Auditoria em Sistemas Computacionais

Sumrio
Introduo

Introduo

Estudar

e analisar o ambiente corporativo e assegurar que as metas e objetivos de TI esto sendo alcanados e os controles chaves esto sendo aplicados.

Objetivos da Auditoria
As diretrizes de gerenciamento descrevem e sugerem atividades de avaliao para serem executadas para cada controle de alto nvel. Entre os principais objetivos temos: Fornecer gerenciamento com segurana razovel de que os objetivos de controle estejam sendo alcanados;

Onde exister pontos fracos de controle significantes, ser verificado os riscos resultantes;
Aconselhar a administrao em aes corretivas;

Definio de Auditoria
Definio de Auditoria: ISO/IEC 17799:2001 Verificao de Conformidade Tcnica.

Definio do Dicionrio Aurlio:

Exame analtico e pericial que segue o desenvolvimento das operaes contbeis, desde o incio at o balano; auditagem
No devemos utilizar o termo Exame pois este est mais

relacionado com o processo pericial ou de anlise forense.

O termo Auditoria de Sistemas Comprometidos ilustra a confuso

comum entre Auditoria e Percia.

Auditoria = Verificao
4

Conceitos
Funo da auditoria de sistemas promover adequao, reviso, avaliao e recomendaes para o aprimoramento dos controles internos nos sistemas de informao da empresa, bem como avaliar e utilizao do recursos humanos, materiais e tecnolgicos envolvidos no processamento dos mesmos (Schimidt, 2006)

Conceitos

Aplicaes

Programao Segura Sistemas e informaes computadorizadas Centro de computao Desenvolvimento de Sistemas em Geral

O que Auditar?
No se pode controlar o que no se pode medir a) b) c) d) e) f) Fidelidade da Informao Segurana fsica e lgica da Informao Conformidade legal Conformidade com boas prticas Eficincia e Eficcia dos Recursos e Resultados Obedincia s polticas
8

Auditoria Pr-Ativa x Reativa

Auditoria Pr-Ativa
Ao pela qual uma situao observada atravs da coleta de informaes para eventual comparao com um estado anterior e/ou futuro. Pode ser entendida como uma ao que visa identificar possveis falhas antes que uma ameaa potencial seja concretizada.

Auditoria Reativa Coleta de informaes e evidncias

aps a identificao de uma violao. parte da atividade de anlise forense, a qual fornece informaes sobre as aes ocorridas e que sero utilizadas para prover as correes necessrias assim como para o aumento do grau de segurana.
9

Ameaa
Ameaa: O termo ameaa foi muito bem definido por Karen Olsen na seguinte publicao do NIST (National Institute of Standards and Technology): Security in Open Systems SP 800-7.
Ameaa uma circunstncia, condio, ou evento que possui potencial para causar estrago para o corpo tcnico ou recursos de rede na forma de destruio,divulgao, modificao de dados, negao de servio,fraude, desperdcio e/ou abuso.
10

Tipos de Auditoria
Auditoria Remota: Quando o processo de auditoria controlado e executado fora das instalaes que so alvo do processo.

Auditoria Local: Realizao da atividade dentro do ambiente que est sendo auditado.

Auditoria Fsica: Processo de verificao das condies de segurana fsica de um sistema, como por exemplo se a sala de servidores possui fechadura e se esta realmente funciona.

11

Tipos de Auditoria
Auditoria Lgica: Auditoria que verifica as demais condies nofsicas que fazem parte do processo e/ou sistema.

Auditoria de Permetro: Atividade de mapeamento da infraestrutura de rede responsvel pela delimitao e/ou segmentao. A auditoria de permetro permite verificar externamente qual a parte visvel da infraestrutura.

Auditoria de Conformidade: Permite avaliar e/ou validar uma

situao frente a uma norma ou requisitos.

12

Passos de uma Auditoria

O processo de auditoria deve sempre ser autorizado e seguir as normas
e/ou legislao pertinente.

A auditoria fornece uma fotografia instantnea da situao encontrada.

As informaes geradas pela auditoria devem ser armazenadas conforme a poltica da empresa. Deve-se manter um histrico de todas as atividades realizadas no processo de auditoria, incluindo horrios de realizao, durao dos eventos e mtodos utilizados no processo.

13

Dinmica

Cite ferramentas que conhece em patlaformas ex: Windows

14

Ferramentas de Auditoria
NMAP http://nmap.org/ http://nmap.org/dist/nmap-5.00-setup.exe http://nmap.org/dist/nmap-5.00-win32.zip

NESSUS
http://www.nessus.org/nessus/ http://www.nessus.org/download/

15

Lista de Exerccio

1-) A auditoria de sistemas computacionais deve ser vista como um projeto? Justifique 2-) Quais as dificuldades enfrentadas pela auditoria na empresa?

16