Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria e Segurança de Sistemas
Auditoria e Segurança de Sistemas
APOSTILA
AUDITORIA E SEGURANA DE SISTEMAS
PROFESSORA MISLENE DALILA DA SILVA
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-1-
Conceitos de bsicos
A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua
conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas
ou padres.
A atividade de auditoria pode ser divida em trs fases: planejamento, execuo e relatrio.
Campo, mbito e rea.
O campo da auditoria compe-se de aspectos como: objeto a ser fiscalizado, perodo e
natureza da auditoria.
Objeto: entidade a ser auditada (completa ou parcialmente, rgo ou funo).
Perodo: espao de tempo sobre o qual a auditoria ir atuar.
Natureza: o tipo de auditoria executada numa entidade.
O mbito da auditoria constitui-se da amplitude e exausto dos processos de auditoria,
incluindo uma limitao racional dos trabalhos a serem executados, nvel de
aprofundamento e grau de abrangncia.
A rea de verificao o conjunto formado por campo e mbito de auditoria. A rea
delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e
da natureza da auditoria.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-2-
Camp
o
rea de
Verificao
Perodo
Natureza
mbit
o
Sub 1
Sub 2
Sub 3
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-3-
-4-
o
o
o
o
-5-
Auditoria de aplicativos
Segurana e controle de aplicativos especficos, incluindo aspectos intrnsecos rea a que
o aplicativo atende:
Controles sobre o desenvolvimento de sistemas aplicativos;
Controles de entradas, processamento e sada de dados;
Controle sobre contedo e funcionamento do aplicativo, com relao
rea por ele atendida.
EQUIPE DE AUDITORIA
Gerente da equipe:
Habilidade para recrutar ou formar profissionais com nvel adequado de capacitao
tcnica em auditoria e TI; determinar forma de atingir a capacitao e os mtodos de
treinamento mais eficazes.
Conhecimento necessrios
Conhecimento na rea (se possvel experincia anterior)
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-6-
Consultoria externa
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-7-
-8-
-9-
- 10 -
- 11 -
Opinio tcnica o auditor de sistemas pode ser requisitado a dar sua opinio
tcnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de
dados.
J o envolvimento entre auditores de sistemas generalistas e especialista bem mais
prximo. No caso de auditorias da TI feitas por auditores generalista, a equipe de
especialistas em TI deve dar todo o suporte necessrio, seja elaborando manuais de
orientao, repassado os conhecimentos tcnicos bsicos, esclarecendo suas dvidas ou
atendendo s solicitaes de consultoria, quando for preciso. A troca de experincias
deve ser estimulada pela gerncia.
PLANEJAMENTO E EXECUO
PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensveis sua
realizao. Alm de estabelecer os recursos necessrios execuo dos trabalhos de
auditoria, a rea de verificao, as metodologias, os objetivos de controle e os
procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de
informao sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerncia.
Pesquisa de Fontes de Informaes
Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possvel de
informaes sobre a entidade auditada e seu ambiente de informtica (plataforma de
hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento,
principais sistemas, etc.). Com essas informaes poder esboar seu plano de auditoria e
partir para a fase de delimitao dos trabalhos.
Esse conhecimento prvio do ambiente de informtica da entidade auditado permite ao
auditor ter uma noo do grau de complexidade de seus sistemas e, ento, estabelecer os
recursos e os conhecimentos tcnicos necessrios equipe da auditoria.
Saber com antecedncia o tipo de ambiente computacional com o qual o auditor vai se
deparar , sem dvida, bastante vantajoso, j que haver mais tempo para se preparar
tecnicamente ou para incluir um especialista na equipe.
A equipe precisar manter contato e entrevistar pessoas-chaves da entidade.]
As principais fontes de informaes sobre a entidade auditada so relatrios de auditorias
anteriores, base de dados, documentos ou pginas da entidade na Internet, notcias
veiculadas na imprensa, visitas anteriores entidade e relatrios da auditoria interna.
