Escolar Documentos
Profissional Documentos
Cultura Documentos
Conceito e organizao de Auditoria Segurana nas informaes Auditoria da Tecnologia da Informao Segurana em Redes e Internet.
MUDANA 1) ANTES do uso generalizado de equipamentos de processamento de dados, a segurana da informao considerada valiosa para uma organizao era fornecida por principalmente por meios fsicos e administrativos. Ex.: - Armrios robustos com fechadura com segredo para armazenar documentos confidenciais
MUDANA 2) Introduo de sistemas distribudos e o uso de rede e recursos de comunicao para transmitir dados entre o usurio do terminal e o computador e entre computadores. Segurana inter-rede empresas, governo e organizaes acadmicas interconectam seus equipamentos de processamento de dados com um conjunto de redes.
10
mbito
Campo
Objeto
Perodo
Natureza
Sub 1
Sub 2
Sub 3
11
3.
12
5.
13
Pode abranger: O ambiente de informtica como um todo. A organizao do departamento de informtica Controles sobre BDs Redes Diversos aplicativos
14
15
Controles da auditoria da tecnologia da informao: a) b) c) d) e) f) organizacionais de mudanas de operao dos sistemas sobre banco de dados sobre microcomputadores sobre ambientes cliente-servidor
16
17
Conhecimentos necessrios (cont.) Segundo o padro internacional de auditoria, o auditor deve ter o conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Cabe ao auditor avaliar se ser necessrio um nvel de conhecimento mais especializado e aprofundado para a realizao da auditoria.
18
Desenvolver habilidades em informtica nos auditores com formao bsica em contabilidade e auditoria
Desenvolver habilidades em auditoria funcionrios com formao em anlise de sistemas, cincia da computao, etc...
19
Deve ter recursos (humanos e tecnolgicos) adequados para atingir os objetivos da auditoria dentro do prazo e com a qualidade esperada. Firmas ou organizaes podem dispor de mais recursos e oferecer uma gama maior de servios ou profissionais para cada tipo de atividade. No entanto isso no garante a qualidade dos seus servios.
Qual o tipo de consultoria mais adequada? Profissionais autnomos podem atuar no planejamento estratgico da auditoria ou nas verificaes de campo. Podem complementar a equipe interna em todo a verificao ou em determinadas fases do processo. Tanto firmas como especialistas autnomos podem ser de grande utilidade no planejamento da auditoria, na conduo de entrevistas com o auditado, na avaliao de controles, na captao de dados dos sistemas, na reviso dos resultados obtidos e nas recomendaes finais do relatrio de auditoria.
20
21
importante analisar os resultados, com a participao da equipe interna, coordenador e gerncia da organizao contratante. Discutir os pontos fortes e fracos, relatar as dificuldades . Comparar resultados esperados com alcanados. Oramento, Prazos, Nveis de qualidade : previsto X real Cooperao entre equipe externa e interna, sugestes para futuras auditorias.
evolues constantes podem dificultar um aprendizado adequado. As dificuldades decorrentes da falta de boa vontade dos profissionais de informtica ou o uso excessivo de vocabulrio tcnico. Um bom nvel de especializao s conseguido aps anos de de formao e prticas.
22
Pode produzir resultados mais satisfatrios e em menor tempo. Normalmente as ferramentas de auditoria so computacionais. O potencial do profissional de informtica que se deseja capacitar e sua capacidade de adaptao devem ser avaliados criteriosamente.
cursos de especializao indispensvel. Participao em fruns e consultas a sites de referncia tambm so vlidos. A equipe deve se preocupar em montar um Manual de Auditoria da TI para a organizao, alm de manter um acervo com livros e revistas especializadas para consultas a qualquer tempo.
23
O treinamento constante de auditores imprescindvel para que estejam preparados para realizar auditorias com qualidade e com grau de profundidade tcnica adequado; Os sistemas atuais so muito complexos e exigem conhecimentos que vo desde sistemas operacionais, planos de contingncias, desenvolvimento de aplicativos, segurana de informaes que trafegam pela internet etc.; Devem ser traadas estratgias diferentes de treinamentos a depender do nvel de conhecimento dos auditores.
Devem ser estimulados a participar de: . Seminrios . Cursos de especializao . Workshops . Congressos . Grupos de discusso . Boletins . Home pages de organizaes especializadas.
24
Em alguns pases existem organizaes que promovem certificaes de qualificao profissional de auditores de sistemas: ISACA (Information Systems Audit and Control Association Certificado de Auditor de Sistemas de Informao (CISA) British Computer Society Exame da Sociedade Britnica de Informtica Institute of Internal Auditors (IIA) Qualificao em Auditoria Computacional
n4
O IIA e a ISACA, em especial, desempenham um papel ativo no desenvolvimento de padres de auditoria e controle de sistemas de informao. Sob demanda, provem informaes sobre suas publicaes, padres e qualificao. A certificao de auditor de sistemas sempre atualizada. Algumas organizaes ao contratar servios de auditoria exigem a apresentao de certificados atualizados.
