U NIVERSIDADE DE COIMBRA FACU LDADE DE CINCIA S E TECNOLOGIA DE PA RTA ME NTO DE E NGE NHA R IA INFOR M TIC A

AU D I TO R I A E M S I ST E M AS D E I N FO R M A O
GESTO DE SISTEMAS D E INFORMAO

PEDRO SANTOS CARLOS FAIM P E D R O S I L VA RUI MONTEIRO

AU D I T O R I A E M S I S T E M A S D E INFORMAO

ii

NDICE

NDICE ............................................................................................................................................... III NDICE DE FIGURAS ...........................................................................................................................IV NDICE DE TABELAS ............................................................................................................................V 1. 2. INTRODUO ........................................................................................................................ - 1 CONTEXTUALIZAO ............................................................................................................. - 3 2.1. 2.2. 3. DEFINIES ....................................................................................................................... - 3 EVOLUO HISTRICA ......................................................................................................... - 3 -

CONCEITOS CONTEMPORNEOS ........................................................................................... - 5 3.1. 3.2. 3.3. 3.4. CONTROLO ....................................................................................................................... - 5 ENCRIPTAO E CRIPTOGRAFIA .............................................................................................. - 5 FORENSE COMPUTACIONAL ................................................................................................... - 6 ASPECTOS HUMANOS .......................................................................................................... - 6 -

4.

A FUNO AUDITORIA .......................................................................................................... - 8 4.1. 4.2. O QUE PROCURAR NUMA AUDITORIA ...................................................................................... - 8 A ORGANIZAO A GESTO DE SI E A AUDITORIA DE SI ................................................................ - 9 -

5.

REFERENCIAIS METODOLOGICOS......................................................................................... - 13 5.1. 5.2. 5.3. PORQUE ......................................................................................................................... - 13 FRAMEWORKS (COBIT, ITIL E ISO) ....................................................................................... - 13 GESTO DE RISCO ............................................................................................................. - 14 -

6.

TCNICAS DE AUDITORIA ..................................................................................................... - 17 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9. CONTROLOS AO NVEL DA ENTIDADE ..................................................................................... - 17 CENTROS DE DADOS E RECUPERAO DE DESASTRES ................................................................. - 19 SWITCHS, ROUTERS, E FIREWALLS ......................................................................................... - 23 SISTEMAS OPERATIVOS ...................................................................................................... - 24 SERVIDORES WEB ............................................................................................................ - 25 BASES DE DADOS .............................................................................................................. - 26 APLICAES .................................................................................................................... - 27 WLAN E DISPOSITIVOS MVEIS........................................................................................... - 28 PROJECTOS ..................................................................................................................... - 31 -

7. 8.

CONCLUSES ....................................................................................................................... - 34 BIBLIOGRAFIA ...................................................................................................................... - 35 -

iii

 N D I C E DE FI GU RA S

Figura 1 - O mbito da auditoria de SI: Nveis e Dimenses dos Controlos de SI .................... - 10 Figura 2- Ciclo de vida de Gesto de Risco (Davis, Schillerand, & Wheeler, 2007)................... - 15 Figura 3- Exemplo de uma WLAN .................................................................................................... - 29 -

iv

 N D I C E DE TAB E L A S

Tabela 1- O mbito da Auditoria de SI: Tipos de Controlos de SI ............................................. - 12 Tabela 2 - Actividades de Auditoria de SI previstas nos Referenciais (Silva, 2007) ................... - 14 Tabela 3 - Tecnologias 802.11 ............................................................................................................. - 29 Tabela 4 - Mtodos de Autenticao .................................................................................................. - 30 -

1.

I N T RO DU O

Existe cada vez mais nos tempos que correm, a necessidade de conhecer o passado, saber o que acontece no presente e prevenir/prever o que poder acontecer no futuro. Para isso, necessrio um correcto controlo dos acontecimentos, um conhecimento e gesto correctos com total supervisionamento por parte de uma autoridade competente e dedicada ao mesmo. Dentro da Gesto de Sistemas de Informao (GSI), existe uma rea de explorao e trabalho que envolve todas as outras, e seu propsito gerar conformidades, pareceres e relatrios sobre o funcionamento do Sistema de Informao (SI). daqui que devero sair as propostas ou os alertas para melhorias, assim como para prevenes a levar a cabo para a preservao do Sistema implementado. A evoluo, complexidade e predominncia dos Sistemas de Informao (SI) nas organizaes actuais fazem com que a Informao e os Sistemas que a suportam devam ser cada vez mais controlados. (Silva, 2007) Assim a Auditoria a SI, e mais concretamente a funo de Auditoria que ir ser estudada, trabalhada ao longo deste documento realmente cada vez mais uma necessidade ao correcto funcionamento dos departamentos de Sistemas e Tecnologias de Informao existentes nas empresas e instituies. A Auditoria, deixa aqui de ser algo a temer, algo externo e com carcter de perseguio e caa, mas passa a ser vista como parceira de trabalho, essencial e influencivel no trabalho dirio e melhoria deste. Os CIO, passam a ter a necessidade de criar, e gerir dentro dos departamentos de Sistemas de Informao (SI), equipas de Auditoria SI para controlo interno das funes a estes adjacentes. Uma definio para Auditoria a (SI), -nos dada por Ron Weler e citada por Oliveira no seu livro Mtodo de Auditoria a SI, processo de recolha e avaliao de evidncia para determinar se um sistema computorizado salvaguarda os bens, mantm a integridade dos dados, permite atingir os objectivos da organizao de forma eficaz e utiliza os recursos de forma eficiente (Oliveira, 2006). Os objectivos, tambm segundo Oliveira, J. A. sero: Verificar a existncia de medidas de controlo interno aplicveis, com carcter generalizado, a qualquer SI da instituio, ente, organismo ou qualquer outro objecto de auditoria; Avaliar a adequao do SI s directrizes bsicas de uma boa gesto informtica; Oferecer uma descrio do SI com base nas suas especificaes funcionais e nos resultados que proporciona; Verificar se o SI cumpre os normativos legais aplicveis; Verificar se a informao proporcionada pelo SI fivel, ntegra e precisa; Determinar se o SI atinge os objectivos para os quais foi desenhado, de forma eficaz e eficiente; Propor as recomendaes oportunas para que o SI se adapte s directrizes consideradas como essenciais para o seu bom funcionamento.

(Oliveira, 2006) Hoje em dia, e derivado enorme evoluo das TIC, e complexidade dos sistemas, torna-se quase impossvel pensar na existncia de Departamentos de Informtica sem a implementao de uma FrameWork testada e de comprovada eficcia, existem para isso algumas, sendo as mais usadas o ITIL IT Infrastructure Library o COBIT Control Objectives for Information and related Technology e o ISO 17799 Information Technology - Code of Practice for Information Security Management , contando

-1-

que se pode efectuar um alinhamento entre as trs de forma a obter, digamos uma nova Framework, que seja completa pois de certa forma as trs complementam-se entre si. que o CobiT o referencial mais abrangente para a Auditoria de SI, tomou-se o CobiT como ponto de partida para a identificao das actividades de Auditoria de SI. Recorreu-se igualmente aos referenciais ITIL e ISO 17799 para a identificao dessas actividades uma vez que estes referenciais so mais especficos em alguns aspectos. (Silva, 2007)

-2-

2.

C O N T E X TUA L I ZA O

2.1. DEFINIES

The challenge of Information System Auditing, as it is known nowadays, is a consequence of a most important current trend, namely the change from a industrial to a information society. (Piattini, 1999) Hoje em dia cada vez mais necessrio associar sempre GSI, a Auditoria a SI. Faz j parte das funes principais de uma boa gesto, o controlo da mesma, a averiguao de resultados e a garantia de qualidade. Define-se Auditoria a Sistemas de Informao como sendo a forma que os CIO tm de garantir a qualidade, garantir o servio e prever as melhoras do sistema em tempo til. Auditoria controlo, o QOS na gesto de SI. Internal Auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. (IIA, 2004)
2.2. EVOLUO HISTRICA

Para falarmos da evoluo da Auditoria a SI, temos obrigatoriamente de falar do surgimento da prpria funo de auditoria. O termo, Auditoria, remonta aos tempos medievais, esta surge em formato pblico de audio das contas das fazendas privadas e feudos, esta audio exactamente como a palavra diz audire ouvir, o povo ouvia a leitura das contas. O desenvolvimento empresarial realizado pela Revoluo Industrial vai fazer com que a actividade de auditoria seja potenciada. At finais do sculo XIX, os objectivos principais da auditoria eram a deteco de fraudes e os processos contabilsticos da empresas e instituies, a partir dai, incios do sculo XX vemos uma readaptao dos objectivos da Auditoria no aspecto em que comea a preocupar-se com os relatos financeiros das organizaes e a sua fiabilidade em relao posio financeira e operacional destas. A partir de 1940 e 1950, firmado o conceito de Auditoria Interna, passando o controlo interno a ter um papel chave nas grandes Organizaes, iniciando a evoluo paralela com os objectivos destas Organizaes. A partir de 1980, v-se o mbito da Auditoria alargar-se progressivamente, passando a incluir anlises s operaes, recursos e controlos administrativos. em 1990 que a Auditoria assume o aspecto que tem actualmente, mais abrangente e sistemtica e a sua actividade baseia-se na identificao e gesto dos riscos das Organizaes. O desenvolvimento da Auditoria de SI est em primeiro lugar relacionado com a necessidade de, em determinado momento, se passarem a efectuar Auditorias prpria Informao. (Silva, 2007) O surgimento da Auditoria a SI, ter acompanhado o desenvolvimento na prpria rea das cincias da informao, das cincias econmicas e Tecnologias de Informao e Comunicao (TIC), e que se ter tido incio entre 1970 e 1980. Entre 1980 e 1990 a prtica de Auditorias a SI ter sido consolidada devido proliferao dos estudos de mercado, dos consumidores e das suas necessidades no mbito das cincias socioeconmicas. Consegue-se inclusive afirmar que partir daqui que surge o conceito de GSI, alavancado pelo elevado valor que as Organizaes atribuam aos SI associados s reas financeiras contabilsticas.

-3-

A crescente necessidade em valorizar os recursos de informao, faz com que a Auditoria a SI passa-se alm da identificao das fontes, dos servios e sistemas, tambm o como da sua utilizao, a relao com as actividades criticas da Organizao e o alinhamento com os seus objectivos estratgicos. No fundo, podemos dizer que a Auditoria da Informao deixou de estar centrada em si prpria, (ou seja, estritamente na Informao), passando a estabelecer elos de ligao com as necessidades da organizao e com os Sistemas de Informao que as suportam. (Silva, 2007) Information technology affected, and continues to affect, auditing. It became necessary to add new standards, affecting the body of auditing standards. The audit process itself has become different from traditional audits prior to 1954 (e.g., audit tools and techniques). It was possible for an auditor to retire in the 1950s having used similar audit programs throughout ones career. That will never happen again! The effects of IT on auditing have culminated in a set of knowledge, skills, and standards necessary to conduct the contemporary audit that were nonexistent in 1954. (Cangemi & Tommie, 2003) Com o aumento das TIC e crescente computorizao das grandes Organizaes, passa a existir uma maior dependncia das capacidades tcnicas de terceiros, razo pela qual o acesso informao estava a ficar longe dos Auditores. aqui, neste mesmo perodo 1955 a 1965 que os Auditores comeam a admitir e a escrever artigos sobre as potencialidades das tecnologias da informao como meios a utilizar nas auditorias financeiras, levando assim em 1967 ao desenvolvimento do primeiro software para Auditoria (GAS Generalized Audit Software) com a ferramenta AUDITAPE. No que diz respeito a marcos institucionais ou metodolgicos relevantes para a actividade da Auditoria de SI, (Asthon, 2001) identifica a primeira norma (standard) geralmente aceite, publicada nos EUA em 1983 pelo Department of Defense, vulgarmente conhecida como The Orange Book e intitulada de DOD STD - Trusted Computer System Evaluation Criteria (TCSEC). Dado que a Segurana dos SI foi o primeiro dos domnios da Auditoria a SI a ser explorado, esta norma tratava de medidas de salvaguarda dos computadores com vista proteco de informao classificada, existente em ambientes com acesso remoto e sistemas com partilha de recursos. Outros marcos importantes so tambm referidos por (Cangemi & Tommie, 2003): a fundao em 1969 nos EUA da EDPAA - Electronic Data Processing Auditors Association; a publicao em 1977, por esta Associao, da primeira edio dos Control Objectives (compilation of guidelines, procedures, best practices and standards for EDP Audits); vrias revises deste documento, entre as quais a de 1996 em que foi renomeado para CobiT - Control Objectives for Information and related Technology; e a introduo em 1978 de um programa de certificaes para Auditores de SI, iniciado com a certificao CISA - Certified Information Systems Auditor. (Silva, 2007)

-4-

3.