Definindo Campo, mbito e Sub-reas
A partir do momento em que foi decidida a realizao de uma auditoria e j existem
informaes suficientes sobre a entidade e seu ambiente computacional, a equipe delimita
sua atuao, definindo o campo, o mbito e as sub-reas a serem auditadas. O campo da
auditoria composto por objeto, perodo de fiscalizao e natureza.
No caso de auditorias de informtica, a natureza auditoria da tecnologia da informao,
quase sempre com enfoque operacional (exame dos aspectos econmicos, de eficincia e
eficcia). O objeto auditado pode englobar um sistema computacional especfico; uma,
vrias ou todas as sees do departamento de informtica; ou at mesmo toda a
organizao (em termos de polticas de informtica e segurana de informaes ou nos
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 12 -
De 01/01/2007 a
01/07/2007
Auditoria da TI
Avaliao da
eficcia dos
controles
Controles de
acesso fsico
Backup
Controles de
Acesso Lgico
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 13 -
Recursos humanos
Recursos econmicos
Recursos tcnicos
METODOLOGIAS
Entrevistas
o Entrevistas de apresentao
- Apresentao da equipe, cronograma das atividades, objetivos, reas,
perodo, metodologias. Estrutura do relatrio (resultado da auditoria).
o Entrevistas de coleta de dados
- Coleta de dados sobre os sistemas ou ambiente de informtica. Nessa
entrevista podem ser identificados os pontos fortes e fracos de controle,
falhas e possveis irregularidades. O entrevistado deve saber de antemo
como sero usados esses dados e conhecer o relatrios a cerca da entrevista.
o Entrevistas de discusso de deficincias encontradas
- Ao trmino das investigaes so apresentadas as deficincias
encontradas. Ao discuti-las podem ser apresentadas justificativas para essas
deficincias, podendo ser desconsiderada as falhas ou relatadas as
justificativas.
o Entrevista de encerramento
apresentado o resumo dos resultados (pontos fortes, falhas mais
relevantes, comentrios, recomendaes).
- 14 -
Materialidade
computacionais.
alto
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 15 -
sistemas
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 16 -
Relatrio final
O relatrio final deve se revisado por toda a equipe de auditores, a fim de evitar
inconsistncias, erros ou lacunas em relao aos padres e prticas da organizao
auditada. Uma crtica externa, tambm e conveniente nesse ponto.
Estrutura
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 17 -
Definio da equipe
1. Passo - escolher equipe: perfil e histrico profissional, experincia na
atividade, conhecimentos especficos, formao acadmica, lnguas
estrangeiras, disponibilidade para viagem, etc.
2. Passo - programar a equipe: gerar programas de trabalho, selecionar
procedimentos apropriados, incluir novos procedimentos, classificar
trabalho por visita, orar tempo e registrar o realizado.
3. Passo - executar trabalho - dividir as tarefas de acordo com a formao,
experincia e treinamento dos auditores, efetuar superviso para garantir a
qualidade do trabalho e certificar que as tarefas foram feitas corretamente.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 18 -
Documentao do trabalho
1. Relatrio de fraquezas de controle interno
Objetivo do projeto de auditoria, pontos de controle auditados, concluso
alcanada a cada ponto de controle, alternativas de soluo propostas.
2. Certificado de controle interno
Indica se o ambiente est em boa, razovel ou m condio em relao aos
parmetros de controle interno. Apresenta a opinio da auditoria em termos
globais e sintticos.
3. Relatrio de reduo de custos
Explicita as economias financeiras a serem feitas coma a aplicao das
recomendaes efetuadas. Base para a realizao das anlises de retorno de
investimento e do custo/benefcio da auditoria de sistemas.
4. Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e
serve como referncia para futuras auditorias. Compe-se de toda a
documentao anterior j citada.
5. Pastas contendo a documentao da auditoria de sistemas
Contem toda a documentao do ambiente e dos trabalhos realizados como:
relao de programas, relao de arquivos do sistema, relao de relatrios e
telas, fluxos, atas de reunies, etc.