25
OBJETIVO:
Orientar o trabalho dos auditores Difundir o conhecimento nessa rea
O nvel de detalhamento desse material depender do tamanho da equipe, do tempo disponvel para desenvolver essa documentao e do grau de qualificao tcnica de seus componentes. Caber chefia decidir se sero elaborados documentos especficos ou se sero utilizadas publicaes de outras entidades de fiscalizao e controle em TI.
O grupo de auditores dever ter sua disposio uma biblioteca tcnica para consulta. Com isso: Os trabalhos sero orientados de acordo com padres existentes; A equipe estar sempre atualizada; Tero disposio publicaes tcnicas como fonte de pesquisa; Deve manter nessa biblioteca todos os relatrios de auditorias em TI; Dever dispor ainda: legislao e normas, manuais de auditoria e procedimentos, livros de informtica, revistas, manuais de treinamentos, artigos de jornais relacionados etc.
26
Slide 51 n5 Modelo: Manual de Auditoria do Tribunal de Contas da Unio, elaborado com a participao da Auditora Cludia Dias, tambm autora do livro Segurana e Auditoria de Sistemas, adotado como bibliografia bsica.
notebook; 26/2/2008
Uma nica pessoa no deter todos os conhecimentos necessrios em TI para uma auditoria; necessrio que uma equipe de auditoria seja formada por auditores com diferentes especializaes; Cabe gerncia desenvolver as especializaes que faltam, atravs de treinamento adequado, e administrar o grupo como um time coeso que se complementa; Formada essa equipe, esta pode atuar em auditorias de tecnologia da informao ou como suporte tcnico a outras equipes de auditoria.
Auditores de sistemas so considerados recursos humanos escassos, por isso suas atividades so definidas apenas nos casos em que sua atuao realmente necessria; Uma forma de amenizar essa escassez formando auditores para atuar como suporte bsico de informtica nas equipes de auditoria de carter genrico - AUDITOR GENERALISTA; Normalmente o auditor generalista executa atividades de carter preliminar em ambientes de informtica ou sistemas considerados pouco complexos para determinar a estratgia de auditoria mais adequada.
27
necessrio que as atividades de cada auditor sejam bem definidas, bem como o suporte tcnico dado pelos auditores especializados, limites de atuao, relacionamentos entre eles, etc.;
Os planos de auditoria devem ser elaborados levando em conta os recursos humanos disponveis. Devem ser elaborados planos de preferncia anual; A tendncia que no futuro todos os auditores tenham conhecimentos necessrios para realizar auditorias de sistemas; necessrio que a funo de auditoria se adapte aos novos ambientes e necessidades do mercado. Espera-se com o uso cada vez mais intenso do computador que haja um aumento no mercado desse profissionais.
Em organizaes de auditoria geralmente as atividades so planejadas em trs nveis, baseados em perodos de tempo diferentes:
Plano Estratgico de Longo Prazo: Normalmente para perodos de 3 a 5 anos; Objetivos mais amplos, atinge toda a organizao e tem que ser aprovado pela gerncia superior; Define metas, forma de atuao, recursos necessrios, necessidades de treinamento etc. aconselhvel revisar a atualizar anualmente.
28
Em organizaes de auditoria geralmente as atividades so planejadas em trs nveis, baseados em perodos de tempo diferentes:
Plano Estratgico de Mdio Prazo: Traduz o plano de longo prazo para um programa de atividades para o ano que se inicia; Em geral, procura atender as demandas das auditorias genricas por auditorias mais especializadas; Normalmente aprovada pela gerncia intermediria, define os objetivos macros das auditorias a serem feitas em seguida; Deve ser flexvel para aceitar as alteraes necessrias.
Em organizaes de auditoria geralmente as atividades so planejadas em trs nveis, baseados em perodos de tempo diferentes:
Plano Estratgico Operacional: Baseia em auditorias individualizadas Contem detalhes exatos dos objetivos, reas a serem auditadas, recursos necessrios, prazos, objetivos de controle e procedimentos de auditoria a serem seguidos. o plano especfico de uma determinada auditoria; Ser tratado a seguir (planejamento e execuo).
29
A fase de planejamento identifica os instrumentos indispensveis sua realizao. Estabelece, entre outras coisas: Recursos necessrios rea de verificao Metodologias Objetivos de controle Procedimentos a serem adotados
seu ambiente de informtica deve ser levantada. Estas informaes possibilitam uma noo da complexidade dos sistemas e estabelecer os recursos e conhecimentos tcnicos necessrios. Tipos de informaes tcnicas: hardware, SO, sistemas de segurana, aplicativos e os responsveis pelas reas.