C O N CE I TO S C O N TE M POR N EO S

3.1. CONTROLO

Control Self-Assessment (CSA) is a leading edge process in which auditors facilitate a group of staff members who have expertise in a specific process, with the objective of identifying opportunities for internal control enhancement pertaining to critical operating areas designated by management. (Champlain, 2003) One of the first lessons we learned at Gulf Canada in the 1980s speaks to this point. We decided that the mission of an audit department was not to perform audits. Our job was to provide assurance to management, staff, the board, and others on a wide variety of end-result business objectives, including - but in no way limited to - compliance with policies, reliable financial information, and economy and efficiency. (McCuaig, 1998) O valor em realizar uma auditoria no est na elaborao de um relatrio onde se afirma que existe controlo sobre determinada situao ou no. As Auditorias s vo agregar valor apenas quando fornecem a garantia de que os objectivos finais da Organizao sero atingidos. A existncia de controlos no dever afectar negativamente o nvel de segurana com que um determinado objectivo ser atingido, mas a existncia destes, tambm no garante que o mesmo seja atingido. Os controlos servem para ter a garantia de que os processos so implementados correctamente, vigiando os passos e assegurando o seu correcto funcionamento. As auditorias tradicionais e o CSA diferem na medida em que na auditoria tradicional o auditor em cada recomendao que faz, apresenta um risco de aceitao e deciso, enquanto na CSA um grupo de trabalho e gesto que efectua esse risco de aceitao e deciso. O trabalho do auditor determinar se chegou concluso correcta e slida baseado em informaes completas sobre os actuais nveis de controlo e risco baseados nos critrios pr-determinados.
3.2. ENCRIPTAO E CRIPTOGRAFIA

Encriptao um mtodo de proteco de dados que dever ser implementado. Se bem implementado, um sistema de encriptao conseguir anular a maioria das tentativas de ataques ao SI. A encriptao pode conferir segurana a dados quer estes estejam depositados num normal sistema de armazenamento, ou mesmo que estes estejam a circular numa qualquer via de comunicao. Proper cryptographic controls can help ensure the confidentiality, integrity, authenticity, and nonrepudiation of electronic messages transmitted or transported between or among various computing systems. Policies, procedures, physical security over devices, logical security controls, and cryptography all play critical roles in the overall information systems (IS) security environment. Without effective cryptographic controls, the other IS controls are simply supporting a weak infrastructure. (Champlain, 2003) Because of the importance of cryptography in helping to secure electronic information in virtually all computer systems, a basic understanding of this concept is essential for IS auditors to effectively perform their jobs. (Champlain, 2003) A implementao de controlos criptogrficos importante na medida em que se consegue garantir um elevado nvel de confidencialidade, integridade, e autenticidade nos dados transmitidos, ao mesmo tempo que se providencia um sistema de no repdio dos mesmos. A utilizao conjunta de vrios mtodos de encriptao, hashing e assinaturas digitais tornou-se o meio mais comum e aceitvel de transmisso de informao por meios electrnicos.

-5-

A criptografia ajuda a garantir a confidencialidade da informao que transmitida. A confidencialidade alcanada somente quando os destinatrios das informaes transmitidas possam l-la. A criptografia utilizada tambm para proteger os dados armazenados nos diversos dispositivos de armazenamento existentes. O hashing ajuda a garantir a integridade da mensagem. A integridade alcanada quando a informao transmitida no foi alterada, ou seja no foi adicionada nem retirada informao informao inicialmente transmitida. As assinaturas digitais ajudam a garantir a autenticidade de transmisses electrnicas e ajudam a garantir o no repdio por parte dos emissores. A autenticidade alcanada quando o destinatrio da mensagem pode estar razoavelmente certo que a mensagem foi enviada pela entidade, que diz ser a emissora e no por alguma outra entidade desconhecida. O no repdio alcanado quando o remetente de uma mensagem no pode refutar o facto de a ter enviado.
3.3. FORENSE COMPUTACIONAL

A forense computacional a identificao, preservao, colecta, interpretao e documentao de evidncias digitais. Forense Computacional pode ser definida como a inspeo cientfica e sistemtica em ambientes computacionais, com a finalidade de angariar evidncias derivadas de fontes digitais para que seja possvel promover a reconstituio dos eventos encontrados (podendo assim, determinar se o ambiente em anlise foi utilizado na realizao de atividades ilegais ou no autorizadas) (Pereira, Fagundes, Neukamp, Ludwig, & Konrath, 2007) Passa sempre por fazer parte de uma auditoria a ideia de inspeco forense aos computadores. Esta ideia no est de todo errada, mas no se pode dizer que esteja correcta, pois possvel efectivar uma auditoria ao SI sem necessariamente executar uma inspeco forense na verdadeira ascenso do termo. Ou seja, efectuado um controlo de inventrio, de software, provavelmente de logs, mas s ir ser efectuado uma verdadeira inspeco forense a determinado computador, quando houver indcios da existncia de fraude. Claro que tambm esta inspeco est sujeita a legislao e procedimentos prprios, que importa referir no estar directamente ligados s auditorias internas. No obstante, pode-se tambm considerar ou falar em forense computacional, a anlise que os auditores podero efectuar a determinado computador para avaliar o seu grau de segurana. Esta anlise forense s ir incidir sobre os aspectos tcnicos em que a mquina trabalha, e no sobre aspectos de documentos nela contidos.
3.4. ASPECTOS HUMANOS

An effective internal audit function serves multiple roles within an organization. The primary function of internal audit is to assist management of an organization in achieving strategic business objectives within a framework of sound internal control practices. All internal auditors, including information systems (IS) auditors, play key roles in this ongoing process. Depending on the process or system being evaluated, internal auditors must be able to perform the role of a consultant, mediator, negotiator, investigator, facilitator, and educator. The ability of internal auditors to effectively fill these roles benefits management and therefore provides a valuable resource to many organizations. On an individual basis, auditors who are flexible enough to effectively perform multiple roles should be highly valued by their companies (Champlan, 2003) Consegue-se aferir daquilo que Champlain diz na sentena anterior que as Instituies/Empresas devero ou devem dar bastante valor aos auditores que possuem pois estes devem poder conseguir ser consultores, mediadores, negociadores, investigadores facilitadores e formadores na medida em que um auditor no deve s apontar o que existe, bem ou mau, dever tambm dizer o porque e o como.

-6-

Um auditor de SI, dever ser algum com competncias de gesto e com competncias tcnicas, ou ento a equipa de auditoria dever ter no seu quadro, pessoas com capacidades de gesto assim como pessoas com capacidade tcnicas na rea das tecnologias da informao, forma esta que ser a mais correcta de encarar a situao, pois ser inconcebvel a efectuao real de uma auditoria completa a um SI por parte de apenas um auditor. Managers no longer just manage. They must be "hands on" working managers and have the knowledge to participate in their audits. Seniors must be able to handle their own audits on a stand alone basis when required. (Poore, 2000) A afirmao anterior, retirada de um artigo de recolha de opinies sobre o que procurar numa pessoa quando se pretende recrutar um auditor, este mostra bem que um auditor dever hoje em dia ser auto-proeficiente, dever ser um bom comunicador e saber trabalhar em equipa, algum que no s gere mas tambm pe a mo na massa, no s trabalha mas tambm sabe por a trabalhar. Outra parte importante que um auditor dever possuir como capacidade, ou conhecimentos, o conhecimento das operaes da Instituio/Empresa que audita. Hoje em dia estar dentro das diversas reas e conhecer como funcionam vai ajudar a uma melhor auditoria ao SI. A rea onde os SI se implementam to vasta, que necessrio o conhecimento tambm este vasto de competncias alm das TI, preciso conhecer onde estas se aplicam.

-7-

4.

A FU N O AU D I TOR I A

4.1. O QUE PROCURAR NUMA AUDITORIA

A funo de auditoria, serve ento para ajudar na gesto do SI, e dever-se- procurar assim tudo o que a esta diga respeito. Assim, para saber o que se deve procurar numa auditoria ao SI, devem-se identificar quais as principais competncias na Gesto de Informao dentro de uma organizao. Pode-se ento iniciar a tarefa identificando as trs grandes reas ou meios. Assim teremos em qualquer SI meios humanos, meios fsicos e meios aplicacionais. Dentro dos meios humanos, e aqui meios humanos so os utilizadores do sistema, a auditoria ir procurar os riscos que estes representam para a organizao, assim como quais os controlos implementados para os gerir. Ter-se- por exemplo aqui a implementao de normas de conduta na utilizao dos meios, normas estas que devem estar devidamente divulgadas pelos utilizadores que devero ser conhecedores de como utilizar correctamente o sistema, de como no o devem fazer, e quais as implicaes do uso incorrecto ou indevido do mesmo. Para garantir a segurana da informao de qualquer empresa necessrio que haja Normas e Procedimentos claros, que devero ser seguidos por todos os usurios da empresa. A maior dificuldade das grandes empresas garantir que todos os usurios conheam e sigam as normas e procedimentos da mesma e entendam a sua importncia. (Araujo, 2005) Em relao aos meios fsicos, dever tambm aqui a auditoria estar atenta a uma panplia de condies. Por exemplo, dever ser observado as condies fsicas em que se encontram os sistemas crticos (servidores, routers, switch), ambiente envolvente, segurana no acesso fsico aos mesmos. Tambm em relao aos meios fsicos ser importante observar a condio de conservao, actualizaes, manuteno enfim o estado de conservao dos equipamentos. Tambm dever ser sujeito a auditoria a rede existente e o seu estado fsico, cablagens e restantes equipamentos activos. Nos meios aplicacionais, a auditoria dever expandir-se na identificao das aplicaes existentes e a sua utilizao, legalidade dos meios usados e necessidades por parte dos utilizadores. Tambm em relao a meios aplicacionais, uma parte importante a dos Sistemas Operativos, quais e como so usados, sistemas de proteco de anti-vrus, firewall, motores de bases de dados, controladores de domnios A auditoria dever procurar encontrar problemas e dar solues para os mesmos, ou ento simplesmente comprovar que o sistema se encontra em perfeito estado e aps auditado dever manter o rumo. Uma Auditoria a um SI, no serve para fazer policiamento, dever servir para saber se o sistema de policiamento est implementado e a funcionar. Dever comprovar que os objectivos para os quais o sistema foi criado esto a ser conseguidos e da melhor forma, assim como identificar os objectivos da organizao com os objectivos do SI, e comprovar se estes esto em concordncia. O verdadeiro contributo da funo surge quando os problemas so resolvidos, sendo o relatrio de Auditoria apenas um meio para atingir um fim que a melhoria do estado dos controlos dos SI da organizao. Na sua relao directa e privilegiada com aqueles rgos de governo da organizao, a Auditoria tem a oportunidade de apresentar relatrios que do o devido nfase aos problemas graves, conquistando assim a ateno dos responsveis e facilitando a obteno dos recursos necessrios para a sua resoluo. (Silva, 2007)