Apresentao dos resultados
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 19 -
Simulao de dados
Responsabilidades Organizacionais
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 20 -
- 21 -
Estratgia de Informtica
O comit de informtica ou a alta gerncia, aps inmeras discusses, formaliza a
estratgia de informtica organizao em um documento conhecido como plano diretor
de informtica ou estratgia de informtica. Esse documento serve como base para
qualquer investimento na rea de informtica, j que traa os objetivos e projetos futuros
da organizao.
O maior risco associado falta ou ineficincia de uma estratgia de informtica o
desenvolvimento de sistemas que no satisfaam os objetivos de negcio da organizao,
acarretando perdas econmicas e investimentos sem resultado.
interessante que a equipe de auditoria tenha conhecimento do plano estratgico da
entidade para reunir informaes importantes ao planejamento de futuras auditorias. A
equipe poder saber o direcionamento que ser dado ao ambiente computacional da
entidade nos prximos anos.
Em sua anlise, necessrio que o auditor considere o tamanho da organizao e a
importncia da informtica para a continuidade de seus negcios e sua sobrevivncia no
mercado. Com relao ao plano estratgico, o auditor deve analisar o relacionamento entre
a estratgia de informtica e a estratgia de negcios da organizao e as previses de
mudanas a curto e mdio prazos. importante tambm verificar a forma de divulgao do
plano e seu nvel de aprovao. Por se tratar de um plano estratgico, normalmente deve
ser aprovado pela alta gerncia.
- 22 -
- 23 -
Seleo de Pessoal
As polticas de seleo de pessoal devem ser definidas de tal maneira que a equipe seja
composta de pessoas confiveis, com nvel tcnico compatvel com sua atividades, de
preferncia, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo
garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As polticas
podem se aplicadas tanto na contratao temporria de prestadores de servios ou
consultores. Em alguns casos, a contratao de pessoal deve ainda atender a requerimentos
legai, tais com exigncia de concursos pblicos para quadros do governo e apresentao de
certificados tcnicos emitidos por associaes profissionais.
Nas contrataes de novos funcionrios, normalmente so analisadas suas referncias,
incluindo empregos anteriores, formao profissional, experincia tcnica e ficha criminal.
recomendvel instituir um acordo de confidencialidade e cdigos de conduta. Os novos
contratados devem ter conhecimento de suas responsabilidade e de seu papel na
organizao. O mesmo cuidado deve ser tomado na contratao de consultores ou
prestadores de servios.
Treinamento
A gerncia deve manter seu quadro de profissionais tecnicamente atualizado e apto a
desempenhar suas funes atuais e futuras, de acordo com o plano estratgico de
informtica. importante estimular a toca de experincias e o repasse de conhecimentos
adquiridos a outros membros da equipe, dessa forma, a capacitao profissional se
multiplica internamente na organizao e o conhecimento no fica restrito a uma nica
pessoa ou grupo.
Avaliao de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e
padres preestabelecidos. Toda avaliao intrinsecamente subjetiva, pois, envolve
aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa
subjetividade, aconselhvel que o processo avaliativo se baseie em critrios mais
objetivos, levando em considerao formao profissional, nvel de responsabilidade,
experincia, treinamento, conduta e consecuo de metas.
Rodzio de Cargos e Frias
O rodzio de cargos e a instituio de frias regulares podem atuar como controles
preventivos contra fraudes ou atividades no autorizadas. O funcionrio, sabendo que outra
pessoa pode, de uma hora para outra, exercer suas funes e detectar irregularidades por
ele cometidas, ficar menos inclinado a praticar atos no autorizados ou fraudulentos.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 24 -
- 25 -
- 26 -
- 27 -
- 28 -
Possveis indenizaes, no caso de perdas provocadas por uma das partes quebra
de segurana de acesso a informaes confidenciais, violao de direitos de
copyright ou de propriedade intelectual, etc.
Direitos de propriedade intelectual deve ser estabelecido quem ter direitos sobre
o software desenvolvido ou mantido pelo prestador de servios.
