Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Entregar e Suportar Garantir a Segurança dos Sistemas DS5 DS5 Garantir a Segurança dos Sistemas Descrição do Processo Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança. Controle sobre o seguinte processo de TI: Garantir a segurança dos sistemas que satisfaça aos seguintes requisitos do negócio para a TI: manter a integridade da infraestrutura de informação e de processamento e minimizar o impacto de vulnerabilidades e incidentes de segurança com foco em: definir políticas, procedimentos e padrões de segurança de TI e monitorar, detectar, reportar e solucionar vulnerabilidades e incidentes de segurança é alcançado por: · Entendimento dos requisitos, vulnerabilidades e ameaças de segurança · Gerenciamento padronizado das identidades e autorizações de usuários · Testes periódicos de segurança e medido por: va r · Quantidade de incidentes que prejudicam a reputação pública da corporação · Quantidade de sistemas em que os requisitos de segurança não são atendidos · Quantidade de violações na segregação de funções © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 119
DS5 Entregar e Suportar Garantir a Segurança dos Sistemas DS5 Garantir a Segurança dos Sistemas Objetivos de Controle Detalhados DS5.1 Gestão da Segurança de TI Gerenciar a segurança de TI no mais alto nível organizacional da empresa de modo que a gestão das ações de segurança esteja em alinhamento com os requisitos de negócio. DS5.2 Plano de Segurança de TI Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e procedimentos de segurança devem ser comunicados aos usuários e partes interessadas. DS5.3 Gestão de Identidade Todos os usuários (internos, externos e temporários) e suas atividades nos sistemas de TI (aplicação de negócio, desenvolvimento, operação e manutenção de sistemas) devem ser identificáveis de modo exclusivo. Os direitos de acesso dos usuários aos sistemas e dados devem estar em conformidade com as necessidades dos negócios e com os requisitos da função definidos e documentados. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. As identidades e os direitos de acesso dos usuários devem ser mantidos em um repositório central. É necessário implementar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar a identificação dos usuários, implementar a devida autenticação e impor direitos de acesso. DS5.4 Gestão de Contas de Usuário Assegurar que a solicitação, a emissão, a suspensão, a modificação e o bloqueio de contas de usuário e dos respectivos privilégios sejam tratados por procedimentos de gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Esse procedimento deve ser aplicado a todos os usuários, inclusive aos administradores (usuários com privilégios), usuários internos e externos, para os casos normais ou emergenciais. Os direitos e obrigações relativos ao acesso a sistemas e informações corporativos devem ser definidos em contrato para todos os tipos de usuários. Devem ser feitas revisões frequentes de todas as contas e os respectivos privilégios. DS5.5 Teste de Segurança, Vigilância e Monitoramento Garantir que a implementação de segurança de TI seja testada e monitorada proativamente. A segurança de TI deve ser revalidada periodicamente para garantir que o nível de segurança aprovado seja mantido. A função de monitoramento e registro de eventos (logging) deve possibilitar a prevenção e/ou detecção prematura de atividades anormais e incomuns que precisem ser tratadas, bem como a subsequente geração de relatórios no tempo apropriado. DS5.6 Definição de Incidente de Segurança Definir e comunicar claramente as características de incidentes de segurança em potencial para que possam ser tratados adequadamente pelos processos de gestão de incidentes ou gestão de problemas. DS5.7 Proteção da Tecnologia de Segurança Garantir que as tecnologias de segurança importantes sejam invioláveis e que as documentações de segurança não sejam reveladas desnecessariamente. DS5.8 Gestão de Chave Criptográfica Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento das chaves criptográficas visando proteger contra sua modificação ou revelação pública não autorizada. DS5.9 Prevenção, Detecção e Correção de Software Malicioso Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, em especial correções de segurança (patches) e controles de vírus, para proteger os sistemas de informação e tecnologias contra malwares (vírus, worms, spyware, spam.). DS5.10 Segurança de Rede Garantir que técnicas de segurança e procedimentos de gestão relacionados (como firewalls, aplicativos de segurança, segmentação de rede e detecção de intrusão) sejam utilizados para autorizar o acesso e controlar os fluxos de informação entre redes. DS5.11 Comunicação de Dados Confidenciais Assegurar que as transações de comunicação de dados confidenciais ocorram somente por um caminho confiável ou controlado de modo a fornecer autenticação de conteúdo, comprovante de envio, comprovante de recebimento e não-rejeição de origem. 120 © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