-8-

Assim deve-se procurar com a auditoria ao SI, poder influenciar de forma positiva a gesto de uma organizao para a melhoria do seu sistema de informao e dos controlos a este afectos. In summary, the internal audit department's mission is twofold:

To provide independent assurance to the audit committee (and senior management) that internal controls are in place at the company and are functioning effectively. To improve the state of internal controls at the company by promoting internal controls and by helping the company to identify control weaknesses and develop cost-effective solutions for addressing those weaknesses. (Davis, Schillerand, & Wheeler, 2007)

4.2. A ORGANIZAO A GESTO DE SI E A AUDITORIA DE SI

Independence is one of the cornerstone principles of an audit department. It is also one of the biggest excuses used by audit departments to avoid adding value. (Davis, Schillerand, & Wheeler, 2007) Existe ou poder ser pensado por muitos a discusso da independncia ou imparcialidade da parte da Auditoria a SI quando esta funo feita internamente na Organizao. Mas, aqui que as ideias expostas no ponto anterior O que Procurar numa Auditoria vo fazer a diferena na interpretao e implementao da funo de auditoria interna ao SI como parte da gesto do Sistema de Informao numa Organizao. A misso de auditoria ao SI deveras providenciar Gesto de Topo da Organizao e aos comits de auditoria uma garantia independente de que os controlos de SI esto implementados e que funcionam eficazmente, mas tambm contribuir para a melhoria do estado dos controlos de SI atravs da promoo destes ao ajudar a organizao a identificar vulnerabilidades nos controlos e sobre tudo no desenvolvimento de solues eficientes para gerir essas vulnerabilidades. Assim, deixa-se de encarar a auditoria como algo mau, e que procura erros e culpados destes para poder incriminar, e passa a fazer sentido e a ter interesse implementar a funo de auditoria dentro da prpria organizao, no para policiamento mas para controlo e melhoria do sistema. Esta poder estar implementada num departamento de auditoria, ou no caso especfico da auditoria a SI, poder estar implementada dentro do departamento de Sistemas de Informao. A Organizao dever poder beneficiar atravs da identificao e avaliao por parte da funo de auditoria ao SI, de exposies ao risco que sejam significativas, bem como na melhoria de mecanismos de controlo. Pedro Silva na sua tese de mestrado em Tecnologias e Sistemas de Informao (Silva, 2007) fala em nveis, dimenses e tipos de controlo sujeitos auditoria de SI. Vendo esses controlos dentro da perspectiva do autor ser mais fcil identificar o mbito da auditoria de SI.

-9-

Figura 1 - O mbito da auditoria de SI: Nveis e Dimenses dos Controlos de SI De seguida ir-se- mostrar a tabela que Pedro Silva criou para os tipos de controlos de SI baseada no conceito da imagem anterior que o mesmo adaptou de uma verso original. (IIA, 2005)
Controlos de Governo Ao nvel do Governo das Sociedades, os controlos de SI pretendem garantir que uma eficaz Gesto da Informao e dos SI enquadrada e suportada por adequadas Polticas, devendo estas estar relacionadas com os objectivos e as estratgias da organizao. No cabe gesto de topo da organizao efectuar a Gesto da Informao e dos SI, nem executar Auditorias aos seus controlos, mas sim supervisionar e criar condies para que sejam executadas. - Polticas Dado que os SI so vitais para a operacionalidade de muitas organizaes, devero existir Polticas escritas relativas a todo o mbito dos SI, devidamente aprovadas pela gesto de topo e divulgadas por toda a organizao. Exemplos de Polticas: nveis globais de segurana e privacidade; classificao da Informao; distino da responsabilidade sobre os dados e os sistemas (ownership); requisitos gerais para o plano de contingncia/ recuperao dos SI, etc. A Gesto deve garantir que os controlos de SI necessrios para atingir os objectivos da organizao onde esto implementados. A Gesto deve reconhecer os riscos da organizao, os seus processos e os activos e deve implementar diversos tipos de mecanismos para mitigar esses riscos: - Normas As normas (standards) servem para suportar os requisitos das Polticas e definem formas de operar na organizao, compatveis com os objectivos desta. Permitem organizao manter a totalidade do ambiente operacional dos SI de forma mais eficiente. Exemplos de Normas: desenvolvimento de sistemas; configurao de software; controlo de aplicaes; estruturas de dados; documentao de SI; etc. - Organizao e Gesto Como em qualquer outra funo da organizao, o modo como se estrutura e gere a funo SI determinante para a definio de linhas de reporte e de responsabilizao e para uma eficaz implantao dos controlos de SI.

Controlos de Gesto

- 10 -

Controlos Tcnicos

Controlos Gerais

Controlos Aplicacionais

Controlos Preventivos

Controlos Detectivos

Exemplos de controlos de Organizao e Gesto: segregao de funes; controlo financeiro; gesto da mudana (change management); gesto de formao; etc. - Controlos Fsicos e da Envolvente Todos os equipamentos de SI e as respectivas infra-estruturas fsicas em que se encontram devero estar devidamente protegidos. Exemplos de controlos Fsicos e da Envolvente: servidores localizados em centros de dados (DataCenters); procedimentos de recuperao (disaster recovery); etc. Os controlos Tcnicos so os pilares dos restantes controlos dos SI da organizao. So mecanismos que permitem automatizar controlos e implementar na prtica algumas das Polticas para a Informao e para os SI definidas pela gesto da organizao, atravs de: - Controlos de Software So os controlos relativos utilizao das redes, dos sistemas e, em ltima instncia, do prprio software pelos utilizadores (users). Exemplos de controlos de Software: gesto de acessos; intruso; encriptao; alteraes; etc. - Controlos de Desenvolvimento de Sistemas Dizem respeito ao desenvolvimento e aquisio de sistemas tendo por base um mtodo comum com controlos eficazes em cada uma das fases desse processo. Exemplos de controlos de Desenvolvimento de Sistemas: documentao de requisitos de utilizadores; formalizao de desenho de arquitectura; processos de manuteno e gesto de alteraes; tcnicas de gesto de projectos; etc. - Controlos baseados em Aplicaes So controlos internos s prprias aplicaes que garantem a integridade dos processos de negcio que esto automatizados e que se baseiam nessas aplicaes. Exemplos de controlos baseados em Aplicaes: controlos de entrada; controlos de processamento; controlos de sada; histrico de transaces; etc. Os Controlos Gerais, tambm designados de Controlos Infraestruturais, referem-se ao como gerida a generalidade dos sistemas, dos processos e dos dados que numa organizao fazem parte do domnio dos SI. Exemplos de controlos Gerais: segurana da Informao; gesto de acessos; aquisio e desenvolvimento de sistemas; procedimentos de backup; etc. Os Controlos Aplicacionais referem-se ao domnio de uma aplicao ou processo de SI especfico. Exemplos de Controlos Aplicacionais: edio de dados; balanceamento de totais; relatrios de erros; etc. Os Controlos Preventivos so aplicados para prevenir a ocorrncia de erros, omisses ou incidentes de segurana. Exemplos de controlos Preventivos: validadores de insero de dados; antivrus; firewalls; etc. Os Controlos Detectivos so aplicados para detectar erros ou incidentes que trespassaram eventuais controlos Preventivos. Exemplos de controlos Detectivos: identificao de utilizadores (users) que excederam determinados limites autorizados; identificao de padres de dados

- 11 -

Controlos Correctivos

incorrectamente manipulados; etc. Os Controlos Correctivos so aplicados para corrigir erros, omisses ou incidentes quando estes so detectados. Exemplos de controlos Correctivos: correco de dados incorrectamente inseridos; remoo de software ilegal; recuperao de sistemas ou dados; etc.

Tabela 1- O mbito da Auditoria de SI: Tipos de Controlos de SI Esta uma forma de abordar a classificao dos controlos de SI, existiro outras com certeza, mas consegue-se vislumbrar aqui a importncia da auditoria a SI e como ela se integra na gesto dos mesmos e mesmo na gesto de topo da organizao. De acordo com a teoria de auditoria, uma organizao no s precisa de um sistema de informao, mas tambm de um sistema de controlo interno para assegurar a credibilidade da informao registada e para controlo de potenciais erros. Face ao exposto podemos concluir que uma organizao, em simultneo com os objectivos estratgicos e operacionais, precisa de cumprir objectivos de controlo suportados por processos de controlo. (Santos, Vasconcelos, & Tribolet, 2004)

- 12 -

5.

R E FER E NC I A I S ME TO D O L OG I CO S

Como foi possvel observar na seco anterior existem vrios nveis de associao dos controlos de SI. Sabemos que no topo devem ser definidas as polticas de gesto da Organizao a partir das quais se iro organizar os controlos/normas a nvel da gesto e das questes tcnicas. Esta parte de definio de controlos/normas para os sistemas de informao hoje em dia facilitado pela existncia internacional de standards conhecidos por frameworks.
5.1. PORQUE

As organizaes tm neste momento duas hipteses de escolha, ou continuam a efectuar a implementao dos SI de uma forma ad-hoc, ou optam por utilizar um standard internacional. Estes standards tendem a ser melhores e com melhores resultados pois foram/so desenvolvidos recorrendo experiencia acumulada ao longo dos anos por um grande conjunto de organizaes e de profissionais que apoiam as melhorias tcnicas e acreditam no sucesso estando na vanguarda dos sistemas de informao.
5.2. FRAMEWORKS (COBIT, ITIL E ISO)

CobiT, do ingls, Control Objectives for Information and related Technology, um guia, formulado como framework, dirigido para a gesto de tecnologia de informao (TI). Recomendado pelo ISACA (Information Systems Audit and Control Association), possui uma serie de recursos que podem servir como um modelo de referncia para gesto da TI, incluindo um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento. Especialistas em gesto e institutos independentes recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo mtricas para avaliao dos resultados (KPIs, KGIs e CSFs). O CobiT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa.; (Wikipedia, 2008) ISO/IEC 27001 um padro para sistema de gerncia da segurana da informao (ISMS Information Security Management System) publicado em Outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 - Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da segurana da informao - requisitos mas conhecido como "ISO 27001". Seu objetivo ser usado em conjunto com ISO/IEC 17799, o cdigo de prticas para gerncia da segurana da informao, o qual lista objetivos do controle de segurana e recomenda um conjunto de especificaes de controles de segurana. Organizaes que implementam um ISMS de acordo com as melhores prticas da ISO 17799 esto simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificao totalmente opcional. (Wikipdia, ISO 27001, 2008) Information Technology Infrastructure Library (ITIL) uma biblioteca de boas prticas (do ingls best practices) nos servios de tecnologia da informao (TI), desenvolvida no final dos anos 80 pela CCTA (Central Computer and Telecommunications Agency) e atualmente sob custdia da OGC (Office for Government Commerce) da Inglaterra. A ITIL busca promover a gesto com foco no cliente e na qualidade dos servios de tecnologia da informao (TI). A ITIL enderea estruturas de processos para a gesto de uma organizao de TI apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organizao pode fazer sua gesto ttica e operacional em vista de alcanar o alinhamento estratgico com os negcios. (Wikipdia, Information Technology Infraestruture Library, 2008)

- 13 -

Das definies dadas as estas trs frameworks, podemos observar que a nica que faz meno auditoria a SI o Cobit, no quer no entanto dizer, e de forma alguma, que para uma organizao poder ter auditoria ao SI, dever estar implementada dentro do Cobit. Qualquer uma das frameworks, disponibiliza ferramentas e controlos a serem auditados, facilita assim o trabalho das equipas de auditores que tm um guia, um mapa a seguir e comprovar o funcionamento. Na tabela seguinte, elaborada por Pedro Silva na sua tese de mestrado em Tecnologias e Sistemas de Informao, podemos ver todos os casos em que existe actividade de auditoria a SI que so referidos nos referenciais.