- 29 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 30 -
Controles de Mudanas
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, quase
certo que ser necessrio, de tempos em tempos, atualizar a plataforma de hardware, a
verso do sistema operacional ou incorporar melhorias no cdigo das aplicaes
desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanas ou
detectar fraudes durante a fase de transio, importante controlar o processo de
mudanas. Todas as alteraes devem ser autorizadas, documentadas, testadas e
implementadas de forma controlada. Para tanto, as organizaes devem definir um
procedimento padro de mudanas, o qual nortear todo o processo. imprescindvel
garantir que a mudana no comprometa a funcionalidade do sistema alm dos limites
previamente definidos.
O que Pode Provocar uma Mudana?
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 31 -
Insatisfao dos usurios com aspectos do sistema, tais como: telas de interface
pouco amigveis, navegao confusa entre as diversas telas, baixo tempo de
resposta, constante indisponibilidade, dados incorretos nos relatrios gerados, etc.
- 32 -
- 33 -
Lista de Verificaes
Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de
verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa
gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para
implementar os controles de mudanas. Para a equipe de auditoria, essas mesmas
verificaes podem servir como procedimento de auditoria a serem adotados.
A lista proposta abaixo no tem a pretenso de cobrir todos os pontos a serem verificados.
Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem
compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-las como um ponto de
partida na elaborao de sus prprias listas de verificaes.
Lista de Verificaes
Controle de mudanas:
Documentar todas as modificaes e implement-las apenas se aprovadas pela
gerncia.
Avaliar o impacto das mudanas antes de implement-las e o efeito da sua no
implementao.
Definir os recursos necessrios para implementar a alterao e os recursos
futuros necessrios para sua manuteno.
Testar exaustivamente os programas antes de coloc-los em produo.
Preparar um plano de restaurao da situao anterior, caso algo d errado na
implantao da mudana.
Estabelecer procedimentos para alteraes de emergncia.
Aps os testes e a aprovao, impedir qualquer nova alterao. Se esta for
necessria, deve ser submetida a novos testes e aprovao.
Planejar a mudana de forma a minimizar o impacto no processamento normal
dos sistemas e servios prestados aos usurios.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 34 -
- 35 -
- 36 -
- 37 -
- 38 -
- 39 -
- 40 -
- 41 -
- 42 -
- 43 -
- 44 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 45 -
O LSA, para realizar seus objetivos de segurana, utiliza os servios providos pelos outros
componentes do subsistema.
Gerenciador de Informaes de Segurana Security Account Manager (SAM)
Esse componente mantm uma base de dados de segurana com informaes de todas as
contas de grupo e usurios. Apesar de ser transparente ao usurio, o SAM presta, ao LSA,
os servios de validao de usurios, comprando as informaes digitadas no processo de
logon com as informaes anteriormente armazenadas na base de dados. Dependendo da
arquiterura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma
base SAM para cada estao de trabalho ou domnio. A validao, nesse caso, pode ocorrer
de forma centralizada (na base SAM da mquina controladora do domnio) ou
descentralizada (na base SAM da estao de trabalho).
Monitor de Segurana Security Reference Monitor (SRM)
O monitor de segurana tem como funo garantir o cumprimento das polticas de
validao de acesso e de gerao de logs de auditoria estabelecidas pelo subsistema LSA,
protegendo recursos e objetos contra acesso ou alteraes no autorizadas. Para tanto, o
monitor valida o acesso a arquivos e diretrios, testa os privilgios de aceso dos usurios e
gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a
objetos. Para poder acessar qualquer objeto, o usurio submetido, de forma transparente,
validao do SRM. O SRM compara as informaes do descritor de segurana do objeto
pretendido com as informaes de segurana da token de acesso do usurio e toma a
deciso se o acesso deve ser permitido ou no.
Processo de Logon
A inteno do NT com o usurio inicia-se com uma medida de segurana preventiva.
