Você está na página 1de 132

AUTARQUIA EDUCACIONAL DO VALE DO SÃO FRANCISCO

FACULDADE DE CIÊNCIAS APLICADAS E SOCIAIS DE


PETROLINA
CURSO DE CIÊNCIA DA COMPUTAÇÃO

SEGURANÇA E AUDOTORIA DE SISTEMAS

Prof. Alírio Amorim Nunes


alirionunes@facape.br

SEGURANÇA E AUDOTORIA DE SISTEMAS

EMENTA

 Auditoria de Sistemas, PED nas empresas,


segurança, formação de Departamentos de
Auditoria, levantamentos, procedimentos.

CONTEÚDO

1. Conceito e organização de Auditoria


2. Segurança nas informações
3. Auditoria da Tecnologia da Informação
4. Segurança em Redes e Internet.

1
SEGURANÇA E AUDOTORIA DE SISTEMAS

BIBLIOGRAFIAS BÁSICAS

• DIAS, Cláudia. Segurança e Auditoria da Tecnologia


da Informação. 1ª. Edição, AXCEL BOOKS, 2000.

• GIL, Antonio de Loureiro. Auditoria de Computadores.


5ª. Edição, Atlas, 2000.

• SÊMOLA, Marcos. Gestão da Segurança da


Informação: uma visão executiva. Rio de Janeiro:
Campus, 2003.

SEGURANÇA E AUDOTORIA DE SISTEMAS

BIBLIOGRAFIAS COMPLEMENTARES

• Autor Anônimo. Segurança Máxima, 2ª. Edição,


Editora Campus, 2000.

• STALLINGS, William. Criptografia e segurança de


redes: princípios e práticas. 4ª ed. São Paulo:
Pearson Prentice Hall, 2008.

• Tribunal de Contas da União. Manual de Auditoria de


Sistemas, 1999.

2
SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

• Os requisitos de SEGURANÇA DA INFORMAÇÃO


dentro de uma organização passaram por duas
mudanças importantes nas últimas décadas:

MUDANÇA 1)

ANTES do uso generalizado de equipamentos de


processamento de dados, a segurança da informação
considerada valiosa para uma organização era
fornecida por principalmente por meios físicos e
administrativos.
Ex.: - Armários robustos com fechadura com segredo
para armazenar documentos confidenciais

SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

• HOJE, com a introdução do computador, tornou-se


evidente a necessidade de ferramentas automatizadas
para proteger arquivos e outras informações
armazenadas em computador, principalmente em
sistemas que podem ser acessados por meio de uma
rede telefônica pública, rede de dados ou a internet.

• O nome genérico para o conjunto de ferramentas


projetadas para proteger dados e impedir hackers é
SEGURANÇA DE COMPUTADOR.

3
SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

MUDANÇA 2)

Introdução de sistemas distribuídos e o uso de rede e


recursos de comunicação para transmitir dados entre
o usuário do terminal e o computador e entre
computadores.

• Segurança inter-rede – empresas, governo e


organizações acadêmicas interconectam seus
equipamentos de processamento de dados com um
conjunto de redes.

SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

TENDÊNCIAS DE SEGURANÇA

Em 1994 o Internet Architecture Board (IAB) emitiu um


relatório intitulado “Security in the internet architecture”
que estabelecia o consenso geral de que a internet
precisa de mais e melhor segurança, e identificava as
principais áreas:

• Infra-estrutura de rede contra monitoração e controle não autorizados do


tráfego da rede;

• Proteção do tráfego de usuário final para usuário final usando


mecanismos de autenticação e criptografia.

4
SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

5
SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

6
SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

SEGURANÇA E AUDOTORIA DE SISTEMAS

INTRODUÇÃO

7
SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

• Auditoria: é uma atividade que engloba o exame das


operações , processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o intuito
de verificar sua conformidade com certos objetivos e
políticas institucionais, orçamentos, regras, normas
ou padrões.

FASES DA AUDITORIA

• Planejamento
• Execução
• Relatório

SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

1. CAMPO

1.1 Objeto. Pode ser uma entidade completa


(instituição pública ou privada), uma parte selecionada
ou uma função dessa entidade.

1.2 Período. Pode ser de um ano, um mês ou


período de uma gestão.

8
SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

1.3 Natureza. Serão apresentados em seguida os


tipos mais comuns, classificados sob os aspectos:
órgão fiscalizador, forma de abordagem do tema e tipo
ou área envolvida.

SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

Natureza da Auditoria
Quanto ao Órgão Fiscalizador:
• Auditoria Interna
• Auditoria Externa
• Auditoria Articulada

Quanto à Forma de Abordagem do Tema:


• Auditoria Horizontal – Auditoria com tema específico realizada em várias
entidades ou serviços paralelamente.
• Auditoria Orientada – Auditoria focada em uma atividade específica
qualquer ou em atividade com fortes indícios de erros ou fraudes.

9
SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

Natureza da Auditoria (cont.)


Quanto ao Tipo ou Área Envolvida:
• Auditoria de programas de governo
• Auditoria de planejamento estratégico
• Auditorias administrativa, contábil, financeira, legalidade
• Auditoria operacional
•Auditoria de TI

SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA E CONCEITOS BÁSICOS

2. AMBITO
Constitui-se da amplitude e exaustão dos processos
de auditoria, incluindo uma limitação racional dos
trabalhos a serem executados.
Define então até que ponto serão aprofundadas as
tarefas de auditoria e seu grau de abrangência.

3. ÁREA DE VERIFICAÇÃO
É o conjunto formado por campo e âmbito da
auditoria. Delimita de modo preciso os temas da
auditoria, em função da entidade a ser fiscalizada e da
natureza da auditoria.

10
SEGURANÇA E AUDOTORIA DE SISTEMAS
Abrangência de Auditoria
Área de Verificação

Âmbito Campo

Objeto Período Natureza

Sub 1 Sub 2 Sub 3

SEGURANÇA E AUDOTORIA DE SISTEMAS

OUTROS TERMOS IMPORTANTES:

1. CONTROLE. Fiscalização exercida sobre as


atividades de pessoas, órgãos, departamentos, ou
sobre produtos, para que os mesmos não se desviem
das normas preestabelecidas.

1.1 Controles preventivos. Usados para prevenir


erros, omissões ou atos fraudulentos.

1.2 Controles detectivos. Usados para detectar


erros, omissões ou atos fraudulentos e ainda relatar
sua ocorrência (exemplo: software de controle de
acessos e relatórios de tentativas de acesso não
autorizados a um determinado sistema.

11
SEGURANÇA E AUDOTORIA DE SISTEMAS

OUTROS TERMOS IMPORTANTES:

1. CONTROLE. Fiscalização exercida sobre as


atividades de pessoas, órgãos, departamentos, ou
sobre produtos, para que os mesmos não se desviem
das normas preestabelecidas.

1.3 Controles corretivos. Usados para reduzir


impactos ou corrigir erros uma vez detectados.

SEGURANÇA E AUDOTORIA DE SISTEMAS

OUTROS TERMOS IMPORTANTES:

2. OBJETIVOS DE CONTROLE. São metas de controle


a serem alcançadas, ou efeitos negativos a serem
evitados, para cada tipo de transação, atividade ou
função fiscalizada.

3. PROCEDIMENTOS DE AUDITORIA. Formam um


conjunto de verificações e averiguações que permite
obter e analisar as informações necessárias à
formulação da opinião do Auditor.

12
SEGURANÇA E AUDOTORIA DE SISTEMAS

OUTROS TERMOS IMPORTANTES:

4. ACHADOS DE AUDITORIA. São fatos significativos


observados pelo auditor durante a execução da
auditoria.

5. PAPÉIS DE TRABALHO. São registros que


evidenciam atos e fatos observados pelo auditor.
Podem estar sob a forma de documentos, tabelas,
planilhas, listas de verificações, arquivos
informatizados, etc.

SEGURANÇA E AUDOTORIA DE SISTEMAS

OUTROS TERMOS IMPORTANTES:

6. RECOMENDAÇÕES DE AUDITORIA. São


recomendações feitas em relatórios, como medidas
corretivas possíveis, sugeridas pela instituição
fiscalizadora ou pelo auditor em seu relatório, para
corrigir deficiências detectadas durante a auditoria.

13
SEGURANÇA E AUDOTORIA DE SISTEMAS

AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO

• É um tipo de auditoria operacional, isto é, que analisa


a gestão de recursos, enfocando os aspectos de
eficiência, eficácia, economia e efetividade.

Pode abranger:

• O ambiente de informática como um todo.