Tabela 2 - Actividades de Auditoria de SI previstas nos Referenciais (Silva, 2007)

5.3. GESTO DE RISCO

Although information technology infra-struture is an area that many consider operations, that has a major impact on orgazinational risks and the control enviroment., Those who understand the interconnected world know that assessing, addressing and monitoring overall business risk must include technologies inssues (Parker & Grahan, 2008) Depois de tudo o que j foi visto ao longo dos captulos anteriores, podemos afirmar que realmente o que uma auditoria ao sistema de informao deve fazer, na realidade fazer o controlo da gesto de risco da organizao. Tudo numa organizao gira volta do risco, nos sistemas de informao tambm o deve acontecer. Na implementao de um sistema, dever-se- avaliar todos os riscos inerentes ao mesmo, as formas de os minimizar e como os controlar, esta gesto do risco que deve ser avaliada.

- 14 -

As decises relativas ao que considerado materialmente relevante e ao risco de auditoria aceitvel iro influenciar a quantidade de trabalho que necessrio efectuar e, consequentemente, a economia, eficincia e eficcia da auditoria. (Oliveira, 2006) Ao se efectuar uma auditoria, as bases de risco admitidas devero ser bem ponderadas pois ao se efectuarem avaliaes de risco de forma errada, poder comprometer o resultado da auditoria. Ao se efectuarem ponderaes de risco, devem-se ter em conta as vrias vertentes, o risco em si, e os custos a ele associados. Oliveira (Oliveira, 2006) fala da existncia de trs componentes de risco: Risco Inerente a susceptibilidade dos recursos de informao ou dos recursos controlados pelo sistema de informao serem roubados, destrudos, ignorados, modificados sem autorizao, ou sofrer outros danos, assumindo que no existem controlos internos relacionados; Risco de Controlo o risco de que um erro materialmente relevante nos dados da entidade no ser prevenido ou detectado e corrigido atempadamente pela estrutura de controlo interno da entidade; Risco de Deteco o risco de o auditor no detectar um erro materialmente relevante nas declaraes financeiras da entidade.

Podemos deduzir ento da leitura das definies dadas por Oliveira aos tipos de risco existentes numa auditoria, que at o prprio auditor faz parte integrante do risco. Ou seja, dever haver alm do controlo do risco, um controlo da auditoria, esta dever ser elaborada de forma sbria e profissional, quer por parte dos gestores como dos tcnicos.

Figura 2- Ciclo de vida de Gesto de Risco (Davis, Schillerand, & Wheeler, 2007) Segundo (Davis, Schillerand, & Wheeler, 2007) pode-se identificar um ciclo na gesto de risco, este ciclo definido nas cinco fases que se podem observar na Figura 2- Ciclo de vida de Gesto de Risco proposto pelos prprios autores.

- 15 -

Na primeira fase que ser a do levantamento e identificao dos pontos de informao activos, ou seja identificar o valor que determinada informao tem para empresa (baixo, media ou alto) do ponto de vista da confidencialidade, integridade e disponibilidade. The best way to identify information assets is to take a top-down approach beginning with organization functions, identifying the processes that support those business functions, and drilling down to the information assets that are processed. (Davis, Schillerand, & Wheeler, 2007) Numa segunda fase devem-se quantificar e qualificar ameaas, aqui que se deve identificar os custos associados perca de dados e sua recuperao assim como processos legais e normas de aco. No esquecer que como fazendo parte do ciclo de vida da gesto de risco, esta fase esta intimamente ligada anterior. In order to identify threats to our information effectively, we need to complete the first phase of the risk-management process: identifying information assets. This is so because properly identified threats are associated with an information asset or a group of information assets. Threats associated with systems flow through to the information assets that they process. (Davis, Schillerand, & Wheeler, 2007) Na terceira fase deve-se ento efectuar a avaliao das vulnerabilidades. In examining threats, the common denominator is the information asset because each threat is tied to an information asset. When assessing vulnerabilities, on the other hand, the common denominator is the information process. (Davis, Schillerand, & Wheeler, 2007) Deve-se aqui efectuar a identificao das vulnerabilidades nos componentes que fazem parte dos processos de informao, depois de identificadas, sero combinadas para identificar as vulnerabilidades dos processos, depois sero as vulnerabilidades de processos combinadas para identificar as vulnerabilidades inerentes s funes da instituio. Numa quarta fase, iremos efectuar o controlo de reposio de falhas, ou seja implementar controlos de forma a que os riscos identificados sejam mitigados. Importante aqui ter em ateno que depois de se efectuar a implementao de controlos, a avaliao de risco dever ser novamente recalculada. By now our risks should be categorized as high, medium, or low. Initially, we will focus on mitigating the most severe risks because we most likely will see the highest return on our investment. In essence, we are likely to mitigate more risk with less money. (Davis, Schillerand, & Wheeler, 2007) Por fim na quinta fase ser necessrio gerir o aparecimento de novos riscos, e claro est o desaparecimento de alguns actualmente existentes. Risk is inherently dynamic in nature, especially the threat component of risk. As a result, we will need to measure risk continually and invest in new controls to respond to emerging threats. (Davis, Schillerand, & Wheeler, 2007)

- 16 -

6.

T C N I CA S DE AUD I TO R I A

6.1. CONTROLOS AO NVEL DA ENTIDADE

O objectivo destes controlos estabelecer e promover uma atitude generalizada por parte dos elementos da organizao de forma a obter uma uniformidade de controlo interno. Para alm de identificar e avaliar os detalhes das actividades ao nvel dos processos da Organizao, existem muitas mais aplicaes por vezes menos tangveis, mas que constituem pontos importantes para a mesma. Os controlos de identidade podem/devem estender-se a todas as reas da Organizao de forma a obter um melhor trabalho. Um problema que o auditor encontra neste item a definio do que deve ou no ser considerado uma entidade, podendo variar de organizao para organizao. Uma estrutura organizacional mal definida pode levar a uma indefinio das responsabilidades e/ou das funes causando falhas em algumas actividades que podero ser executadas redundantemente ou suprimidas. Para melhor definir quais os controlos de entidade a aplicar s entidades das Organizao so indicados a seguir alguns controlos que o auditor dever ter em conta. Analisar a estrutura organizacional para compreender se esta fornece uma clara distribuio de poderes e responsabilidades nas operaes efectuadas. A indefinio destas funes pode levar ao aparecimento de actividades fraudulentas. Analisar o planeamento de processos para ter a certeza de que estes vo ao encontro dos objectivos da organizao. Ao reavaliar estes processos o auditor est a monitorizar se estes convergem de acordo com o plano estratgico da Organizao. Avaliar se as tecnologias e as aplicaes existentes assim como o manuseamento das mesmas esto a evoluir de acordo com um plano estratgico de longo prazo. A rea das tecnologias de informao uma rea em rpida e constante evoluo, pelo que necessrio que as organizaes tenham planos de mudana para compreender antecipadamente as suas necessidades. Avaliar indicadores de performance e comparar com os Service Level Agreements (SLAs) (em portugus pode traduzir-se para nveis de aceitao do servio) existentes para cada processo na rea das TI. As TIs so a base de muitos processos existentes nas organizaes e se no existirem medidores de performance e SLAs adequados difcil determinar se a infra-estrutura de TI est a dar uma boa resposta s necessidades impostas. Verificar os processos existentes de forma a estabelecer necessidades e prioridades para novos projectos. Esta verificao atribuio de prioridades deve ser feita de uma forma estruturada para que os recursos sejam disponibilizados de forma eficiente satisfazendo as necessidades e objectivos estabelecidos. Avaliar normas de deciso da execuo de projectos na rea das TIs garantido a boa qualidade dos produtos adquiridos pela organizao. Garantir que as polticas de seguranas existentes so eficazes e aplicadas correctamente, para isso importante definir mecanismos que garantam o conhecimento e o cumprimento das mesmas dentro da organizao.

- 17 -

Analisar processos de avaliao de riscos inerentes s TIs. Sem esta avaliao a Organizao desconhece os riscos que corre para atingir os seus objectivos. A tomada de conscincia destes riscos dever influenciar a tomada de decises para atenuar esses mesmos riscos. Avaliar processos para se assegurar que os colaboradores da Organizao tm as competncias e o conhecimento necessrios execuo das suas funes. Colaboradores indevidamente preparados e qualificados vo ter uma influncia negativa sobre o desempenho das TIs na Organizao. Analisar polticas e processos de atribuio responsabilidades sobre os dados da empresa com que cada colaborador vai lidar. A classificao correcta dos dados, a sua proteco de acordo a importncia e ainda a definio do seu ciclo de vida, leva a uma racionalizao dos custos necessrios manuteno e preveno de extravio. Assegurar que existem processos eficazes que obrigam ao cumprimento das regras existentes para a rea das TIs. Analisar e avaliar e criar processos que garantam que os utilizadores tm a capacidade de reportar os problemas encontradas na execuo das suas tarefas de interaco com as TIs. Estes utilizadores devem estar em consonncia com as decises tomadas nesta rea e satisfeitos com o servio prestado pela mesma. Avaliar processos de gesto de servios prestados por outras organizaes na rea das TIs, garantido que as suas funes e responsabilidades esto claramente definidas. Analisar e avaliar acessos efectuados por organizaes externas ao SI. Estes acessos esto normalmente associados ao suporte de alguns servios na rea das TIs. Tratando-se de entidades externas organizao estas podem no conhecer ou no compactuar com as polticas da Organizao colocando em risco o seu bom funcionamento. Avaliar processos que garantam que a Organizao tem as licenas de software regularizadas. A facilidade com que um colaborador pode copiar um software a partir da internet ou de qualquer tipo de suporte de armazenamento de dados imensa. Para prevenir necessrio que exista uma listagem das licenas vlidas na Organizao e efectuar uma procura de software no listado numa amostra de computadores permitindo assim avaliar todo o universo da empresa. Em caso de falha os processos devem ser novamente revistos. Analisar e avaliar os processos de controlo sobre os acessos remotos efectuados Organizao. Ao disponibilizar este tipo de acessos a rede da Organizao fica alarga-se para alm do permetro normal de funcionamento. Este tipo de acessos deve ser alvo de uma especial ateno, porque o uso indevido dos mesmos pode levar ao comprometimento da segurana na rede. Assegurar que os processos de contratao e cessao de servios so claras e esto de acordo com o objectivo dos mesmos. A falha num destes processos pode levar a que a Organizao seja alvo de acessos indevidos e abuso de privilgios que podem comprometer a segurana da informao. Avaliar as polticas de gesto que controlam as mudanas e aquisies de hardware. Esta gesto deve monitorizar os movimentos do hardware e tambm prevenir a acumulao de recursos desnecessrios e alocao ou aquisio de novos onde estes so mais necessrios.