30
Definindo Campo, mbito e Sub-reas O campo da auditoria composto por objeto, perodo e natureza. Em auditorias de informtica, a natureza a prpria auditoria de TI. O Objeto pode englobar um sistema computacional, uma ou mais sees do dept de informtica ou toda a organizao em termos de polticas de informtica. O perodo depende do grau de profundidade das verificaes (mbito) e das sub-reas. Tendo definido o conjunto campo e mbito, fixada toda a rea de verificao
31
mbito
Avaliao da eficcia dos controles
Campo
Objeto
Segurana de informaes
Perodo
01/08 a 30/09/2005
Natureza
Audit. TI
Sub 1
Controles de Acesso Fsico
Sub 2
Controles de Acesso Lgico
Sub 3
Backup
METODOLOGIAS Entrevistas Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados do trabalho. Entrevista de Apresentao Entrevistas de Coleta de Dados Entrevistas de discusso das deficincias encontradas Entrevistas de encerramento
32
METODOLOGIAS
n3 Uso de Ferramentas de Apoio (CAATs)
Tcnicas de anlise dados Tcnicas para verificao de controles de sistemas Outras ferramentas
METODOLOGIAS Tcnicas de anlise dados Os dados do auditado pode ser coletados e analisados com o auxlio de softwares de extrao de dados, de amostragem, de anlise de logs e mdulos ou trilhas de auditoria embutidas nos prprios sistemas aplicativos da entidade
33
METODOLOGIAS Tcnicas para verificao de controles de sistemas Permite testar a efetividade dos controles dos sistemas do auditado. Pode-se analisar sua confiabilidade, e ainda determinar se esto operando corretamente a ponto de garantir a fidedignidade dos dados. Dentre as tcnicas mais utilizadas, pode-se citar: Massa de dados de teste, simulaes, software de comparao de programas, mapeamento e rastreamento de processamento
METODOLOGIAS Outras ferramentas Existem ferramentas que no so necessariamente de apoio auditoria, mas auxilia o auditor durante a execuo da auditoria e na elaborao do relatrio. Se encontram nessa categoria: editores de textos, planilhas eletrnicas, banco de dados e softwares para apresentaes.
34
Os objetivos de controle norteiam a auditoria em vrias reas especializadas e organizacionais. Para realizar uma avaliao da atuao de outros profissionais, necessrio que o avaliador tenha um modelo normativo, um conjunto de padres, de como a atividade deveria estar sendo feita. O modelo normativo traduzido em objetivos de controle a serem avaliados pelo auditor em cada rea especfica.
EXEMPLO: Na rea de segurana, um dos objetivos de controle pode ser o estabelecimento de regras para acesso aos recursos computacionais. Alguns procedimentos de auditoria relacionados ao objetivo acima citado pode ser: verificar se h documento formal que justifique a necessidade do usurio para acessar determinados recursos computacionais; ou verificar se existem procedimentos que definem os recursos computacionais que podero ser acessados e os tipos de transaes que podero ser executadas por cada usurio autorizado.
35
ENFOQUES E MOTIVAES: Segurana dados e sistemas em que so essenciais a confidencialidade, a integridade, a disponibilidade de informaes; Atendimento a solicitaes externas verificao de indcios de irregularidades motivados pela imprensa, denuncia, solicitao de rgos superiores; Materialidade valor significativo dos sistemas computacionais, transaes, em termos econmico-financeiro; Altos custos de desenvolvimento sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organizao.
ENFOQUES E MOTIVAES: Grau de envolvimento dos usurios - sistemas elaborados sem o envolvimento dos usurios em geral no atendem satisfatoriamente s suas necessidades; Outsourcing - efeitos da terceirizao no ambiente de informtica. A partir do momento em que foram definidas a rea de verificao e as subreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controle esto sendo seguidos pela entidade.
36
Normalmente as organizaes ligadas auditoria da tecnologia da informao publicam manuais de orientao contendo objetivos de controle e procedimentos de auditoria tpicos em um ambiente de informtica.
37
38
Poltica de Segurana Informaes tm que estar disponveis no momento e no local estabelecido, tm que ser confiveis, corretas e mantidas fora do alcance de pessoas no autorizadas. Objetivos de Segurana Confidencialidade ou privacidade informaes protegidas de acesso no autorizado. Envolve medidas de controle de acesso e criptografia. (LEITURA) Integridade dos dados Evitar alterao ou excluso indevida de dados. (GRAVAO/ALTERAO/EXCLUSO).
Objetivos de Segurana (cont.) Disponibilidade Garantia que os servios prestados por um sistema esto sempre acessveis a pessoas autorizadas. (BACKUP) Consistncia Garantia de que o sistema atua de acordo com a expectativa. Isolamento ou uso legtimo Regular o acesso ao sistema. Acesso no autorizado sempre um problema, pois tem que se identificar quem, quando, como e os resultados desta ao.
39
Objetivos de Segurana (cont.) Auditoria Proteo contra erros e atos acidentais ou no dos usurios autorizados. Confiabilidade Garantir que, mesmo em condies adversas, o sistema atuar conforme esperado. Dependendo da organizao, um objetivo pode ser mais importante que o outro. Na maioria dos casos, dada maior importncia disponibilidade e integridade.
