ATIVIDADES PRTICAS

SUPERVISIONADAS
Sistemas de Informao

8. Srie
Segurana e Auditoria em Sistemas de Informao
A Atividade Prtica Supervisionada (ATPS) um procedimento metodolgico de
ensino-aprendizagem desenvolvido por meio de etapas, acompanhadas pelo
professor, e que tem por objetivos:
Favorecer a autoaprendizagem do aluno.
Estimular a corresponsabilidade do aluno pelo seu aprendizado.
Promover o estudo, a convivncia e o trabalho em grupo.
Auxiliar no desenvolvimento das competncias requeridas para o exerccio
profissional.
Promover a aplicao da teoria na soluo de situaes que simulam a
realidade.
Oferecer diferenciados ambientes de aprendizagem
Para atingir estes objetivos, a ATPS prope um desafio e indica os passos a
serem percorridos ao longo do semestre para a sua soluo.
Aproveite esta oportunidade de estudar e aprender com desafios da vida
profissional.

AUTORIA:
Renato Cividini Matthiesen
Faculdade Anhanguera de Limeira

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 2 de 7

COMPETNCIAS E HABILIDADES
Ao concluir as etapas propostas neste desafio, voc ter desenvolvido as competncias
e habilidades que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir.
Capacidade para levantar dados e empreender uma abordagem sistmica no trato dos
problemas de distribuio da informao.
Capacidade de abstrao, representao, organizao e viabilizao de solues de
software para diferentes domnios de aplicao.
Habilidade em tomar decises e saber implement-las.

Produo Acadmica
Nesta atividade ser produzido:

Relatrios parciais, com os resultados das pesquisas realizadas nas etapas.

Participao
Para a elaborao desta atividade, os alunos devero previamente organizar-se em
equipes de participantes (conforme orientao do professor) e entregar seus nomes, RAs e
e-mails ao professor da disciplina. Essas equipes sero mantidas durante todas as etapas.

DESAFIO
A necessidade de segurana em tecnologia e sistemas de informao vem crescendo na
mesma velocidade em que as novas tecnologias e os novos sistemas so implantados nas
empresas. Sempre uma nova tcnica de segurana desenvolvida, outras tcnicas tambm
so criadas para invadir estes sistemas. Esta dinmica no desenvolvimento de solues de
segurana obriga as empresas a necessitarem de cuidados especiais para garantir a segurana
de seus sistemas de informao. O correto treinamento de colaboradores para que eles
trabalhem conscientes sobre os tipos de ameaas e mecanismos de proteo e a aplicao de
um programa de auditoria sobre os sistemas informatizados so fundamentais para garantir
a segurana dos sistemas de informao, que armazenam e transportam um dos ativos mais
importantes da empresa: a prpria informao.
Este desafio prope que a equipe de tecnologia da informao (representada por um
grupo de at quatro alunos) de uma empresa que realiza venda de livros e DVDs (Digital
Video Disc) atravs de seu sistema de comrcio eletrnico pela Internet elabore um Manual
sobre Segurana e Auditoria em Sistemas de Informao. A elaborao do manual tem como
objetivo apresentar a todos os colaboradores da empresa conceitos bsicos de segurana em
tecnologia e sistemas de informao, informaes sobre a poltica de segurana da empresa e
metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual
ser dividido em quatro captulos:
1.
2.
3.
4.

Segurana em Sistemas de Informao e em Redes de Computadores.

Controles e Poltica de Segurana.
Gerenciamento de Riscos em Sistemas de Informao.
Auditoria em Sistemas de Informao.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 3 de 7

O desafio dever ser realizado em grupos de at quatro alunos, sendo que o grupo
dever entregar um captulo do manual para cada item proposto acima. A formao dos
grupos e a orientao sobre a elaborao dos captulos devero ser realizadas na primeira
aula da disciplina. Os captulos sero elaborados conforme descritos nas etapas do desafio, e
devero ser entregues conforme planejamento do professor da disciplina.

Objetivo do Desafio
Elaborao de um manual tcnico sobre segurana em tecnologia e sistemas de
informao.

Livro Texto da Disciplina

A produo desta ATPS fundamentada no livro-texto da disciplina, que dever ser
utilizado para soluo do desafio:
MANOTTI, Alessandro. Curso Prtico - Auditoria de Sistemas. 1 ed. Rio de Janeiro: Cincia
Moderna, 2010.