- 18 -

Assegurar o controlo e a gesto de configuraes de todos os SIs de acordo com as mudanas efectuadas na estrutura de forma a evitar indisponibilidades. Garantir que os meios de transporte, armazenamento e reutilizao e eliminao de dados so efectuados de acordo com as polticas da Organizao. Os dados de uma Organizao so vitais para a sua sobrevivncia, a sua perda ou extravio pode ter graves consequncias. Verificar se os processos de monitorizao e planeamento de mudanas dos processos na rea das TIs vo ao encontro das polticas e necessidades da organizao.

(Champlain, 2003)
6.2. CENTROS DE DADOS E RECUPERAO DE DESASTRES

Devido expanso das tecnologias da informao, o negcio da grande maioria das empresas est dependente dos seus sistemas de informao, e se por algum motivo estes deixarem de funcionar isso pode representar milhes de euros de prejuzo ou levar a empresa a deixar de fornecer servios, cumprir contratos, legislao e no extremo, mesmo ir falncia. Como tal, crucial manter os sistemas de informao (dependendo da do ponto critico) a funcionar 24 horas por 7 dias por semana. Alm de manter os servios sempre a funcionar a segurana da informao tambm uma preocupao, e os Centros de Dados so uma boa resposta pois garantem um ambiente seguro o que minimiza as possibilidades de surgir uma quebra de segurana. Um Centro de Dados deve, portanto, seguir e manter altos padres de forma para garantir a integridade e a funcionalidade dos seus servidores e dos servios mantidos por estes. O objectivo de um Centro de Dados hospedar os sistemas de informao que so crticos para a organizao. Estes sistemas so constitudos pelo hardware e software (sistema operativo e aplicaes) e estes podem ser afectados por todo o ambiente que os rodeiam (rede, edifcio, etc). As maiores ameaas que podem surgir so: Naturais: acontecimentos meteorolgicos, inundaes, sismos ou fogo; Causados pelo homem: tais como actos terroristas, roubo, sabotagem; Causadas devido ao ambiente que rodeia o Centro de Dados, tais como temperaturas extremas ou humidade; Falha de utilitrios como a electricidade ou telecomunicaes.

Vai-se em seguida analisar as vrias situaes/pontos que um auditor tem que ter em conta. A primeira coisa se um auditor deve analisar numa auditoria a um Centro de Dados o ambiente que o rodeia. A meta a atingir ser identificar as ameaas mais crticas que podero surgir, para o conseguir o auditor dever avaliar: a orientao do edifcio, sinalizao, vizinhana, iluminao externa, perigos ambientais e a proximidade com servios de emergncia. Comeando pela vistoria do edifcio, o auditor dever verificar se existem limites e controlo na proximidade de veculos e entrada de pessoas no edifcio, o recinto externo dever mesmo ter barreiras para os veculos. As barreiras devero tambm limitar os acidentes ou ataques com carros bomba. Pensar-se- se eventualmente este um cenrio inimaginvel, o facto que antes do 11 de Setembro ningum imaginaria um ataque com avies s duas torres de escritrios. Definir o piso onde o Centro de Dados se encontra importante, pois se for rs-do-cho ou pisos subterrneo esta susceptvel a inundaes, se por outro lado forem pisos superiores, estes esto mais vulnerveis a trovoadas, vento, chuva torrencial e a outros danos.

- 19 -

A sinalizao no dever existir, pois os Centros de Dados devem ser annimos, longe das vias de comunicao principais e sem serem (ou evitarem ser) vistosos, i.e., passarem despercebidos. Vizinhana, aqui a questo , que entidades esto localizadas na zona do edifcio. Esto perto do edifcio? A que tipo de servios/produtos esto associados? O facto de estar perto de uma fbrica ou armazm, por exemplo, pode aumentar o risco do Centro de Dados ser afecto por fugas de materiais venenosos ou incndios. O ideal seria um edifcio s para esse efeito e isolado. Outra situao a analisar a iluminao exterior. Uma iluminao adequada pode evitar crimes e mesmo que as pessoas vagueiem por ali. Edifcios crticos devem ter muros/vedaes e o seu permetro ser bem iluminado e com uma boa intensidade de modo a permitir ver bem a uma distncia razovel. O edifcio deve estar preparado para lidar com inundaes, mais uma vez evitar reas de risco alm de evitar que o piso de entrada no edifcio esteja ao nvel do solo. Deve igualmente evitar colocar um Centro de Dados em reas com elevado risco de sismos ou de tempo inconstante, que permita tempestades e furaces. Aconselhvel como h se referiu localizar o Centro de Dados numa rea que seja possvel um rpido socorro pelos servios de emergncia. Existem muitos acessos a informao crtica e acidentes no Centro de Dados devido a um deficiente controlo ao acesso ao mesmo. Logo a forma como feito o controlo e identificao das pessoas que acedem ao Centro de Dados fundamental. Podemos identificar os seguintes mecanismos de controlo de acesso: portas e paredes exteriores; procedimento de acesso; mecanismos de autenticao fsica; seguranas e outros usados para proteco de zonas especficas e sensveis. A primeira linha de defesa so as paredes e portas usadas na construo do edifcio, logo os auditores tm que analisar de forma aprofundada se estas protegem contra intruso. As paredes devem ser feitas de cimento e reforadas com ao. O auditor deve ter especial ateno s condutas de ar condicionado e de cablagens e verificar se esto devidamente protegidas contra tentativas de acesso ao Centro de Dados. Devem ser usadas armadilhas do tipo corredores, onde h uma porta de entrada onde se deve autenticar, quando entra a porta fecha-se. Apresenta-se ento outra porta, onde a pessoa ter de autenticar-se novamente, se no conseguir fica presa no corredor. Para autenticao da pessoa devem-se usar tecnologias como cartes magnticos, biometria, leitores de impresses digitais, leitura da ris, cartes de proximidade (usando a raio frequncia para autenticao) etc. O auditor deve validar os registos dessas entradas, que alm da identificao das pessoas que entraram, deve verificar horas de entrada, stio onde entrou e se houve falhas na autenticao. Como j se referiu o auditor deve dar ateno espacial a stios onde a segurana mais sensvel ou frgil, tais como geradores, e apontar formas de melhorar essas situaes. Como sabido, os computadores e material informtico requerem condies ambientais especficas para o seu funcionamento, como a temperatura e humidade. O auditor deve verificar o aquecimento, ventilao e o ar condicionado e garantir que se conseguem manter temperaturas constantes. H que ter em ateno a humidade, se for alta pode corroer os aparelhos, por outro lado se for baixa pode causar o aparecimento de electricidade esttica. A temperatura idealmente deve estar entre os 18C e os 21C, a partir de 30C a temperatura poder danificar os equipamentos. Por sua vez a humidade dever andar entre os 45 e os 55 por cento.

- 20 -

Dever analisar tambm se existe proteco electrnica dos equipamentos que impeam a ocorrncia de interferncias magnticas/elctricas. Os sistemas informticos necessitam de alimentao elctrica contnua e limpa (sem picos de tenso). Os Centros de Dados usam diferentes tipos de controlos para garantir esse tipo de alimentao elctrica: Fontes de alimentao redundantes alimentadas partir de duas ou mais centrais elctricas; Ligao terra para enviar excessos de corrente; Transformadores para controlar picos de tenses elctricas; UPS para garantir corrente por perodos curtos Geradores para produzirem energia elctrica na existncia de falhas mais prolongadas.

O auditor dever verificar se os controlos para a manuteno da corrente elctrica so os recomendados e esto a funcionar. Os Centros de Dados devem estar equipados com diversos tipos de alarme que permitam monitorizar e evitar o acesso aos sistemas, fogo, gua, temperatura e humidade. Provavelmente o alarme mais importante ser o que impede o acesso fsico ao Centro de Dados, para isso podemos ter sensores em stios estratgicos e nas portar e entradas. Poderemos ter tambm detectores de movimento, sensores por contacto, por exemplo nas portar e janelas, e udio sensores que detectam quebra de vidros, por exemplo, e outras alteraes ao nvel do ambiente sonoro normal. Quanto aos sensores de incndio o auditor poder ter que analisar: Sensores de calor que so activados quando se atinge determinada temperatura; Sensores de fumo activados assim que seja detectado fumo; Sensores de chamas activados quando acusam energia de infravermelhos ou a vacilao de uma chama.

Os sensores de calor e fumo so os mais comuns. Quando o auditor proceder auditoria dos sensores deve verificar o tipo usado, a sua colocao, a manuteno dos registos e os procedimentos de testes. Devem ser colocados em stios estratgicos e lgicos, sensores de gua para assim tentar evitar inundaes. Neste caso o auditor dever detectar e se necessrio indicar stios onde estes sensores devem ser colocados. Tambm no que diz respeito humidade, esta tambm dever ser verificada atravs de sensores. Os sensores de humidade devem ser configurados de modo que enviem alertas para as pessoas que estaro de preveno. Mais uma vez, cabe ao auditor verificar que estes alarmes esto colocados no stio correcto. Devido ao grande rico de incndios num Centro de Dados ser grande, este dever possuir um sofisticado sistema de preveno contra incndios, baseado logo na construo do edifcio, na existncia de extintores nos pontos-chave, e lidar eficazmente com materiais perigosos.

- 21 -

O auditor nesta situao deve verificar as portas e paredes (no devem deixar passar o fogo para outras divises), verificar a localizao e a validade dos extintores. Se necessrio poder mesmo efectuar testes. A maior parte dos Centros de Dados possuem vigilncia de vdeo, mas podero ter tambm vigilncia udio ou uma combinao dos dois. O auditor aqui tem que validar a qualidade do vdeo/som, a posio da cmara e o arquivo do vdeo/som. Tarefas a executar no Centro de Dados devem ter procedimentos, polticas e planos bem definidos e cumpridos. Deve estar documentado quem tem acesso, ao que tema acesso e procedimentos de segurana e de emergncia a seguir. As reas que devero ter processos bem definidos so: o acesso fsico, a monitorizao do edifcio, funes e responsabilidade do pessoal, os deveres de cada pessoa, a forma de responder a desastres e emergncias, a manuteno do edifcio e do equipamento, planeamento da capacidade do Centro de Dados e a coordenao/gesto do Centro de Dados. O auditor dever verificar todos estes procedimentos e verificar na prtica, por exemplo atravs de registos, que estes esto a ser cumpridos. Qualquer Centro de Dados por muito que cumpra todas as regras e procedimentos, esta sempre sujeito a desastres naturais ou humanos. Antes desta seco foi analisada a forma de prevenir desastres, mas se estes acontecem como proceder? Analisasse em seguida as formas de recuperao de desastres, sistemas com redundncia, cpia e restauro de dados (backup e restore), plano de recuperao de desastres. Os Centros de Dados devem possuir sistemas redundantes, de forma a recuperar rapidamente de problemas e de disponibilizar alta disponibilidade. Exemplos de redundncia so os sistemas de discos em RAID e mais do que uma fonte de alimentao. O auditor dever validar que os componentes crticos do sistema possuem redundncia. Em situaes em que os sistemas so muito crticos, onde no permitido nenhum tempo de espera para recuperao de avarias, devese ter redundncia dos sistemas em localizaes diferentes. A cpia de dados dever ser realizada regularmente, e deve ser validada, para assegurar que no houve falhas na cpia. Devido a serem tarefas crticas, elas devem ter associado um procedimento que dever ser sempre metodicamente seguido. O auditor deve comear por validar os referidos procedimentos (de cpia e restauro de dados), depois dever verificar que a periodicidade de execuo da cpia de segurana a ideal para determinado sistema (sistemas crticos devem ter uma periodicidade menor). Dever ser validada o tempo de armazenagem das cpias. O auditor poder mesmo solicitar que se efectue um teste de recuperao de dados, validar a qualidade da cpia e validar o procedimento na prtica. O objectivo do plano de recuperao de desastres de uma forma eficiente e rpida conseguir repor os sistemas depois de desastres como furaces ou cheias por exemplo. Para o auditor a tarefa de auditar um plano de recuperao de desastres muito complexa, mas poder seguir o seguinte: a) assegurar que o plano existe; b) verificar que o plano cobre todos os sistemas e reas; c) verificar se na ltima ameaa o plano correspondeu ao pretendido e assim validar se continua relevante; d) assegurar que as responsabilidades e funes descritas no plano ento bem definidas; e) verificar se os procedimentos de reconstituio e recuperao so abordados; f) assegurar que as operaes de emergncia tm o material necessrio (computadores, rede, etc.) para serem executadas, g) verificar que as comunicaes de emergncia esto garantidas; h) verificar os resultados do ltimo exerccio de recuperao de desastres. Deve ser assegurado que os planos so sempre actualizados e mantm-se vlidos, efectuando testes regularmente.