40
41
42
Slide 84 n2 LEITURA COMPLEMENTAR Ler artigo Integrao entre o Planejamento Estratgico da Organizao e o Planejamento Estratgio em Tecnologia da Informao.
notebook; 22/2/2008
43
Processo formal e longo; flexvel para permitir ajustes conforme necessidades Fases: Identificao dos recursos crticos. Classificao das informaes. Definio em linhas gerais, dos objetivos de segurana a serem atingidos. Anlise das necessidades de segurana (ameaas, riscos e impactos). Elaborao da proposta inicial.
44
Fases (cont.) Discusses abertas com os envolvidos. Apresentao do documento formal gerncia superior. Aprovao Implementao Avaliao da poltica e identificao das mudanas necessrias Reviso
Identificando os recursos
O que precisa ser protegido? Quais os mais importantes? Hardware Software Dados Pessoas Documentao Suprimentos
45
controles Aplicativos necessidades especficas. Servios utilizados pelos aplicativos. Sistema Operacional gerenciamento de recursos computacionais. Hardware Anlise individual de cada camada em termos de segurana, configurada e monitoradas de forma compatvel com o nvel de segurana definido.
46
Risco = ameaa + vulnerabilidade + impactos. Identifica componentes crticos e custo potencial aos usurios. Ponto chave em qualquer poltica de segurana. Identificar ameaas e impactos, possibilidades de uma ameaa se concretizar e entender os riscos potenciais. Classificar por nvel de importncia, custos envolvidos na preveno/ recuperao.
Riscos podem ser apenas reduzidos, nunca eliminados. Medidas mais rgidas tornam os riscos menores, mas no eliminam. Conhecimento prvio das ameaas e seus impactos podem resultar em medidas mais efetivas para reduzir as ameaas, vulnerabilidades e impactos. sempre melhor (e mais barato!) prevenir do que remediar.
47
Custo pode ser mais alto do que os danos provocados. Conceitos Bsicos: Recurso componente de um sistema computacional. Ameaa evento ou atitude indesejvel que pode remover, desabilitar, danificar ou destruir um recurso. Vulnerabilidade fraqueza ou deficincia que pode ser explorada por uma ameaa.
Ataque ameaa concretizada. Impacto conseqncia de uma vulnerabilidade ter sido explorada por uma ameaa. Probabilidade chance de uma ameaa atacar com sucesso. Risco medida da exposio a qual o sistema est sujeito. Depende de uma ameaa atacar e do impacto resultante. Envolve esses componentes mais as vulnerabilidades.
48
Vazamento de informaes - informaes desprotegidas/reveladas Violao de integridade comprometimento da consistncia Indisponibilidade de servios impedimento ao acesso aos recursos Acesso e uso no autorizado pessoa ou uso no autorizado.
49
Aps as ameaas se efetivarem em um ataque: Mascaramento uma entidade ou pessoa se passa por outra Desvio de controles falhas nos controles permitem acessos Violao autorizada usurio autorizado com propsitos no autorizados Ameaas Programadas cdigos de softwares embutidos nos sistemas para violar segurana, alterar ou destruir dados. Ameaas Impactos Vulnerabilidades ou Fragilidades
Bugs de Software
Bug - erro num programa de computador que o faz executar incorretamente. Bugs trazem aborrecimentos e muitas vezes prejuzo. Back doors Bugs propositalmente inseridos nos programas para permitir acesso no autorizado (brechas de segurana). Hackers esto sempre em busca de back doors para invadir sistemas.
50
Ameaas programadas
Programas podem passar a ter comportamentos estranho, pela execuo de cdigos gerados para danificar ou adulterar o comportamento normal dos softwares. Podem ser confundidos ou identificados como vrus. Mais freqentes em microcomputadores.
Vrus Perigo real, imediato e crescente. Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance. Ambiente Internet contribui para disseminao. Atualizao do antivrus no acontece na mesma freqncia. Diferentes Nomenclaturas para ameaas programadas Vrus Worms Bactria Bomba Lgica Cavalo de Tria etc.
51
52
53
54
NORMAL.DOT
MACROS
TEXTO
TEXTO
Doc1.doc
Doc2.doc
55
Analisando impactos e calculando riscos Alm do nvel do impacto, temos tambm os tipos de impacto, definidos a critrio de cada instituio. Exemplos de tipos de impactos: 01 Modificao dados. 02 Sistemas vitais no disponveis 03 Divulgao de informaes no confidenciais 04 Fraudes. 05 Perda de credibilidade 06 Possibilidade de processo contra a instituio 07 Perda de clientes para a concorrncia
56
57
58
Servios de Segurana Servios de segurana so uma classe especial de medidas preventivas relacionadas com o ambiente lgico. No geral existem outras medidas importantes como: Segurana Fsica. Segurana dos recursos computacionais Segurana administrativa Segurana de meios magnticos Controles de desenvolvimentos de aplicativos.
59
ALGORTIMO
XYSKOKQE03393 * ** 7 &5 %#&6 6% %& *Hn BNe r4123478 *7542## &Um (O p_=)(*& %$ #@!