- Page 76 and 77: Planejar e Organizar Gerenciar Proj
- Page 78 and 79: Planejar e Organizar Gerenciar Proj
- Page 80 and 81: Adquirir e Implementar AI 1 AI2 AI3
- Page 82 and 83: AI1 Adquirir e Implementar Identifi
- Page 84 and 85: AI1 Adquirir e Implementar Identifi
- Page 86 and 87: AI2 Adquirir e Implementar Adquirir
- Page 88 and 89: AI2 Adquirir e Implementar Adquirir
- Page 90 and 91: AI3 Adquirir e Implementar Adquirir
- Page 92 and 93: AI3 Adquirir e Implementar Adquirir
- Page 94 and 95: AI4 Adquirir e Implementar Habilita
- Page 96 and 97: AI4 Adquirir e Implementar Habilita
- Page 98 and 99: AI5 Adquirir e Implementar Adquirir
- Page 100 and 101: AI5 Adquirir e Implementar Adquirir
- Page 102 and 103: AI6 Adquirir e Implementar Gerencia
- Page 104 and 105: AI6 Adquirir e Implementar Gerencia
- Page 106 and 107: AI7 Adquirir e Implementar Instalar
- Page 108 and 109: AI7 Adquirir e Implementar Instalar
- Page 110 and 111: Entregar e Suportar Definir e Geren
- Page 112 and 113: Entregar e Suportar Definir e Geren
- Page 114 and 115: Entregar e Suportar Gerenciar Servi
- Page 116 and 117: Entregar e Suportar Gerenciar Servi
- Page 118 and 119: Entregar e Suportar Gerenciar o Des
- Page 120 and 121: Entregar e Suportar Gerenciar o Des
- Page 122 and 123: Entregar e Suportar Assegurar a Con
- Page 124 and 125: Entregar e Suportar Assegurar a Con
- Page 128 and 129: Entregar e Suportar Garantir a Segu
- Page 130 and 131: Entregar e Suportar Identificar e A
- Page 132 and 133: Entregar e Suportar Identificar e A
- Page 134 and 135: Entregar e Suportar Educar e Treina
- Page 136 and 137: Entregar e Suportar Educar e Treina
- Page 138 and 139: Entregar e Suportar Gerenciar a Cen
- Page 140 and 141: Entregar e Suportar Gerenciar a Cen
- Page 142 and 143: Entregar e Suportar Gerenciar a Con
- Page 144 and 145: Entregar e Suportar Gerenciar a Con
- Page 146 and 147: Entregar e Suportar Gerenciar Probl
- Page 148 and 149: Entregar e Suportar Gerenciar Probl
- Page 150 and 151: Entregar e Suportar Gerenciar os Da
- Page 152 and 153: Entregar e Suportar Gerenciar os Da
- Page 154 and 155: Entregar e Suportar Gerenciar o Amb
- Page 156 and 157: Entregar e Suportar Gerenciar o Amb
- Page 158 and 159: Entregar e Suportar Gerenciar as Op
- Page 160 and 161: Entregar e Suportar Gerenciar as Op
- Page 162 and 163: Monitorar e Avaliar ME1 ME2 ME3 ME4
- Page 164 and 165: ME1 Monitorar e Avaliar Monitorar e
- Page 166 and 167: ME1 Monitorar e Avaliar Monitorar e
- Page 168 and 169: ME2 Monitorar e Avaliar Monitorar e
- Page 170 and 171: ME2 Monitorar e Avaliar Monitorar e
- Page 172 and 173: ME3 Monitorar e Avaliar Assegurar a
- Page 174 and 175: ME3 Monitorar e Avaliar Assegurar a
DS5<br />
Entregar e Suportar<br />
Garantir a Segurança dos Sist<strong>em</strong>as<br />
DS5 Garantir a Segurança dos Sist<strong>em</strong>as<br />
Objetivos de Controle Detalhados<br />
DS5.1 Gestão da Segurança de TI<br />
Gerenciar a segurança de TI no mais alto nível organizacional da <strong>em</strong>presa de modo que a gestão das ações de segurança esteja <strong>em</strong><br />
alinhamento com os requisitos de negócio.<br />
DS5.2 Plano de Segurança de TI<br />
Traduzir os requisitos de negócio, de risco e conformidade, <strong>em</strong> um plano abrangente de segurança de TI, que leve <strong>em</strong> consideração<br />
a infraestrutura de TI e a cultura de segurança. O plano deve ser impl<strong>em</strong>entado <strong>em</strong> políticas e procedimentos de segurança, juntamente<br />
com investimentos adequados <strong>em</strong> serviços, pessoal, software e hardware. Políticas e procedimentos de segurança dev<strong>em</strong> ser<br />
comunicados aos usuários e partes interessadas.<br />
DS5.3 Gestão de Identidade<br />
Todos os usuários (internos, externos e t<strong>em</strong>porários) e suas atividades nos sist<strong>em</strong>as de TI (aplicação de negócio, desenvolvimento,<br />