- 22 -

6.3. SWITCHS, ROUTERS, E FIREWALLS

Para auditar equipamentos de rede o auditor no precisa de ser um especialista mas tem de ter alguma base terica em relao ao seu funcionamento. O modelo de camadas OSI (Open System Interconnection) da ISO (International Standard Organization) pode ajudar a compreender melhor como funciona uma rede de computadores e como que estes comunicam entre si. Os switchs actuam normalmente no camada 2 do modelo OSI (ligao) e a sua funo bsica a de comutao das tramas que lhe chegam atravs da rede e a segmentao da mesma. Nos switchs mais modernos j podemos fazer uma segmentao virtual da rede ou criar VLANs (Virtual Local Area Networks) em que um nico switch pode comportar vrios domnios de difuso de tramas de broadcast. Se a comunicao entre as mesmas for possvel ainda com o mesmo switch ento este switch passa a actuar tambm na camada 3 (rede) que onde actuam nativamente os routers. Os routers por sua vez actuam sobretudo na camada 3 e tm como funo o encaminhamento de pacotes entre redes distintas ou domnios diferentes. Para melhor desempenhar estas funes os routers utilizam tabelas de encaminhamento (dinmicas nalguns casos) de pacotes, e usam protocolos como o OSP (Open Shortest Path First) ou o BGP (Border Gateway Protocol) para as manter actualizadas. As firewalls servem essencialmente para estabelecer polticas de segurana distintas para cada segmento de rede, delimitando zonas em que o nvel de segurana semelhante. Para garantir segurana uma firewall necessita de filtrar o trfego que lhe chega e atravs de ACLs (Access Control Lists) Dada esta pequena introduo terica vamos passar a enumerar algumas tarefas gerais que o auditor dever ter em conta neste captulo. Avaliar os controlos sobre o desenvolvimento e manuteno das configuraes dos equipamentos. Assegurar o controlo de vulnerabilidades associadas com as verses de software. Estes controlos podem incluir actualizaes de software, mudanas de configurao, ou outros processos que se julguem pertinentes de ser monitorizado. Verificar se todos os servios desnecessrios esto realmente inabilitados. Assegurar que uma boa gesto via SNMP (Simple Network Management Protocol). Avaliar processos de criao e eliminao de utilizadores, e assegurar que essa criao/eliminao s feita quando realmente necessrio. Garantir processo de validao e controlo de passwords. Verificar se a gesto da segurana a mais correcta e eficaz. Garantir que existe salvaguarda dos ficheiros de configurao. Verificar se os logs esto feitos e activos na rede. Os logs devem depois ser centralizados de forma a obter uma maior uniformidade. Avaliar o uso de NTP (Network Time Protocol) Verificar o uso e funcionamento de do protocolo NTP (Network time protocol).

- 23 -

Verificar se as ACLs esto a funcionar de acordo com o esperado. Verificar se todos os equipamentos de rede esto localizados em reas de segurana apropriadas. Garantir normas de conveno de nomes a usar para todos os dispositivos na rede. Verificar as normas anteriores e documentar processos existentes para expandir a rede.

(Champlain, 2003)
6.4. SISTEMAS OPERATIVOS

Os sistemas operativos (SO) fazem a interaco entre todas as aplicaes da Organizao e os respectivos hardwares onde esto instalados e como tal deve-se garantir o seu bom funcionamento. Para assegurar um bom desempenho dos SO estes tm de estar actualizados e correctamente configurados para o fim a que se destinam. De seguida so enumerados os controlos gerais que auditor deve ter em conta neste captulo. Obter as configuraes do sistema e quais as actualizaes que esto instaladas e verificar se estas se encontram de acordo com as normas e polticas estabelecidas para que o SO seja mais seguro, fcil de gerir e de auditar. Determinar se o SO tem instalado configurado e actualizado um software de firewall e aprovado pelas polticas da Organizao e do fornecedor do SO. Determinar se o SO tem instalado configurado e actualizado um software de antivrus e aprovado pelas polticas da Organizao e do fornecedor do SO. Garantir que todas as actualizaes previamente aprovadas esto instaladas. Determinar se o SO est a executar um gestor de actualizaes acreditado pela Organizao. Analisar todo a informao relativa ao processo de iniciao do SO para verificar se algo se h comportamentos incorrectos em alguma fase. Determinar quais os servios que esto activos no sistema e validar a sua pertinncia junto do administrador do sistema. Nos servios necessrios tero de ser analisados os procedimentos de avaliao de vulnerabilidades associados a esses servios e fazer a sua manuteno casa seja necessrio. Garantir que esto instaladas todas e apenas as aplicaes necessrias e aprovadas pela Organizao, evitando conflitos entre aplicaes e problemas de dependncias. Analisar e avaliar procedimentos de criao de utilizadores assegurar que esses utilizadores apenas so criados quando h uma razo legtima para tal. Devem ser revistos tambm os processos que garantem que os utilizadores so removidos logo que no haja necessidade de existirem. Analisar e avaliar o uso de grupos de utilizadores e ainda determinar as permisses que esse grupo necessita.

- 24 -

Analisar e avaliar a resistncia das passwords existentes. Avaliar e estabelecer polticas que previnam o uso de passwords frgeis a ataques. Caractersticas como o tempo de validade, o nmero de caracteres, complexidade e passwords no baseadas num histrico recente de uso das mesmas. Analisar e avaliar o uso e as necessidades de acesso remoto como o RAS (Remote Access Service), FTP (File Transfer Protocol), SSH (Secure Shell), VPN (Virtual Private Network) e outros. Garantir que o SO tem configurado polticas que permitam que o mesmo seja auditado de acordo com o que definido pela Organizao. Analisar e avaliar os procedimentos de administrao do SO para que este seja monitorizado adequadamente.

(Champlain, 2003)
6.5. SERVIDORES WEB

No que diz respeito a Servidores Web, estes so normalmente diferentes uns dos outros, embora haja semelhanas que um auditor dever cuidadosamente verificar, segundo algumas normas. Seguidamente so apresentados alguns passos que um auditor (aps analisar a sua situao em concreto) poder ou no seguir, dependendo do caso com que se depara: Verificar se o servidor web est a executar num sistema dedicado e no em conjunto com outras aplicaes crticas Verificar se o servidor Web est totalmente corrigido e actualizado com as ltimas actualizaes aprovadas. Determinar se o servidor Web deve estar a executar ferramentas adicionais para auxiliar na proteco do servidor Web. Verificar se servios ou mdulos desnecessrios esto desactivados. Ao executar servios e mdulos, devem operar sob as contas menos privilegiadas. Verificar se apenas portas e protocolos adequados, esto autorizados a aceder ao servidor Web. Verificar se as contas que tm acesso ao servidor Web so geridas de forma adequada, e esto fortemente protegidas com palavras-chave. Assegurar que existam controlos adequados para arquivos, directrios e directrios virtuais. Assegurar que o servidor Web tem o prprio logging activo e seguro. Assegurar que as extenses de script so mapeadas adequadamente. Verificar se os filtros ISAPI desnecessrios ou no utilizados, so removidos do servidor. Verificar a validade e o uso de todos os certificados de servidor em utilizao.

- 25 -

Aps a execuo dos passos referidos anteriormente, e dependendo da situao que se esteja a enfrentar, o auditor poder aplicar estes testes nos componentes de um servidor Web, podendo consequentemente obter resultados positivos. essencial numa auditoria de servidores Web, compreender como organizar a tarefa e, em seguida, especificar correctamente o alcance de trabalho que se pretende atingir. de realar que os auditores, tanto como seria desejado acreditar, no so uma cincia exacta, mas quando se trata de uma auditoria a servidores Web, associa-se uma rea em que isto aparente.
6.6. BASES DE DADOS

As bases de dados so normalmente uma rea negligenciada das auditorias. Normalmente, uma auditoria inclui uma reviso bastante profunda de vrias reas, incluindo o seu permetro, o sistema operativo, as polticas, entre outras A falta de conhecimento sobre auditorias de bases de dados torna conveniente negligenciar esta rea. As bases de dados enquadram-se numa rea bastante complexa, exigindo pacincia e know-how tcnico para realizar uma auditoria adequada e segura. Presumindo que o auditor tem conhecimentos na rea de bases de dados, ser necessrio um plano para a realizao de uma auditoria, onde muitos dos passos so idnticos aos passos que se iriam realizar sobre um sistema operativo ou uma rede informtica. Contudo, h uma necessidade de colocar esses passos no contexto da base de dados, visto que alguns destes so exclusivos para a base de dados. Segue-se uma lista de alguns passos importantes na auditoria de uma base de dados: Verificar se as permisses da base de dados so concedidas adequadamente para o nvel exigido de autorizao; Rever as permisses da base de dados concedidas para indivduos, em vez de grupos; Assegurar que as permisses da base de dados no so concedidas implicitamente de uma forma incorrecta; Analisar a execuo de SQL dinmico em stored procedures (procedimentos armazenados); Assegurar que os nveis de acesso aos dados das tabelas esto implementados correctamente; Revogar as permisses pblicas onde estas no so necessrias; Restringir o acesso ao sistema operativo; Restringir as permisses no directrio na qual a base de dados est instalada; Restringir as permisses nas chaves de registo usadas pela base de dados; Verificar os nomes de utilizador e palavras-passe atribudas por defeito; Verificar palavras-passe fceis de adivinhar; Verificar se a capacidade de gesto de palavras-passe est activada; Verificar se a auditoria est habilitada; Verificar se a encriptao da rede est implementada;

- 26 -

Verificar se a encriptao dos dados-fronteira est implementado no local apropriado. Assegurar que a gesto de encriptao de chaves parte do plano de recuperao de desastre (disaster-recovery); Verificar se as ltimas actualizaes para a base de dados esto devidamente instaladas; Verificar se a base de dados est a executar uma verso segura como suporte; Verificar se as polticas e procedimentos esto no lugar, de modo a identificar quando um patch (actualizao) est disponvel e para aplicar esse patch; Verificar a integridade da base de dados, analisando os kits de raiz, vrus, backdoors e trojans.