ETAPA 1 (tempo para realizao: 5 horas)

Aula tema: Introduo Segurana de Informao e Auditoria. Definio de
processos de proteo de informaes e ativos digitais armazenados em
computadores e redes de processamento de dados.
Esta atividade importante para que voc conhea conceitos bsicos e a terminologia
de segurana em sistemas de informao, redes de computadores e auditoria de sistemas.
Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Aluno)
Fazer uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros
complementares da disciplina. Em seguida, ler o captulo de um dos livros que faz uma
introduo aos conceitos de segurana em sistemas de informao e redes de computadores.
Passo 2 (Aluno)
Ler o artigo O enfoque social da segurana da informao. Este artigo est disponvel no
sistema
Scielo
e
pode
ser
acessado
atravs
do
seguinte
link:
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt>. Acesso em:
24 mar. 2014.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 4 de 7

Passo 3 (Equipe)
Elaborar o Captulo 01: Segurana em Sistemas de Informao e Redes de Computadores do
Manual de Segurana e Auditoria em Sistemas de Informao. Este captulo deve conter os
seguintes tpicos:
1.1 Introduo Segurana em Sistemas de Informao e Redes de Computadores:
escrever um texto que apresente de forma objetiva pelo menos trs fatores que
levam as empresas a investirem em sistemas de segurana da informao.
1.2 Exemplos de Problemas de Segurana em Sistemas de Informao: fazer uma
pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de
falha de segurana em sistemas informao em empresas e suas consequncias.
1.3 Falhas em Sistemas de Informao: fazer a descrio das seguintes falhas de
segurana em sistemas de informao: SQL Injection, Quebra de Cdigo JavaScript,
Cross Site Scripting, Upload de Arquivos.
1.4 Correo de Falhas em Sistemas de Informao: fazer a descrio de pelo menos
uma maneira de evitar e/ou corrigir as falhas em sistemas de informao descritas
no tpico 1.3 deste relatrio.
1.5 Terminologia de Segurana: fazer uma descrio dos seguintes termos de
segurana em sistemas de informao: Hacker, Cracker, Cyberpunks, Coders, Black
Hat, Carding, Media Whore, Phreaking, Cavalo de Tria, Vrus e Worm.

ETAPA 2 (tempo para realizao: 5 horas)

Aula tema: Identificao das Necessidades de Segurana: avaliao de riscos;
necessidades legais, contratuais e estatutrias; princpios, objetivos e necessidades
organizacionais; polticas e diretrizes de segurana Avaliao dos Controles de
Segurana. Elaborao de Checklist.
Esta atividade importante para que voc conhea os servios de segurana em um
sistema de informao e aprenda a elaborar uma Poltica de Segurana para uma empresa.
Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Equipe)
Elaborar o Captulo 02: Controles e Poltica de Segurana do Manual de Segurana e
Auditoria em Sistemas de Informao. Este captulo deve conter os seguintes tpicos:
2.1 Servios de Segurana: apresentar a definio dos seguintes servios de segurana
em sistemas de informao e redes de computadores: Confidencialidade,
Autenticao, Integridade e Disponibilidade.
2.2 Controles Gerais de Segurana: fazer uma descrio dos seguintes Controles
Gerais de Segurana em Sistemas de Informao: Controles de Software, Controles
de Hardware, Controle de Operaes de Computador, Controles de Segurana de
Dados, Controles de Implementao e Controles Administrativos.
2.3 Controles de Aplicao de Segurana: fazer uma descrio dos seguintes Controles
de Aplicao de Segurana em Sistemas de Informao: Totais de Controle,

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 5 de 7

Verificao de Edio, Compatibilizao Automtica, Clculos dos Totais de

Controle e Listas de Distribuio de Relatrios.
Passo 2 (Equipe)
Continuar a elaborao do Captulo 02 e faam o seguinte tpico:
2.4 Poltica de Segurana: elaborar um documento que apresente a descrio de uma
Poltica de Segurana. Este documento deve apresentar um exemplo parcial da
Poltica de Segurana para uma empresa conforme os itens e subitens a seguir:
2.4.1 Descrio do Sistema: fazer a descrio do papel do Sistema de Informao.
2.4.2 Requisitos de Segurana: descrever os seguintes itens: Ameaas
Confidencialidade, Ameaas Integridade, Ameaas Disponibilidade e
Possveis Atacantes.
2.4.3 Plano de Resposta a Incidentes de Segurana: fazer a descrio dos seguintes
itens: Planejamento de Resposta Incidentes, Pontos de Contato e Resposta
um Incidente.