operação e manutenção de sist<strong>em</strong>as) dev<strong>em</strong> ser identificáveis de modo exclusivo. Os direitos de acesso dos usuários aos sist<strong>em</strong>as<br />
e dados dev<strong>em</strong> estar <strong>em</strong> conformidade com as necessidades dos negócios e com os requisitos da função definidos e documentados.<br />
Os direitos de acesso dev<strong>em</strong> ser solicitados pela gestão de usuários, aprovados <strong>pelo</strong> proprietário do sist<strong>em</strong>a e impl<strong>em</strong>entados <strong>pelo</strong><br />
responsável pela segurança. As identidades e os direitos de acesso dos usuários dev<strong>em</strong> ser mantidos <strong>em</strong> um repositório central. É<br />
necessário impl<strong>em</strong>entar e manter atualizadas medidas técnicas e de procedimentos com boa relação custo-benefício para determinar<br />
a identificação dos usuários, impl<strong>em</strong>entar a devida autenticação e impor direitos de acesso.<br />
DS5.4 Gestão de Contas de Usuário<br />
Assegurar que a solicitação, a <strong>em</strong>issão, a suspensão, a modificação e o bloqueio de contas de usuário e dos respectivos privilégios<br />
sejam tratados por procedimentos de gestão de contas de usuário. Incluir um procedimento de aprovação de concessão de direitos<br />
de acesso <strong>pelo</strong>s proprietários dos dados ou sist<strong>em</strong>as. Esse procedimento deve ser aplicado a todos os usuários, inclusive aos administradores<br />
(usuários com privilégios), usuários internos e externos, para os casos normais ou <strong>em</strong>ergenciais. Os direitos e obrigações<br />
relativos ao acesso a sist<strong>em</strong>as e informações corporativos dev<strong>em</strong> ser definidos <strong>em</strong> contrato para todos os tipos de usuários.<br />
Dev<strong>em</strong> ser feitas revisões frequentes de todas as contas e os respectivos privilégios.<br />
DS5.5 Teste de Segurança, Vigilância e Monitoramento<br />
Garantir que a impl<strong>em</strong>entação de segurança de TI seja testada e monitorada proativamente. A segurança de TI deve ser revalidada<br />
periodicamente para garantir que o nível de segurança aprovado seja mantido. A função de monitoramento e registro de eventos<br />
(logging) deve possibilitar a prevenção e/ou detecção pr<strong>em</strong>atura de atividades anormais e incomuns que precis<strong>em</strong> ser tratadas, b<strong>em</strong><br />
como a subsequente geração de relatórios no t<strong>em</strong>po apropriado.<br />
DS5.6 Definição de Incidente de Segurança<br />
Definir e comunicar claramente as características de incidentes de segurança <strong>em</strong> potencial para que possam ser tratados adequadamente<br />
<strong>pelo</strong>s processos de gestão de incidentes ou gestão de probl<strong>em</strong>as.<br />
DS5.7 Proteção da Tecnologia de Segurança<br />
Garantir que as tecnologias de segurança importantes sejam invioláveis e que as documentações de segurança não sejam reveladas<br />
desnecessariamente.<br />
DS5.8 Gestão de Chave Criptográfica<br />
Assegurar que sejam estabelecidos políticas e procedimentos de geração, mudança, revogação, destruição, distribuição, certificação,<br />
armazenamento, inserção, uso e arquivamento das chaves criptográficas visando proteger contra sua modificação ou revelação<br />
pública não autorizada.<br />
DS5.9 Prevenção, Detecção e Correção de Software Malicioso<br />
Assegurar que medidas preventivas, de detecção e corretivas sejam estabelecidas corporativamente, <strong>em</strong> especial correções de<br />
segurança (patches) e controles de vírus, para proteger os sist<strong>em</strong>as de informação e tecnologias contra malwares (vírus, worms,<br />
spyware, spam.).<br />
DS5.10 Segurança de Rede<br />
Garantir que técnicas de segurança e procedimentos de gestão relacionados (como firewalls, aplicativos de segurança, segmentação<br />
de rede e detecção de intrusão) sejam utilizados para autorizar o acesso e controlar os fluxos de informação entre redes.<br />
DS5.11 Comunicação de Dados Confidenciais<br />
Assegurar que as transações de comunicação de dados confidenciais ocorram somente por um caminho confiável ou controlado de<br />
modo a fornecer autenticação de conteúdo, comprovante de envio, comprovante de recebimento e não-rejeição de orig<strong>em</strong>.<br />
120<br />
© 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org