60
61
62
Ataques Passivos no interferem no contedo do recurso atacado. Ativos Afetam e prejudicam o contedo do recurso atacado. Hackers X Crackers Funcionrios e Ex-funcionrios Consultores Externos
63
64
65
Detectar sua razo negligncia, acidente ou erro, desconhecimento da poltica de segurana ou por ao deliberada. recomendvel que a poltica de segurana contenha os passos a serem seguidos para cada tipo de violao, de acordo com a sua severidade, visando a ao corretiva e a punio. Dependendo do dano a ao pode ser desde uma advertncia verbal at um processo judicial. Para se tomar qualquer medida punitiva sobre usurios autorizados, este deve ter sido esclarecido sobre a poltica de segurana da organizao.
66
O programa de treinamento em segurana deve fazer parte da formao de novos funcionrios e de reciclagem dos funcionrios mais antigos. O treinamento em segurana deve ser uma atividade continuada. Sempre h uma novidade a ser transmitida, uma nova ameaa etc. Devem ser utilizados diferentes meios para divulgao: aulas, boletins informativos, vdeos, teatro etc.
Os aspectos de segurana apresentados a seguir podem ser usados como uma lista de verificaes, tanto pela gerncia de segurana de sistemas, como pela equipe de auditoria. Gerncia: conjunto de tarefas a serem realizadas na implementao de uma poltica de segurana; Auditoria: procedimentos de auditoria relacionados poltica de segurana da organizao auditada.
67
Lista de Verificaes: Elaborar, divulgar e manter atualizado documentos que descreva a poltica de segurana de informaes; A alta gerncia deve estar comprometida com a poltica de segurana de informaes, a qual deve ser implantada de acordo com o documento formal por ela aprovado. Definir uma estrutura organizacional responsvel pela segurana, a qual deve aprovar e revisar as polticas de segurana, designar funes de segurana e coordenar a implantao da poltica.
Lista de Verificaes (cont) : Estabelecer procedimentos de segurana de pessoal, com o intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acesso a dados confidenciais. Todos os funcionrios devem ter conhecimento dos riscos de segurana de informaes e de suas responsabilidades com relao a esse assunto. aconselhvel que haja um treinamento de segurana para difuso de boas prticas e padres de segurana, promovendo uma cultura de segurana na organizao.
68
Lista de Verificaes (cont) : Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importncia para a organizao. Todos os recursos (hardware, software, dados, documentao, etc.) devem ser administrados por um responsvel designado seu proprietrio. Definir padres adequados de segurana fsica para prevenir acessos no autorizados, danos ou interferncia em atividades crticas. Devem ser estabelecidos limites de acesso ou reas de segurana com dispositivos de controle de entrada. Todos os equipamentos e cabeamentos de energia eltrica e de telecomunicaes devem ser protegidos contra interceptao, dano, falha de energia, picos de luz e outros problemas eltricos.
Lista de Verificaes (cont) : Implantar controle de acesso lgico aos sistemas de forma a prevenir acessos no autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usurios, monitoramento por trilhas de auditoria etc. Administrar os recursos computacionais e as redes seguindo requisitos de segurana previamente definidos.
69
Lista de Verificaes (cont.) : Definir procedimentos de backup e de restaurao dos sistemas computacionais para garantir a integridade e a disponibilidade de dados o software. A freqncia de backup deve ser apropriada e pelo menos uma cpia do backup deve ser guardada em local seguro. Os procedimentos de restaurao devem ser periodicamente testados para garantir sua efetividade quando forem necessrios. Antes da incluso de qualquer programa nos sistemas computacionais da organizao, tomar as medidas de segurana exigidas na poltica de segurana.
Lista de Verificaes (cont.) : Investigar qualquer incidente que comprometa a segurana dos sistemas. Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na poltica de segurana adotada. Aps uma violao da poltica de segurana, tomar as medidas necessrias para identificao de suas causas e agentes, correo das vulnerabilidades e punio aos infratores. Auditar regularmente todos os aspectos de segurana a fim de determinar se as polticas esto sendo efetivamente cumpridas ou se so necessrias modificaes.
70
Controles de acesso lgico so um conjunto de medidas e procedimentos, adotados pela organizao ou intrnsecos aos softwares utilizados, para proteger dados e sistemas contra tentativas de acesso no autorizadas. O usurio pea importante nesse controle (senhas fracas ou compartilhadas, descuidos na proteo de informaes, etc...)
71
72
73
Senhas Senhas com elementos facilmente identificados(cont.): N de telefone, carto de crdito, Identidade ou docs pessoais Placas ou marcas de carro Nomes prprios Letras ou nmeros repetidos Qualquer senha com menos de 06 caracteres
74
75
76
Diretos e permisses de Acesso A segurana lgica garantida atravs de dois tipos de controle: O que um sujeito pode fazer. O que pode ser feito com um objeto. Podemos definir individualmente os direitos de acesso para cada sujeito ou objeto. Mais trabalhosa para grandes quantidades.
