em seguida, deve definir a arangRncia desse programa, requisitos normativos, mudanas
significativas, entre outros$
- 2efinir responsailidades dos envolvidos,
- Eecursos necessrios para o programa de auditoria.
- Eecursos humanos, tempo, dinheiro, e outros,
Os procedimentos de auditoria precisam ser definidos e devem inclusive fazer parte da poltica
de segurana da informao 31(-5.
Esses procedimentos de auditoria devem aranger$
- 1lane#amento, manuteno, seleo de equipes, realizao, aOes, registro, monitoramento e o
processo de comunicao com a alta administrao a respeito dos resultados.
Aula 05/11/10
"mplementando o programa de auditoria
V fazer acontecer tudo o que foi plane#ado. -sto envolve comunicar as partes envolvidas,
coordenar, analisar, selecionar e monitorar as equipes, garantir os recursos, gerenciar o cronograma,
analisar os riscos e manter a qualidade do programa de auditoria.
! utilizao de uma metodologia de gesto de pro#etos como o 1S- 31ro#ect Sanagment
-nstitute5. (endo assim, so trRs as principais categorias de registro, que so fundamentais para a gerao
e manuteno, que so$
% & Eelativos ? auditoria
, & Eelativos ? analise crtica do programa
. & Eelativos ao pessoal de auditoria
Os registros relativos ?s auditorias$
% & 1lano de auditoria
, & Eelat)rios de auditoria
. & Eelat)rios de no-conformidade
" & Eelat)rios de ao corretiva
6 & Eelat)rios de acompanhamento
Os registros relativos ? anlise crtica$
% & !ta de reunio
, & Eegistro de informaOes consideradas
. & Eelat)rio de propostas
Os registros ? equipes$
% & 'ompetRncia do auditor
, & !valiao de desempenho
. & (eleo das equipes
" & E*periRncia adquirida
6 & 0reinamentos realizados
Atividades de auditoria
- 1ara que uma auditoria se#a em sucedida, h todo um traalho inicial que envolvea marcao
de visitas, definio dos o#etivos, composio da equipe e a realizao dos primeiros contatos com o
auditado.
- V importante mencionar que a auditoria deve interferir o mnimo possvel no processo e que os
auditados no podem ficar ? mercR dos auditores. 1or isso, todos os horrios devem ser agendados e
cumpridos.
!lm da reviso dos documentos do (J-, no mnimo, os seguintes documentos devem e*istir e
ser analisados$
% & 1(-
, & 2ocumento com o escopo do (J-,
. & Eelat)rio de anlise de risco,
" & 1lano de tratamento de risco,
6 & 1rocedimentos documentados dos processos que mantRm o (J-.
7 & 2eclarao de aplicailidade
G & Eegistro das responsailidades e requisitos para o plane#amento e conduo de auditorias,
F & Eegistro das aOes tomadas para melhorar o (J-,
H & Eegistro dos resultados de eventuais aOes preventivas no sentido de evitar no-conformidades no
(J-.
/ota$ Essa documentao deve evidenciar que o sistema est operando e no que apenas foi criada para
ser mostrada em auditoria.