Antes de fornecer seus dados, o usurio orientado a pressionar simultaneamente as teclas
CTRL+ALT+DEL, a fim de detectar aplicativos rodando em segundo plano (background).
O processamento em background um artifcio bastante utilizado por cavalos de Tria, na
tentativa de capturar as informaes de logon do usurio. Em seguida, apresentada a tela
de autorizao, na qual o usurio preenche sua identificao, senha e domnio ou servidor
que pretende acessar. Essa fase do logon s ser realizada com sucesso se a identificao e
a senha do usurio estiverem corretas. Se apenas uma delas estiver certa, o NT envia
mensagem de falha de autorizao do usurio, sem indicar o campo incorreto. Esse
procedimento tambm uma medida preventiva, no caso de pessoas no autorizadas
estarem tentado adivinhar os dados de um usurio.
A fase seguinte a da autenticao do usurio. As informaes digitadas pelo usurio so
repassadas pelo subsistema de segurana (LSA) ao gerenciador de informaes de
segurana (SAM), o qual as compara com as informaes da base de contas de usurios do
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 46 -
- 47 -
Grupos
No NT, o administrador, na definio e manuteno de direitos e permisses de acesso,
pode estabelecer trs nveis de contas:
Contas de usurio cada usurio tem uma conta protegida por senha, associada a
direitos e permisses de acesso individualizados. As contas podem ser definidas
localmente ou em nvel de domnio;
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 48 -
Assim como no caso das contas de usurios, tambm h grupos que merecem uma ateno
especial do auditor e da equipe de segurana, tais como os grupos de administrador e de
operadores do servidor, por terem acesso privilegiado ao sistema, na execuo de vrias
tarefas administrativas e de segurana, e usurios guest, pro serem capazes de acessar a
rede sem necessidade de senha.
Domnios e Relacionamento de Confiana
Um domnio um conjunto de computadores, agrupados por motivos administrativos, que
compartilham uma base de dados de usurios e uma poltica de segurana, facilitando a
gerncia e o controle de segurana da rede. Em um domnio, cada usurio tem uma nica
conta para acessar a rede a partir de qualquer computador do domnio. O administrador,
por sua vez, precisa manter apenas uma conta para cada usurio e estabelecer uma nica
poltica de segurana para todo o conjunto.
A mquina controladora do domnio mantm uma base de dados contendo os nomes de
contas e senhas de todos os usurios registrados no domnio. Uma vez que o usurios tenha
sua conta nessa bases de dados, o controlador permitir seu logon em qualquer mquina
associada quele domnio.
Em redes mais complexas, com inmeros domnios, a segurana normalmente
estabelecida a partir de relacionamentos de confiana. Esses relacionamentos nada mais
so que ligaes entre domnios que possibilitam a um usurio com conta em um domnio
acessar recursos de outros domnios da rede. Esses relacionamentos simplificam a gerncia
da rede ao combinar dois ou mais domnios em uma unidade administrativa. Resumindo,
existem duas vantagens na abordagem de relacionamentos de confiana. Do ponto de vista
do usurio, necessria uma nica conta e senha para cada usurio acessar recursos de
vrios domnios e, do ponto de vista gerencial, o administrador pode gerenciar vrios
domnios de forma centralizada. Em termos de segurana, o estabelecimento de relaes de
confiana requer, entretanto, planejamento adequado e conhecimento detalhado da rede.
Gerenciador de Arquivos e Diretrios
O Windows NT suporta mais de um tipo de sistema de arquivos, vale a pena mostrar as
diferenas entre eles, quanto aos aspectos de segurana e auditoria.
NT File System (NTFS)
Esse sistema de arquivos exclusivo do NT. No prov criptografia e no pode ser usado
em disquetes. No caso de falha do sistema ou do disco, o NTFS prov recuperao de
dados. Por ser o nico a utilizar o sistema de segurana de arquivos e diretrios do NT
(menu de segurana do gerenciador de arquivos). Atravs do menu de segurana do
gerenciador de arquivos, pode-se definir as permisses de arquivos e diretrios, em
volumes NTFS, para usurios e grupos de usurios. O proprietrio pode definir uma
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 49 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 50 -
Pela natureza dos eventos gravados no log de segurana, esse log uma tima fonte de
informaes para a gerncia de segurana e auditoria na rede NT.