77
78
Controles de Acesso Lgico ao Sistema Operacional Controles so implementados pelo fabricante do SO. As vezes, temos que instalar pacotes adicionais para incrementar a segurana do SO.
79
80
81
Conceder acesso, aos usurios, apenas aos recursos realmente necessrios para execuo de suas tarefas. Restringir e monitorar o acesso a recursos crticos. Utilizar softwares de controle de acesso lgico. Utilizar criptografia. Revisar periodicamente as listas de controle de acesso. Evitar dar orientaes ao usurio durante o processo de logon. Bloquear a conta do usurio aps um certo nmero de tentativas frustradas de logon. Restringir acesso a determinados perifricos.
Fornecer contas apenas a pessoas autorizadas. No fornecer a mesma conta para mais de um usurio. Ao conceder a conta ao usurio, inform-lo sobre as polticas de senha da organizao. Bloquear, se possvel, a escolha de senhas consideradas frgeis e orientar o usurio na escolha de senhas mais seguras, Orientar os usurios para no armazenarem senhas em arquivos ou envi-las por e-mail. Armazenar as senhas no sistema sob a forma criptografada. Prevenir o uso freqente de senhas j utilizadas pelo mesmo usurio anteriormente. Estabelecer um prazo mximo de utilizao de uma mesma senha.
82
Informar os usurios quanto aos perigos de divulgao de senhas. Impedir que os usurios sejam capazes de ler os arquivos de senha, identificar e trocar senhas de outros usurios. Desabilitar contas inativas, sem senhas ou com senhas padronizadas. Desabilitar as senhas de ex-funcionrios. No armazenar senhas em logs. Manter e analisar trilhas de auditoria e logs. Limitar o nmero de sesses concorrentes e o horrio de uso dos recursos computacionais.
Configurar time-out automtico. Revisar e incorporar as listas de verificaes propostas na poltica de segurana e nos outros tpicos de carter mais especfico, de acordo com a rea ou plataforma a ser auditada.
83
Segurana de Acesso
Segurana Ambiental
Recursos a serem protegidos Equipamentos, Documentao, suprimentos e os prprios usurios. A proteo fsica complementa a proteo lgica.
Controles Administrativos Crachs de identificao Devoluo de bens da instituio do funcionrio demitido. Controle de entrada e sada de visitantes. Controle sobre prestadores de servios ou funcionrios fora do horrio normal. Princpio da mesa limpa.
84
85
86
Controles Ambientais Temperatura, Umidade e Ventilao Necessidade de ambientes de temperatura, umidade e ventilao controlada. Temperaturas entre 10 e 32 C so recomendadas (para os usurios tambm). Ambientes secos demais geram eletricidade esttica e mido demais podem provocar oxidao e condensao nos equipamentos.
Controles Ambientais (cont.) As canaletas de ventilao dos equipamentos devem estar desobstrudas. Manuteno e limpeza nos equipamentos de ar condicionado. Limpeza e conservao As salas dos equipamentos devem ser mantidas limpas, sem acmulo de materiais de fcil combusto. Proibio de consumo de cigarros, lquidos e alimentos prximo aos equipamentos
87
PLANO DE CONTINGNCIA
88
Plano de Contingncias e Continuidade dos Servios de Informtica. A grande maioria das empresas nacionais ainda no despertou para esse fato, pensando que isso s acontece com os outros. Um plano de recuperao na rea de informtica deve fazer parte de uma estratgia ou poltica de continuidade de negcios mais abrangente da empresa. o conjunto de procedimentos para permitir que os servios continuem a operar, ou que tenham condies de serem restabelecidos em menor tempo possvel.
89
Plano de Contingncias e Continuidade dos Servios de Informtica. Porque necessrio ? Quanto mais tempo os servios estiverem indisponveis, maiores os impactos nos negcios. Minimizar o tempo de parada dos sistemas para reduzir os prejuzos. Como medida preventiva, muita vezes colocada em segundo plano na empresa, principalmente pelos custos envolvidos. O PLANO NO PARA DAR LUCRO E SIM EVITAR PREJUZOS.
90
91
92
Escolha da instalao reserva deve ser adequada para que possa dar condies para operaes dos sistemas. Identificao de Aplicativos crticos aqueles que tm prioridade na restaurao e retorno s atividades.
93
94
95
96
97
Seleo de pessoal As polticas de seleo devem ser definidas de tal maneira que a equipe seja composta de pessoas confiveis, com nvel tcnico compatvel e de preferncia, satisfeitas profissionalmente. Isso garante uma qualidade no trabalho e reduz os riscos. Muitas vezes, como o caso de rgos pblicos, o processo se torna mais rgido, com a aplicao de concursos pblicos e da apresentao de documentao comprobatria de escolaridade. A anlise de referncias profissionais, experincias profissionais, antecedentes, etc.. tambm so importantes na seleo.