Seguindo os pontos referidos, h uma enorme segurana na base de dados auditada. Muitas das solues de sistemas de bases de dados no se preocupam com a segurana do lado de dentro do firewall, definindo apenas polticas de segurana no router, servidor web, etc. Esta despreocupao com a segurana interna normalmente uma das principais causas de fracasso nas organizaes, pois grande parte das invases ao sistema interna. (Champlain, 2003)
6.7. APLICAES

A auditoria de aplicaes informticas, um procedimento em que o auditor se pode certificar da correcta utilizao dos meios informticos, atravs da verificao do contedo dos ficheiros que integram as aplicaes, a conformidade dos processamentos e dos resultados, bem como, a adequao dos procedimentos de controlo e segurana, e da sua conformidade legal. Como foi referido na seco anterior (bases de dados), hoje em dia, a grande ameaa a nvel de segurana nas organizaes interna, pelo que as organizaes tm a necessidade de proteger, quer os clientes, quer o seu negcio, relativamente a quebras na privacidade de dados. Mesmo que uma organizao tenha um plano para evitar que utilizadores no autorizados acedam a dados, esta necessita de uma soluo capaz de fornecer informao sobre as aces dos utilizadores autorizados. Para que um processo de auditoria de aplicaes informticas tenha o devido sucesso, este dever seguir determinadas passos, nomeadamente: Analisar e avaliar os controlos de dados de entrada; Determinar a necessidade de relatrios de erro/excepes relacionados com a integridade dos dados e avaliar se esta necessidade est a ser preenchida; Analisar e avaliar os controlos sobre os data feeds, de e para os sistemas de interface; Nos casos em que os mesmos dados so mantidos em mltiplas bases de dados e/ou sistemas, garantir que os processos peridicos de sincronizao so executados para detectar quaisquer incoerncias nos dados; Analisar e avaliar as pistas de auditoria presentes no sistema, bem como os controlos sobre elas; Assegurar que o sistema fornece um meio para detectar a transaco ou dados, do incio ao fim do processo activado pelo sistema;

- 27 -

Assegurar que a aplicao fornece um mecanismo que efectua a autenticao dos utilizadores, com base, no mnimo, num nico identificador para cada utilizador e uma chave confidencial; Analisar e avaliar o mecanismo de autorizao das aplicaes para assegurar que os utilizadores no esto autorizados a aceder a qualquer transaco sensvel, ou a dados, sem primeiro serem autorizados pelo mecanismo de segurana do sistema; Assegurar que o mecanismo de sistemas de segurana/autorizao, tm uma funo administrativa com controlos e funcionalidades apropriados; Determinar se o mecanismo de segurana permite eventuais processos de aprovao; Assegurar que um mecanismo ou processo tenha sido colocado no lugar que suspende o acesso ao utilizador, na resciso da empresa ou na mudana de posto de trabalho dentro da empresa; Verificar se a aplicao possui controlos adequados de palavras-passe; Analisar e avaliar processos de concesso de acesso aos utilizadores. Assegurar que o acesso permitido apenas quando existe uma necessidade de negcio legtimo; Garantir que os utilizadores so automaticamente desconectados da aplicao, aps um certo perodo de inactividade; Avaliar o uso de tcnicas de encriptao para proteger os dados da aplicao; Avaliar o acesso de desenvolvimento da aplicao para alterar a produo de dados; Garantir que o software no pode ser alterado sem passar pelo processo standard checkout/staging/testing/approval, aps este ser colocado em produo; Avaliar controlos em torno do teste do cdigo da aplicao, antes de ele ser colocado num ambiente de produo; Assegurar que h controlos de backup apropriados; Assegurar que h controlos de recuperao apropriados; Avaliar controlos em torno da reteno de dados da aplicao; Avaliar controlos em torno da classificao de dados, dentro da aplicao.

(Champlain, 2003)
6.8. WLAN E DISPOSITIVOS MVEIS

A WLAN (ou Wi-Fi) j muito usada nas empresas, por permite a mobilidade, i.e. permite-nos andar com o porttil de uma sala para outra sem perder ligao ao nosso email por exemplo. Pe outro lado a WLAN colocou dificuldades aos administradores devido ao baixo custo dos pontos de acesso e facilidade com que os utilizadores comprometem a segurana da rede. Mas entretanto, os standards das WLAN tm evoludo assim como a formao dos administradores para manterem a segurana da rede. Segue uma tabela com as especificaes IEEE 802.11 actualmente desenvolvidas, estando na calha novas especificaes como a 802l.11n.

- 28 -

Protocolo

Lanamento Frequncia Largura de banda 2.4 GHz 5 GHz 2 Mbps 6, 9, 12, 18, 24, 36, 48, 54 Mbps 5.5, 11 Mbps

IEEE 802.11 1997 IEEE 802.11a IEEE 802.11b IEEE 802.11g 1999

1999

2.4 GHz

2003

2.4 GHz

6, 9, 12, 18, 24, 36, 48, 54 Mbps

Tabela 3 - Tecnologias 802.11 Os cliente wireless so denominados supplicants. Os pontos de acesso ligam rede sem fios rede com fios, e os clientes sem fio ou supplicants ligam-se rede sem fio atravs de um dispositivo mvel. Dispositivos mveis podem ser um porttil, um telemvel, um PDA, ou outro dispositivo configurado para se comunicar com o ponto de acesso. O conjunto de estaes comunicando uns com os outros o conjunto de servios bsicos (BSS).

Figura 3- Exemplo de uma WLAN Podemos dividir a auditoria de uma WLAN em duas partes: a parte tcnica e a parte operacional. No que diz respeito auditoria da WLAN na sua componente tcnica, deve-se logo confirmar que os pontos de acesso tm a ultima verso do software instalado. Ao auditor deve avaliar isso com a ajuda do administrador e verificando mesmo a pgina do fabricante dos pontos de acesso. Depois verificar se existem ferramentas para gerir de forma centralizada a WLAN. Validar com o administrador as politicas usadas na definio de palavras chave (se se usar este tipo de autenticao), verificar a sua politica de autenticao. Do lado dos clientes mveis, verificar se tm os sistemas bsicos de proteco (no mnimo antivrus e firewall pessoal) quando se vo ligar na WLAN.

- 29 -

Mtodo de autenticao EAP-TLS (Transport Layer Security)

Descrio Este mtodo requer um certificado digital do cliente e servidor, e baseada numa forte autenticao mtua.

EAP-TTLS (Tunneled Transport Layer Este mtodo no usa certificados do lado do cliente, usado Security) em estruturas como o Microsoft Active Directory, usando um servidor TTLS frente do servidor de RADIUS. PEAP (Protected EAP) PEAP parecido ao EAP-TTLS; no entanto, o PEAP suportado pelo Windows XP e 2000 de forma nativa. Este mtodo no suporta uma autenticao mtua, nem recomendado para nenhuma rede sem fio. S deve ser usado em casos de emergncia, quando o resto tudo no funciona. Este mtodo s para implementaes Cisco. Ateno que este mtodo deu graves problemas de segurana no passado.

EAP-MD5

LEAP (Cisco-EAP Wireless)

Tabela 4 - Mtodos de Autenticao Deve ser avaliado de forma correcta o mtodo de autenticao que usado. Verificar com o administrador o uso de software de monitorizao e de processos. O auditor deve tambm verificar com o administrador se existem pontos de acesso no autorizados, atravs de software de monitorizao ou atravs dos registos de trfego na rede: atravs de software de wardriving procura sinais de pontos de acesso no autorizados, e softwares de busca atravs de endereos MAC. Quanto auditoria da WLAN na sua vertente operacional, devem-se verificar e analisar problemas que acontecem do lado do cliente mvel. Tm que se assegurar que os diversos procedimentos de segurana so seguidos: Todas as transmisses sem fios devem ser criptografadas para evitar escutas; Todos os pontos devem ter acesso firmware actualizado; Apenas pessoas autorizadas no grupo xyz (inserir nome) pode ter acesso directo ao controlo administrativo dos pontos de acesso; Apenas pessoas autorizadas no grupo xyz (inserir nome) pode instalar pontos de acesso; As senhas dos pontos de acesso devem seguir as polticas de segurana da empresa; Os nomes dos SSID, por defeito, no so permitidos ou difundidas; Todos os esforos sero feitos para reduzir a propagao das ondas de rdio fora da instalao; h) equipamentos mveis que tenham acesso rede devem utilizar programas antivrus e firewalls pessoais; Os dispositivos cliente devem usar IPSec nas VPNs da empresa; S dispositivos da empresa se podem ligar rede mvel e s para uso laboral.

- 30 -

O auditor deve ainda avaliar processos de recuperao de desastres de modo a ser possvel restaurar o acesso sem fios em caso de acontecer um desastre. Comeando novamente por analisar a auditoria na rea tcnica, deve-se avaliar o gateway com um administrador e verificar se o cdigo em execuo no gateway a verso mais recente, e proceder a essa validao consultando o site do fabricante. Deve-se verificar tambm se o dispositivo mvel tem algumas opes de proteco e se estas esto activadas caso sejam requisitas pela poltica de segurana da empresa. Determinar se a segurana dos equipamentos mveis so efectivas: devem estar protegidos com senha e devem ficar inactivas a partir de certo nmero de tentativas; os aparelhos devem poder ser bloqueados e desligados remotamente., uma senha deve ser pedida sempre que se ligue algo ao porto USB. Deve-se usar tambm um software de controlo e gesto da segurana para equipamentos mveis. Na auditoria, parte operacional, devemos assegurar a aplicao das regras de segurana em vigor na empresa, como: devem ser usados somente os equipamentos mveis definidos na empresa, sincronizao do aparelho e transferncia de dados como nosso computador pessoal no ser permitido, s com equipamentos aprovados. Devem ser sempre usados software de antivrus e ferramentas de criptografia Alm do j referido, recomenda-se que o equipamento, tenha o tempo limite de 30 minutos de inactividade. Tambm neste caso dever ter-se um processo de recuperao de desastres. (Champlain, 2003)
6.9. PROJECTOS

Uma correcta gesto de projectos numa organizao essencial para atingir os objectivos propostos, garantido o levantamento dos requisitos mais pertinentes, e tambm o seu teste e validao. Contribui tambm para a gesto eficiente de recursos e para o levantamento de todos os elementos/pessoas associadas ao projecto. Uma boa gesto de projecto no garante o sucesso da execuo do projecto, mas melhore significativamente essa probabilidade. A autoria a projectos tem como objectivos fundamentais, assegurar: Todas as partes interessadas esto envolvidas no desenvolvimento de requisitos e testes do sistema e nesta fase garantir uma comunicao eficaz entre todos os intervenientes. A incapacidade de recolher as necessidades dos clientes e obter envolvimento do cliente, leva ao desenvolvimento de software, sistemas e processos no se alinham com necessidades de negcio. Questes, oramentos, metas, entre outros so registados, uma linha base (baseline) construda e monitorizada no desenrolar do projecto. Sem estes mecanismos, mais facilmente se cometem falhas, ultrapassar prazos e/ou o oramento. Ocorrem e so programados testes efectivos, que so validados segundo o documento de requisitos. Testes inadequados levam a sistemas instveis de fraca qualidade, sem corresponder as exigncias dos clientes. Documentao apropriada desenvolvida e mantida. A formao adequada fornecida aos utilizadores finais. Formao inadequada conduz a sistemas, processos e software que so utilizados indevidamente

Uma auditoria de projecto pode ser dividida em sete fases principais:

- 31 -

Gesto contnua de projecto - esta fase abrange os mecanismos que devem ser utilizadas ao longo do projecto, tais como a monitorizao, os documentos relativos ao projecto, e mudanas na gesto. Arranque do projecto - requisitos para a recolha e concepo inicial. Este tpico cobre o nascimento de um projecto, quando a necessidade de que o projecto est estabelecido, as exigncias so recolhidas, bem como a concepo inicial e estudos de viabilidade so realizados. Desenho detalhado e desenvolvimento do sistema esta parte abrange a parte laboriosa do projecto, onde o cdigo escrito, o produto adquirido ou implementado, os processos so desenvolvidos, etc. Testes - esta a parte do projecto onde o sistema, o software, ou processo testado para garantir que ele cumpre os requisitos. Implementao - esta parte do projecto implica, obviamente, a execuo ou a instalao do sistema, o software, ou processo em um ambiente de produo. Formao - este tpico cobre as actividades de formao para utilizadores finais sobre a utilizao do sistema, o software, ou processo que tem sido desenvolvido e implementado. Manuteno - Este tpico cobre actividades ps implementao.

