Passos para auditoria em segurança

audit1
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Nesta seção, você aprenderá sobre os três principais componentes de uma avaliação de um programa de segurança:

  • Testes de segurança
  • Avaliações de segurança
  • Auditorias de segurança

Testes de segurança

Testes de segurança verificam se um controle está funcionando corretamente. Esses testes incluem varreduras, testes de penetração assistidos por ferramentas e tentativas manuais para minar a segurança.

Os testes devem ser realizados regularmente, com atenção para cada um dos principais objetivos e controles que protegem a organização. Ao agendar controles de segurança para revisão, os gerentes de segurança da informação devem considerar os seguintes fatores:

  • Disponibilidade de recursos de testes de segurança
  • Criticalidade dos sistemas e aplicativos protegidos pelos controles testados
  • Sensibilidade das informações contidas nos sistemas e aplicativos testados
  • Probabilidade de falha técnica do mecanismo de implementação do controle
  • Probabilidade de uma configuração incorreta do controle que colocaria em risco a segurança
  • Risco de que o sistema venha a ser atacado
  • Taxa de mudança da configuração de controle
  • Outras alterações no ambiente técnico que podem afetar o desempenho do controle
  • Dificuldade e tempo necessários para realizar um teste de controle
  • Impacto do teste em operações comerciais normais

Depois de avaliar cada um desses fatores, as equipes de segurança projetam e validam uma estratégia de avaliação e teste. Esta estratégia pode incluir testes automatizados freqüentes complementada por testes manuais pouco frequentes.

Por exemplo, um sistema de processamento de cartão de crédito pode passar por varredura de vulnerabilidade automatizada todas as noites com alertas imediatos aos administradores quando a varredura detecta uma nova vulnerabilidade. A varredura automatizada requer nenhum trabalho dos administradores, uma vez configurado, por isso é fácil de executar com bastante frequência. A equipe de segurança pode querer complementar essas varreduras automatizadas com uma penetração manual de testes realizado por um consultor externo. Tais testes podem ocorrer em uma
base anual para minimizar os custos e a interrupção dos negócios.

Muitos programas de testes de segurança começam de forma aleatória, com
profissionais de segurança simplesmente apontando suas novas ferramentas. Experimentação com novas ferramentas é boa, mas a segurança dos programas de testes devem ser cuidadosamente projetados e incluir rotinas rigorosas de testes de sistemas usando uma abordagem de risco prioritário.

Obviamente, não é suficiente realizar testes de segurança isolados. Profissionais de segurança também devem analisar cuidadosamente os resultados desses testes para garantir que cada teste seja bem-sucedido.
Em alguns casos, essas revisões consistem em ler manualmente a saída do teste e verificar que o teste foi concluído com sucesso. Alguns testes requerem interpretação humana e devem ser realizada por analistas treinados.

Outras revisões podem ser automatizadas, realizadas por ferramentas de teste de segurança que verificam a conclusão bem-sucedida de um teste, registre os resultados. Quando o sistema detecta um problema que exige atenção do administrador, ele pode disparar um alerta, enviar um email ou mensagem de texto ou abra automaticamente um registro de sobre a gravidade do alerta e a preferência do administrador.

Avaliações de segurança

As avaliações de segurança são revisões abrangentes da segurança de um sistema, aplicativo, ou outro ambiente testado. Durante uma avaliação de segurança, um profissional de segurança da informação treinado realiza uma avaliação de risco que identifica vulnerabilidades no ambiente testado
que pode permitir possivel comprometimento e faz recomendações para remediação, conforme necessário.

As avaliações de segurança normalmente incluem o uso de ferramentas de teste de segurança, mas vão além das varredura automatizadas e testes de penetração manual.

Eles também incluem uma revisão ponderada do ambiente e de suas ameaças, os riscos atuais e futuros e o valor do ambiente visado.
O principal produto de trabalho de uma avaliação de segurança é normalmente um relatório de avaliação para a gestão que contém os resultados da avaliação em linguagem não técnica e conclui com recomendações específicas para melhorar a segurança do ambiente testado.

Auditorias de Segurança

As auditorias de segurança usam muitas das mesmas técnicas seguidas durante as avaliações de segurança, mas devem ser realizada por auditores independentes.

Embora a equipe de segurança de uma organização possa executar testes e avaliações de segurança rotineiramente, esse não é o caso das auditorias. Avaliações e resultados dos testes são destinados apenas para uso interno e são projetados para avaliar controles com um olho em encontrar potenciais melhorias.

Auditorias, por outro lado, são avaliações realizadas com o objetivo de demonstrar a efetividade dos controles para uma terceira parte. A equipe que projeta, implementa e monitora controles para uma organização
têm um conflito inerente de interesse ao avaliar a eficácia desses controles.
Os auditores fornecem uma visão imparcial e imparcial do estado dos controles de segurança. Eles escrevem relatórios que são bastante semelhantes aos relatórios de avaliação de segurança, mas esses relatórios são destinados a públicos diferentes que podem incluir o conselho de diretores de uma organização, reguladores do governo, e outros terceiros interessados. Existem dois tipos principais de auditorias: auditorias internas e auditorias externas.

As auditorias internas são realizadas pela equipe de auditoria interna de uma organização e são tipicamente destinado a audiências internas. A equipe de auditoria interna que realiza essas auditorias normalmente
tem uma linha de relatórios que é completamente independente das funções que avaliam. Em muitas organizações, o Diretor Executivo de Auditoria reporta diretamente ao Presidente, Diretor Executivo
Oficial, ou papel similar. O Diretor Executivo de Auditoria também pode ter responsabilidade de relatar diretamente ao conselho diretor da organização.

Auditorias externas são realizadas por uma empresa de auditoria externa. Estas auditorias têm um alto grau de validade externa porque os auditores que realizam a avaliação teoricamente não têm conflito de interesse com a própria organização. Existem milhares de empresas que realizar auditorias externas, mas a maioria das pessoas coloca a maior credibilidade com as chamadas “Big Four”:

  • EY
  • Deloitte
  • PricewaterhouseCoopers
  • KPMG

Auditorias realizadas por essas empresas são geralmente consideradas aceitáveis ​​pela maioria dos investidores, e membros de diretorias.

Frequentemente, os profissionais de segurança da informação são convidados a participar de auditorias externas. Eles geralmente devem fornecer informações sobre controles para auditores através de entrevistas e documentação escrita. Auditores podem também solicitar a participação de membros do pessoal de segurança na execução do controle e de avaliações. Os auditores geralmente têm acesso à carta branca para todas as informações de uma organização e equipe de segurança deve atender a essas solicitações, consultando a gestão, conforme necessário.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Conteúdos relacionados

All articles loaded
No more articles to load

© 2019 GRRP Tech. Todos os direitos reservados.

Desenvolvido por Upsites