Segurana de Sistemas WEB

Wagner Medeiros

Segurana e Auditoria de Sistemas

Auditoria da Tecnologia da Informao

Auditoria da Tecnologia da Informao

A Auditoria da TI uma auditoria operacional, analisa a gesto de recursos, com o foco nos aspectos de eficincia, eficcia, economia e efetividade. A abrangncia desse tipo de auditoria pode ser o ambiente de informtica como um todo ou a organizao do departamento de informtica

Auditoria - Ambiente de Informtica

Segurana dos outros controles;

Segurana fsica;
Segurana lgica; Planejamento de contingncias; Operao do centro de processamento de dados.

Auditoria Organizao do Departamento de Informtica

Aspectos administrativos da organizao; Polticas, padres, procedimentos,

responsabilidades organizacionais, gerncia

pessoal e planejamento de capacidade; Banco de dados; Redes de comunicao e computadores; Controle sobre aplicativos:
Desenvolvimento, Entradas, processamento e sadas.

Sub-reas da Auditoria de TI
Auditoria da tecnologia da informao

Auditoria da segurana de informaes

Auditoria de aplicativos

Auditoria da Tecnologia da Informao

abrangente, engloba todos os controles que podem influenciar a segurana de informao e o correto funcionamento dos sistemas de toda a organizao:
Controles organizacionais; De mudana; De operao de sistemas; Sobre Banco de Dados; Sobre microcomputadores;

Sobre ambiente cliente-servidor.

Auditoria da Segurana de Informaes

Determina a postura da organizao com relao segurana. Avalia a poltica de segurana e controles relacionados com aspectos de segurana institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve:
Avaliao da poltica de segurana; Controles de acesso lgico;

Controles de acesso fsicos;

Controles ambientais; Planos de contingncia e continuidade de servios.

Auditoria de Aplicativos
Segurana e controle de aplicativos especficos, incluindo aspectos intrnsecos rea a que o aplicativo atende:
Controles sobre o desenvolvimento de sistemas
aplicativos; Controles de entradas, processamento e sada de

dados;
Controle sobre contedo e funcionamento do aplicativo, com relao rea por ele atendida.

Segurana e Auditoria de Sistemas

Equipe de Auditoria

Gerente da Equipe
Habilidade para recrutar ou formar profissionais com nvel adequado de capacitao tcnica em auditoria e TI; determinar forma de atingir a capacitao e os mtodos de treinamento mais eficazes.

Gerente da Equipe
Conhecimentos necessrios:
Conhecimento na rea (se possvel experincia anterior) Cpd, desenvolvimento de sistemas, pesquisa aplicada,

fornecedor de hardware, software ou servios de consultoria

tcnica de informtica. Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Avaliao da necessidade de um nvel de conhecimento mais especializado e aprofundado para a realizao da auditoria. Dependendo do mbito (abrangncia, profundidade) diferentes nveis de conhecimento podem ser exigidos, supridos pela equipe bsica (interna) com treinamentos ou contratao de mo-de-obra especializada.

Gerente da Equipe
Conhecimentos tcnicos:
Sistemas operacionais, Software bsico, Banco de dados, Processamento distribudo,

Software de controle de acesso,

Segurana de informaes, Plano e contingncia, e de recuperao e

Metodologias de desenvolvimento de sistemas.

Gerente da Equipe
Conhecimentos em auditoria:
Tcnicas de auditoria, Software de auditoria e extrao de dados

Outras capacidades relevantes:

Princpios ticos, Bom relacionamento, Comunicao oral e escrita, Senso crtico, Conhecimento especfico na rea (finanas, pessoal, estoque...)

Composio da Equipe
Opes para a formao da equipe:

Consultoria externa
Desenvolver a capacidade tcnica de TI nos

auditores
Desenvolver tcnicas de auditagem no pessoal de TI
Dependendo do tamanho da organizao, capacidade dos profissionais, prazos, objetivos e relao custo - beneficio uma das alternativas ser eleita.

Consultoria Externa
Analise (custo, alta capacidade, independncia, durao, investimento pessoal, extenso do trabalho) Consultores externos somente para tarefas especficas (conhecimento especializado). Pontos crticos: custos, contrato e controle sobre atividades.
Definio de objetivos precisos e pontos de controle.