98
99
100
101
102
103
104
Conformidade com a Legislao Usurios de micro tm sempre a tentao de instalar e usar softwares estranhos organizao. Posturas desses usurios: Ningum vai ficar sabendo. Ningum me disse que no podia. Eu no sabia que era proibido por lei.
105
Os usurios devem conhecer previamente as normas da empresa em relao instalao de softwares, para que se respeitem direitos autorais e que tambm saibam como proteger as informaes confidenciais da empresa.
Pirataria Formas comuns: Comprar uma licena e copi-la para vrios computadores. Alugar software sem permisso do detentor de copyright. Fazer, distribuir ou vender cpias de SW como se fosse seu proprietrio. Baixar pela Internet sem anuncia do detentor do copyright. Prtica condenada em instituies, por razes de legalidade, tica e riscos de perdas e danos. Verificao de SW pirata prtica comum em qualquer auditoria.
106
107
Lista de Verificaes til tanto para a Gerncia de Sistemas quanto para a equipe de auditoria. Manter um inventrio dos equipamentos de microinformtica. Instituir controles de entrada e sada de peas e equipamentos, com o objetivo de evitar ou minimizar a perda ou roubo de equipamentos. Instruir os usurios de laptops para no armazenarem nesses equipamentos senhas que possibilitem acessos a sistemas internos ou informaes confidenciais no criptografadas. Manter, se possvel, padronizao de produtos de hardware e software. Utilizar somente softwares contratados.
Lista de Verificaes (cont.) til tanto para a Gerncia de Sistemas quanto para a equipe de auditoria. Utilizar estabilizadores de energia ou equipamentos similares de proteo aos microcomputadores. Manter um registro das licenas de software, identificando em que mquinas esto sendo processadas. Cadastrar os pacotes de software em demonstrao em registros separados no inventrio, para que possam ser tomadas as providncias necessrias para sua contratao ou sua eliminao da mquina ao trmino do perodo de demonstrao. Cadastrar os pacotes de software adquiridos sem nus (freeware) em registros separados no inventrio.
108
Lista de Verificaes (cont.) til tanto para a Gerncia de Sistemas quanto para a equipe de auditoria. Permitir a carga de novos softwares apenas ao administrador do sistema ou pessoas por ele autorizados. Verificar periodicamente os contedos dos discos rgidos dos microcomputadores e eliminar os softwares que no corresponderem aos registros do inventrio. Estabelecer uma poltica contra pirataria de software, prevendo inclusive punies aos infratores. Utilizar sempre senhas ou outros mecanismos de identificao e autenticao dos usurios.
Lista de Verificaes (cont.) til tanto para a Gerncia de Sistemas quanto para a equipe de auditoria. Utilizar softwares de segurana, com intuito de assegurar que apenas pessoas autorizadas tero acesso a arquivos e dados crticos. Manter atualizados os anti-vrus em todos os micros da instituio. Carregar no computador apenas software e dados a partir de fontes confiveis, submetendo todos os disquetes e arquivos externos ao antivrus, antes de serem carregados. Promover programa de treinamento e conscientizao dos usurios quanto segurana de informaes. Utilizar proteo automtica de tela, com senha.
109
Lista de Verificaes (cont.) til tanto para a Gerncia de Sistemas quanto para a equipe de auditoria. Utilizar criptografia. Realizar backup regularmente. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como controles organizacionais, segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios etc.
110
Direitos e permisses. DIREITO: uma autorizao para o usurio executar certas operaes no sistema como um todo. Ex.: backup de arquivos e diretrios etc. PERMISSO: uma regra associada a um determinado objeto, que define quais usurios podem acessar aquele objeto e de que maneira.
111
112
Ambiente Windows NT LSA (Local Security Authority) Principal componente de segurana. Criao de Tokens de acesso durante o processo de logon. Validao do usurio de acordo com seu tipo de acesso. Controle e gerncia de segurana e auditoria. Manuteno de log de mensagens de auditorias geradas pelo SRM. O LSA para realizar seus objetivos, utiliza os servios providos pelos outros componentes do sistema.
Ambiente Windows NT SAM (Security Account Manager) Gerenciador de informaes de segurana. Base de dados com informaes de todas as contas de grupos e usurios. Validao do usurio para o LSA. Pode ter mais de uma base SAM, uma para cada domnio ou estao, podendo a validao no Servidor ou na estao.
113
Ambiente Windows NT SRM (Security Reference Monitor) Monitor de segurana. Funo principal de garantir o cumprimento das polticas de validao e acesso e de gerao de logs de auditoria estabelecidas pelo LSA. Valida o acesso a arquivos e diretrios, testa os privilgios e gera mensagens de auditoria.
114
115
116
117
118
Ambiente Windows NT Ferramentas de Segurana e Auditoria Logs O NT registra em logs uma srie de eventos importantes para a gerncia, segurana e auditoria da rede. Log de sistema grava erros, alertas ou informaes geradas pelo sistema. Log de aplicativo grava erros, alertas ou informaes geradas pelo aplicativo. Log de segurana grava tentativas de logon vlidas e invlidas e eventos relacionados com uso de recursos (administrador).