ETAPA 3 (tempo para realizao: 5 horas)

Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenes.
Esta atividade importante para que voc conhea tcnicas de gerenciamento de
riscos, os principais tipos de ataques em Sistemas de Informao em Redes de Computadores
e mecanismos de segurana.
Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Aluno)
Acessar o site: Invasao.com e leia a matria: Hackers invadiram 1.195 pginas
governamentais
neste
ano,
2009.
Disponvel
em:
<https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U
5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en>. Acesso em: 24
mar. 2014.
Passo 2 (Equipe)
Elaborar o Captulo 03: Gerenciamento de Riscos em Sistemas de Informao do manual. Este
captulo deve conter os seguintes tpicos:
3.1 Gerenciamento de Riscos em Sistemas de Informao: fazer uma descrio de pelo
menos duas possveis causas de risco no sistema de informao da empresa
referentes : Erro Humano, Falha de Hardware, Falha de Software, Espionagem,
Vandalismo, Engenharia Social.
3.2 Ataques em Sistemas de Informao e Redes de Computadores: fazer uma
descrio e apresente pelo menos um exemplo dos seguintes tipos de ataques em
sistemas de informao e redes de computadores: Ataque para Obteno de
Informaes, Ataques de Negao de Servio e Ataques no Nvel de Aplicao.
Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 6 de 7

3.3 Mecanismos de Segurana: apresentar a definio e um exemplo dos seguintes

mecanismos de segurana: Senha, Criptografia, Assinatura Digital e Firewall.
3.4 Preveno de Riscos: apresentar uma medida de preveno de riscos referente a
cada uma dos seis riscos apresentados no tpico 3.1 deste captulo.

ETAPA 4 (tempo para realizao: 5 horas)

Aula tema: A Importncia da Auditoria. Os Tipos de Auditoria em Tecnologia da
Informao. Cases de Sucesso. Principais Elementos Envolvidos na Auditoria.
Avaliao de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes
Disponveis no Mercado; Ferramentas de Anlise de Dados.
Esta atividade importante para que voc conhea os principais tipos de auditoria em
tecnologia e sistemas de informao, os elementos, procedimentos e metodologias
envolvidos na auditoria e conhea ferramentas e softwares disponveis no mercado para
realizar auditoria de sistemas.
Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Equipe)
Elaborar o Captulo 04: Auditoria em Sistemas de Informao do manual. Uma auditoria em
sistemas de informao pode abranger desde o exame de dados registrados em sistemas
informatizados at a avaliao do sistema (Aplicativos, Sistemas Operacionais, Banco de
Dados e Estrutura de Rede). Este captulo deve conter os seguintes tpicos:
4.1 Tcnicas de Auditoria em Sistemas de Informao: descrever as atividades das
seguintes tcnicas de auditoria: Entrevista, Questionrio e Verificao In Loco, Test
Deck, Simulao Paralela, Teste de Recuperao, Teste de Desempenho, Teste de
Estresse, Teste de Segurana, Teste de Caixa Preta Teste de Caixa Branca,
Mapping, Tacing, Snapshot e Integrated Test Facility.
4.2 Tipos de Auditoria de Sistemas: fazer a descrio dos seguintes tipos de auditoria:
Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas,
Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria
em Microcomputadores.
4.3 Controles: fazer a descrio dos seguintes tipos de controles de auditorias:
Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de
Entrada de Dados, Controle de Processamento de Dados e Controle de Sada de
Dados.
Passo 2 (Equipe)
Continuar com a elaborao do Captulo 04 e faam o seguinte tpico:
4.4 Softwares de Auditoria de Sistemas de Informao: fazer uma pesquisa e apresente
pelo menos trs softwares de auditoria de sistemas de informao comercializados
atualmente (ou do tipo open source). Fazer a descrio de suas funcionalidades, seus
tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 7 de 7

Padronizao
O material escrito solicitado nesta atividade deve ser produzido de acordo com as
normas da ABNT, com o seguinte padro (exceto para produes finais no textuais):

em papel branco, formato A4;

com margens esquerda e superior de 3cm, direita e inferior de 2cm;

fonte Times New Roman tamanho 12, cor preta;

espaamento de 1,5 entre linhas;

se houver citaes com mais de trs linhas, devem ser em fonte tamanho 10, com
um recuo de 4cm da margem esquerda e espaamento simples entre linhas;

com capa, contendo:

nome de sua Unidade de Ensino, Curso e Disciplina;

nome e RA de cada participante;

ttulo da atividade;

nome do professor da disciplina;

cidade e data da entrega, apresentao ou publicao.

Para consulta completa das normas ABNT, acesse a Normalizao de Trabalhos Acadmicos
Anhanguera.
Disponvel
em:
<http://issuu.com/normalizacao/docs/normaliza____o_de_trabalhos_acad__m>.
Acesso
em: 13 maio 2014.

Renato Cividini Matthiesen