Recomendvel: bom relacionamento, transferncia de conhecimentos. Ao trmino da auditoria: avaliao dos servios (opinies dos consultores, dos membros da equipe e da gerencia da organizao), com o objetivo de evitar as mesmas falhas no futuro.

Segurana e Auditoria de Sistemas

Planejamento e Execuo

Etapas da atuao do auditor de sistemas

1.Compreenso do ambiente 2.Anlise do ambiente e determinao das situaes mais sensveis 3.Elaborao de uma massa de testes 4.Aplicao da massa de testes 5.Anlise das situaes 6.Emisso da opinio quanto ao ambiente auditado 7.Debate com os profissionais da rea auditada para discusso das alternativas recomendadas 8.Acompanhamento da implantao da soluo proposta 9.Auditoria da soluo implantada 10. Novas auditorias no ambiente

Planejamento de atividades
Plano estratgico de longo prazo Plano estratgico de mdio prazo Plano operacional

Planejamento estratgico de longo prazo

Perodo de 3 a 5 anos, objetivos amplos, abrange toda a instituio, aprovado pela alta gerncia. Define metas de gerencia de auditoria da TI:
Modo de atuao, Recursos (pessoal, equipamento, recursos financeiros), Necessidade de treinamento.

aconselhvel anualmente.

revisar

atualizar

plano

Planejamento estratgico de mdio prazo

Programa das atividades anuais gerados pelo plano de longo prazo, aprovado pela gerncia intermediria.

Define os objetivos macros das auditorias do ano seguinte, deve ser flexvel para aceitar alteraes necessrias.

Plano operacional
Baseia-se nas auditorias individualizadas, contm detalhes exatos: objetivos a serem atingidos, reas a serem auditadas, recursos necessrios, prazos, objetivos de controle e procedimentos a serem seguidos. Plano especfico de uma determinada auditoria.

Fases de uma auditoria genrica:

Levantamento de auditoria

Coleta de dados
Anlise de dados

Opinio tcnica

Planejamento e Execuo
Na fase de planejamento, so identificados os instrumentos necessrios a sua execuo: Recursos, rea de verificao, Metodologia, Objetivos de controle, Procedimentos, Pesquisa de fontes de informao, Acordo com a gerncia.

Planejamento e Execuo
Pesquisa de fontes de informao Informaes necessrias a elaborao do plano:

Plataforma de hardware, Sistemas operacionais, Tipo de processamento, Metodologia de desenvolvimento, Principais sistemas, Entre outras

Planejamento e Execuo
Fontes: Relatrios de auditorias anteriores, Base de dados, Documentos ou pginas da entidade na Internet, Notcias publicadas na imprensa, Visitas anteriores e Relatrios de auditoria interna.

Definindo campo, mbito e sub-reas

A partir das informaes iniciais definido o campo (objeto, perodo e natureza) Objeto: Sistema computacional especfico (um ou vrios), Departamento de informtica, Toda a organizao Polticas de informtica Segurana de informao Perodo: Ms, semestre, ano, perodo fiscal Depende do mbito (grau de profundidade) No confundir com prazo Natureza: Auditoria de TI Enfoque operacional Aspectos econmicos, Eficincia e eficcia

Definindo campo, mbito e sub-reas

mbito: Amplitude Exausto Limitao racional

rea:
Delimita os temas da auditoria: rea de verificao. funo do objeto e da natureza da auditoria. Pode ser subdividida em subreas. Controles de acesso, Backup, Desenvolvimento de sistemas, Etc.

Definindo campo, mbito e sub-reas

Uma vez definido campo, mbito e sub-reas, as fontes de informaes devem ser revistas para consultas especializadas:
Livros tcnicos, Manuais de auditoria,

Artigos especializados,
Sites na Internet especializados em segurana, Outras reas especializadas.

Acordo com a gerncia

Com o intuito de garantir um bom trabalho dos auditores e um resultado esperado pela organizao, os detalhes do plano devem ser bem entendidos pela gerencia da instituio. Falsas expectativas Definies claras Recursos necessrios Humanos, Econmicos e Tcnicos