Ambiente Windows NT Ferramentas de Segurana e Auditoria Logs Eventos gravados nos logs Eventos de sistema tentativas de logon e logoff, alteraes na poltica de segurana, criao e manuteno de contas e grupos. Eventos relacionados com arquivos, diretrios, configurao dos prprios logs, nveis de acesso a impressoras e acesso remoto.
119
120
121
So dispositivos utilizados na proteo de redes de computadores contra ataques externos, dificultando o trnsito de invasores entre as redes. O acesso ao mundo externo, e vice-versa, hoje a partir de redes de computadores so atividades normais nas organizaes. Essa conexo e uso em grande escala expe as organizaes a situaes de fragilidades uma vez que desperta para invases e atos ilcitos. A existncia de um nico computador sem proteo pode comprometer todo o aparato de segurana da rede.
O acesso a um computador em uma rede suficiente para se capturar senhas, alterar arquivos, aplicativos etc. O firewall hoje a alternativa vivel na proteo de rede institucional, ao invs de tentar proteger cada uma das mquinas ligadas rede interna. Firewall so normalmente configurados para permitir certas operaes e limitar ou impedir outras. A instalao correta de um firewall pode reduzir em 20 % os riscos de invaso. O firewall constitudo de 2 partes:
122
O firewall pode ser constitudo de 2 partes: 1. Roteadores com filtros: o roteador atua como uma ligao entre as redes interna e externa, sendo responsvel pelo bloqueio de todos os pacotes de dados entre as duas redes. 2. Gateway: todo o trfego de pacotes entre a rede interna e a externa passa primeiro pelo gateway, cujo software decide se o trfego ser permitido ou rejeitado. Uma configurao adequada refora os cuidados com segurana, como por exemplo a autenticao de usurios.
Alguns aspectos de segurana a serem considerados: 1. No manter no gateway contas de usurios, programas utilitrios, arquivos de senhas e servios de nomes, pois podem facilitar o trabalho de possveis invasores rede interna. 2. Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no log para posterior anlise pela equipe de segurana e auditoria. 3. Monitorar as atividades do gateway. 4. Desabilitar todos os servios de rede considerados desnecessrios.
123
importante que a equipe de segurana tenha em mente que todo programa, protocolo ou servio de rede liberado pelo gateway pode representar uma ameaa segurana de toda a rede. Independentemente do tipo de firewall utilizado, a segurana da rede interna depende da segurana do servidor de firewall. Vale ressaltar que o fato de ter um firewall no quer dizer que os outros controles e verificaes de segurana possam ser abandonados. Um firewall bem configurado consegue minimizar alguns riscos, mas no todos.
124
LISTA DE VERIFICAES: Participar de fruns de segurana disponveis na Internet. Utilizar as verses mais atualizadas dos patches (correes) divulgados e distribudos pelos fornecedores de softwares. Utilizar softwares de auditoria de segurana, tais como COPS, SATAN, etc. Utilizar criptografia. Na configurao do sistema operacional, desabilitar as features desnecessrias.
LISTA DE VERIFICAES (CONT.): Utilizar o menor nmero possvel de contas de usurio. Verificar as definies de domnios e relacionamentos de confiana. Verificar a definio dos grupos de usurios (usurios que fazem parte dos grupos e seus direitos de acesso). Verificar as permisses de acesso, principalmente a arquivos de configurao do sistema operacional e a arquivos considerados confidenciais, de forma a restringir acessos desnecessrios. Utilizar mecanismos ou pacotes de verificao de senhas, com Crack, para testar senha frgeis escolhidas pelos usurios.
125
LISTA DE VERIFICAES (CONT.): Eliminar contas inativas, dormentes ou sem senhas. Auditar com certa freqncia os arquivos de senha (inclusive shadow) com o objetivo de identificar inconsistncias, adies no autorizadas, criao de novas contas, contas sem senha ou alteraes de identificao de usurio. Evitar utilizar contas guest ou default. Se forem necessrias, utilizlas apenas em ambiente controlado. A senha do administrador ou root deve ser de conhecimento altamente restrito, sendo recomendado utilizar o acesso como root o menor tempo possvel.
LISTA DE VERIFICAES (CONT.): Evitar entrar no sistema a partir de contas com privilgios acima dos estritamente necessrios. Eliminar os servios de rede desnecessrios, especialmente aqueles considerados como mais suscetveis ao de invasores. Monitorar o sistema e analisar os logs regularmente. Realizar backup regularmente e manter pelo menos uma cpia em outra localidade (off-site). Se possvel, implementar redundncia (espelhamento, RAID, etc.).
126
LISTA DE VERIFICAES (CONT.): Implementar mecanismos de controle de acesso via modem, de tal forma que a conexo seja desfeita sempre que a ligao ou o processo de login for interrompido ou terminado. Utilizar modems com senhas. Bloquear a reprogramao do modem por usurios no autorizados.
127