O auditor deve avaliar cada fase do projecto se fizer sentido, depende muito de como o projecto gerido. crtico que o auditor compreenda a metodologia de projecto que esta a ser usada, para assim ajustar a sua avaliao e anlise. Pe exemplo, no caso de se usar desenvolvimento incremental, onde cada fase do projecto executada vrias vezes, o auditor poder ter de avaliar as fases paralelamente e provavelmente vrias vezes. A formas de avaliao de um projecto em geral so semelhantes independentemente da metodologia de projecto usada, porm a correspondncia entre determinada fase de projecto e o coordenar o timing de avaliao mais difcil nuns projectos do que em outros. Parte do planeamento da auditoria dever ser entender a metodologia de projecto usada e determinar a melhor calendarizao para executar o plano de auditoria. Os auditores devem averiguar qual a ferramenta de gesto de projecto usada e familiarizar-se com ela e com a sua terminologia. Isto ir permitir que o auditor fale a mesma linguagem que as pessoas que ele vai auditar. O auditor dever avaliar a documentao do projecto e verificar se a produzida a suficiente e que as regras de gesto de projectos da empresa esto a ser seguidas. O auditor dever realizar entrevistas com os elementos da equipa de projecto e averiguar os processos de actualizao da documentao e verificar evidncias de que essas actualizaes esto a ser realizadas. Deve tambm verificar que a edio da documentao s est disponvel para as pessoas que podem proceder a essa edio, i.e. verificar a segurana de acesso aos documentos e avaliar os processos de alterao de documentos. Deve ser verificado se existem processos efectivos de deteco de falhas no projecto e que estas so escaladas para o destinatrio correcto e que possvel avaliar o estado das mesmas em qualquer altura. Tambm ter de existir um processo de gesto de alteraes ao projecto, bem como a atribuio de prioridades. Verificar se o plano de calendarizao do projecto suficientemente detalhado. Assegurar que existe um acompanhamento permanente da execuo do projecto, que permita detectar os custos

- 32 -

e a progresso das tarefas. O auditor deve garantir que na equipa de projecto h um balanceamento entre pessoas da rea do negcio e pessoas das tecnologias de informao. O documento de requisitos devera ser revisto e reavaliado, para confirmar se os requisitos do cliente esto a ser cumpridos. Em conjunto com esta tarefa o auditor poder avaliar o processo que estabelece a prioridade de cada um dos requisitos. Se o projecto envolve a aquisio de produtos ou software, o auditor dever auditar o processo de seleco do vendedor e os contratos associados. Verificar que todos os patrocinadores do projecto fizeram o sign-off do documento detalhado do desenho do projecto. Reviso dos processos que asseguram o envolvimento do cliente na prioritizao das tarefas do projecto. Verificar evidncias de reunies de equipa na fase de desenho e desenvolvimento. Quanto aos testes o auditor dever confirmar que os estes esto a ser realizados num ambiente de desenvolvimento/teste e nunca no sistema de produo. Rever e avaliar o processo de realizao de testes. Assegurar-se de que o projecto tem um plano de testes adequado e que o mesmo esta a ser seguido. O auditor dever verificar que todos os requisitos esto mapeados, tm correspondncia no documento de casos de teste. Assegurar o envolvimento dos utilizadores na realizao dos testes e concordam que o sistema tem os requisitos mnimos para os poderem efectuar. Estes testes devem ser acompanhados, numa fase inicial, por um elemento da rea das TI. Verificao dos testes de aceitao efectuados pelos utilizadores e que os procedimentos de segurana foram cumpridos. O auditor deve assegurar-se de que existe um processo que regista, avalia e escala os problemas encontrados na fase de implementao e que so resolvidos. Verificar que existe um processo de passagem do projecto para suporte e que existe uma equipa de suporte j definida. O auditor deve confirmar que existe a documentao necessria para as operaes do dia-a-dia, bem como para a realizao de suporte e manuteno do sistema. Avaliao dos processos de actualizao da documentao que permitam que esta sempre actualizada. Por fim, dever ser verificado o planeamento de formao e que este corresponde a uma formao vlida e eficaz no novo sistema para os utilizadores. Confirmar a existncia de manuais de formao e de outros documentos que permitam os utilizadores efectuar as suas tarefas dirias e que esclaream algumas dvidas que porventura surjam. (Champlain, 2003)

- 33 -

7.

C O N C LU S E S

Para se poderem tirar concluses sobre Auditoria a SI necessrio falar em primeiro da necessidade da existncia da funo de Gesto de SI e aqui nos nossos dias irrefutvel a ideia da no existncia da mesma. O enquadramento dos sistemas de informao dentro das Organizaes na actualidade, e a importncia para que os objectivos das mesmas sejam alcanados, faz da boa gesto dos sistemas de informao uma necessidade de primeira ordem no topo da gesto da prpria Organizao. Esta necessidade e premncia em possuir uma boa gesto dos sistemas de informao, j advm de alguns anos a esta parte e como qualquer departamento/diviso/seco importante de uma Organizao, tambm a Gesto de Sistemas de Informao comeou a ter necessidades de ser controlada (ateno evoluo da auditoria a SI). Gesto de Sistemas de Informao a Gesto do Recurso Informao e de todos os recursos envolvidos no planeamento, desenvolvimento, explorao e manuteno do SI (Amaral, 1994) Por esta afirmao de Amaral, podemos ento passar concluso da necessidade da existncia do departamento ou funo de auditoria interna. Pela definio qual chegmos de que uma auditoria a SI, ser uma componente de controlo de risco, uma garantia de funcionalidade e de resultados pretendidos assim como de qualidade de informao, consegue-se ver que far nitidamente parte da gesto de SI. Agarrando na definio de Amaral podemos ento fazer as seguintes identificaes: Gesto do Recurso Informao: Aqui atravs de uma auditoria a SI conseguir-se-o identificar as informaes pertinentes e importantes na Organizao, os mtodos e riscos, assim como controla-las e tirar o mximo partido. Recursos de planeamento, desenvolvimento, explorao e manuteno: Neste aspecto, depois da identificao dos pontos de informao e dos riscos, implementao de controlo, dever existir ou imaginvel a existncia de auditoria interna, da funo constante de controlo de controlos para garantia de funcionamento, qualidade e poupana.

Pois, conclui-se que auditoria interna a SI, foge da ideia de perseguio, e aproxima-se da ideia de controlo e consultadoria, conseguindo garantir a manuteno da qualidade do SI, assim como a sua constante melhoria derivado a todas as particularidades faladas ao longo deste trabalho. All one has to do is take the initiative and begin the fascinating and rewarding journey through the profession of helping organizations control the risks posed by the never-ending supply of new IS technologies being introduced in the marketplace. In fact, one of the biggest challenges IS auditors face is keeping knowledge current with rapidly changing technology while still monitoring the controls and security over existing technologies. (Champlain, 2003)

- 34 -

8.

B I B L I OG R A FI A

Amaral, L. A. (1994). PRAXIS Um Referencial para o Planeamento de Sistemas de Informao. Braga: Universidade do Minho. Araujo, E. E. (2005). A vulnerabilidade humana na segurana da informao. Uberlandia Minas Gerais: UniMinas. Asthon, B. (Dezembro de 2001). A view of International IT Security Standards: The EDP Audit. Control and Security Newsletter , p. 29:6. Cangemi, M. P., & Tommie, S. (2003). Managing the Audit Function: A Corporate Audit Department Procedure. Wiley, John & Sons, Incorporated. Champlain, J. J. (2003). Auditing Information Systems. John Wiley & Sons. Davis, C., Schillerand, K., & Wheeler, K. (2007). IT Auditing: Using Controls to Protect Information Assets. McGraw-Hill. IIA. (2005). Guide 1: Information Technology Controls. Obtido em 18 de Novembro de 2008, de The Institute of Internal Auditors: http://www.theiia.org/download.cfm?file=70284 IIA. (2004). What is internal auditing? Obtido em 18 de Novembro de 2008, de The Institute of Internal Auditores: http://www.theiia.org/theiia/about-the-profession/internal-auditfaqs/?i=1077 McCuaig, B. (Junho de 1998). Auditing, assurance, & CSA - control self-assessment - includes related articles on CSA approaches, assurance strategies and definition of controls. Obtido em 12 de Novembro de 2008, de Bnet Business Network: http://findarticles.com/p/articles/mi_m4153/is_n3_v55/ai_20860224 Oliveira, J. A. (2006). Mtodo de Auditoria a Sistemas de Informao. Porto: Porto Editora. Parker, X. L., & Grahan, L. (2008). Information Technology Audits (2008). CCH Incorporated . Pereira, E. D., Fagundes, L. L., Neukamp, P., Ludwig, G., & Konrath, M. (2007). Forense Computacional: fundamentos, tecnologias e desafios atuais. Universidade do Vale do Rio dos Sinos. Piattini, M. (1999). Auditing Information Systems. Idea Group Publishing. Poore, R. S. (2000). What Recruiters and Staffing Agencies Say about Trends in IS Auditing - Information Systems Control Journal, Volume 5, 2000. Obtido em 18 de Novembro de 2008, de ISACA - Serving IT Governance Professionals: http://www.isaca.org/Template.cfm?Section=Journal&CONTENTID=17575&TEMPLATE=/ ContentManagement/ContentDisplay.cfm Santos, C., Vasconcelos, A., & Tribolet, J. (Novembro de 2004). Da Framework CEO Auditoria de Sistemas de Informao. 5 CAPSI . Lisboa: INESC-ID Instituto de Engenharia de Sistemas e Computadores Investigao e Desenvolvimento em Lisboa. Services, T. E. (nd). Training Education Services - Downloads e Simulados. Obtido em 10 de Outubro de 2008, de Training Education Services: http://www.trainning.com.br/download/Apostila_ITIL_Cobit.pdf

- 35 -

Silva, P. M. (2007). A Funo Auditoria de Sistemas de Informao: Modelo Funcional e de Competncias. Braga: Universidade do Minho - Escola de Engenharia. Wikipedia. (2008). Cobit. Obtido em 20 de Novembro de 2008, de Wikipdia - A enciclopdia livre: http://pt.wikipedia.org/wiki/Cobit Wikipdia. (2008). Information Technology Infraestruture Library. Obtido em 20 de Novembro de 2008, de Wikipdia - A enciclopdia livre: http://pt.wikipedia.org/wiki/ITIL Wikipdia. (2008). ISO 27001. Obtido em 20 de Novembro de 2008, de Wikipdia - A enciclopdia livre: http://pt.wikipedia.org/wiki/ISO_27001

- 36 -