O ambiente Unix
A segurana do sistema Unix basicamente implementada por direitos de acesso de
usurios e grupos. Todo programa Unix processado com a permisso de algum usurio
ou grupo. Um servidor Unix, por exemplo, pode rodar vrios servios, como controle de
impresso, login remoto ou e-mail, e cada um desses servios est associado a uma conta
de usurio. Portanto, as contas de usurios e as permisses de acesso so a chave da
segurana no ambiente Unix.
Contas de Usurios
Todo usurios de um computador Unix precisa ter uma conta. A conta dividida em duas
partes: o nome da conta, tambm chamada username, e a senha. O nome da conta um
identificador que define para o computador quem o usurio e a senha um autenticador,
isto , ela prova ao computador que o usurio realmente quem diz ser.
Nos sistemas Unix uma pessoa ter mais de uma conta. Porm cada conta ter um username
diferente, composto de 1 a 8 caracteres.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 51 -
Geradores de senhas
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 52 -
- 53 -
- 54 -
Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no
log para posterior anlise pela equipe de segurana e auditoria;
- 55 -
Lista de Verificaes
Controles sobre microcomputadores:
Participar dos fruns de segurana disponveis na internet.
Utilizar as verses mais atualizadas dos patches (correes) divulgados e
distribudos pelos fornecedores de software.
Utilizar softwares de auditoria de segurana, tais como COPS, SATAN, etc.
Utilizar criptografia.
Na configurao do sistema operacional, desabilitar as features
desnecessrias.
Utilizar o menor nmero possvel de contas de usurio
Verificar as definies de domnio e relacionamentos de confiana.
Verificar a definio dos grupos de usurios (usurio que fazem parte dos
grupos e seus direitos de acesso).
Verificar as permisses de acesso, principalmente a arquivos de
configurao do sistema operacional e a arquivos considerados
confidenciais, de forma a restringir acessos desnecessrios.
Utilizar mecanismos ou pacotes de verificao de senhas, como Crack, para
testar senhas frgeis escolhidas pelos usurios.
Eliminar contas inativas, dormentes ou sem senhas.
Auditar com certa freqncia os arquivos de senha (inclusive shadow) com
o objetivo de identificar inconsistncia, adies no autorizadas, criao de
novas contas, contas sem senha ou alteraes de identificao de usurio.
Evitar utilizar contas guest ou default. Se forem necessrias, utiliz-las
apenas em ambiente controlado.
A senha do administrador ou root deve ser de conhecimento altamente
restrito, sendo recomendado utilizar o acesso como root o menor tempo
possvel.
Evitar entrar no sistema a partir de contas com privilgios acima dos
estritamente necessrios.
Eliminar os servios de rede desnecessrios, especialmente aqueles
considerados como mais suscetveis ao de invasores.
Monitorar o sistema e analisar os logs regularmente.
Realizar backup regularmente e manter pelo menos uma cpia em outra
localidade (off-side).
Se possvel, implementar redundncia (espelhamento, RAID, ect.).
Implementar mecanismos de controle de acesso via modem, de tal forma
que a conexo seja desfeita sempre que a ligao ou processo de login for
interrompido ou terminado.
Utilizar modems com senha.
Bloquear a reprogramao do modem por usurios no autorizados.
Prover acesso via linha discada apenas a usurios formalmente autorizados.
Desabilitar ou manter fisicamente seguros conectores ou repetidores de rede
que no estiverem sendo utilizados.
Limitar o acesso fsico aos dispositivos de rede, tais como cabos,
roteadores, repetidores, e terminadores.
Monitorar o uso da rede de telecomunicaes, com o objetivo de avaliar seu
desempenho, detectar e eliminar falhas de comunicao.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 56 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 57 -