• A organização do departamento de informática
• Controles sobre BD´s
• Redes
• Diversos aplicativos

SEGURANÇA E AUDOTORIA DE SISTEMAS

Sub-Áreas de auditoria em ambientes informatizados :

1. Auditoria da segurança de informações

Determina a postura da organização com relação a


segurança.

Avalia a política de segurança e os controles


relacionados com aspectos de segurança institucional
mais globais.

Faz parte da auditoria da tecnologia da informação.

14
SEGURANÇA E AUDOTORIA DE SISTEMAS

O escopo da auditoria de segurança de informações


envolve:

a) Avaliação da política de segurança


b) Controles de acesso lógico
c) Controles de acesso físico
d) Controles ambientais
e) Plano de contingências e continuidade de serviços

SEGURANÇA E AUDOTORIA DE SISTEMAS

Sub-Áreas de auditoria em ambientes informatizados :

2. Auditoria da tecnologia da informação

Além de todos os aspectos relacionados com a


auditoria da segurança da informação, abrange ainda
outros controles que podem influenciar a segurança
de informações e o bom funcionamento dos sistemas
de toda a organização, tais como controles:

15
SEGURANÇA E AUDOTORIA DE SISTEMAS

Controles da auditoria da tecnologia da informação:

a) organizacionais
b) de mudanças
c) de operação dos sistemas
d) sobre banco de dados
e) sobre microcomputadores
f) sobre ambientes cliente-servidor

SEGURANÇA E AUDOTORIA DE SISTEMAS

Sub-Áreas de auditoria em ambientes informatizados :

3. Auditoria de aplicativos:
Está voltado para a segurança e controle de
aplicativos específicos, incluindo aspectos intrínsecos
à área que o mesmo atende.

Compreende:
a) Controle sobre o desenvolvimento de aplicativos.
b) Controle de entrada, saída e processamento de dados.
c) Controle sobre conteúdo e funcionamento do aplicativo, com
relação à área por ele atendida.

16
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

Profissionais de alta capacidade técnica, em constante


aperfeiçoamento, comprometidos com a organização e
com postura adequada.

Conhecimentos necessários:

Na área que atua, com experiências práticas


anteriores.
Bom nível em sistemas computacionais para planejar,
dirigir, supervisionar e revisar o trabalho executado.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

Conhecimentos necessários (cont.)


Quanto mais complexos os elementos do ambiente
computacional e o grau de profundidade esperado dos
exames de auditoria, maior a necessidade de
especialização da equipe e/ou do auditor.

Algumas vezes torna-se necessário contratação


externa.

17
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

Conhecimentos necessários (cont.)

Normalmente os conhecimentos básicos englobam


sistemas operacionais, software básico, bancos de
dados, redes LAN/WAN, avançando até softwares de
controle de acesso, planos de contingências e de
recuperação e metodologias de desenvolvimento de
sistemas.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria
n1
Conhecimentos necessários (cont.)

• Segundo o padrão internacional de auditoria, o


auditor deve ter o conhecimento suficiente de sistemas
computacionais para planejar, dirigir, supervisionar e
revisar o trabalho executado.
• Cabe ao auditor avaliar se será necessário um nível
de conhecimento mais especializado e aprofundado
para a realização da auditoria.

18
Slide 36

n1 Atualizar material impresso.


notebook; 22/2/2008
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

Composição da Equipe:

Contratação de consultoria externa

Desenvolver habilidades em informática nos


auditores com formação básica em contabilidade
e auditoria

Desenvolver habilidades em auditoria


funcionários com formação em análise de
sistemas, ciência da computação, etc...

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

CONTRATAÇÃO DE AUDITORIA EXTERNA

• Recomendável para sistemas de alta complexidade e especialização.


• Análise minuciosa do custo-benefício.
• Extensão do trabalho dos consultores, utilizando externa somente
onde não houver disponibilidade na própria equipe.
• Em caso de contratação, os acertos financeiros e cláusulas
contratuais devem ser o mais claros possíveis. Deve-se optar por
empresas/pessoas já com experiência na atividade e checar seus
desempenhos em trabalhos anteriores.
• A equipe externa deve se envolver desde o início dos trabalhos.
Deve-se estabelecer etapas bem definidas e pontos de controle, com
supervisão contínua de integrante da organização contratante.

19
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

CONTRATAÇÃO DE AUDITORIA EXTERNA

Qual o tipo de consultoria mais adequada?

• Deve ter recursos (humanos e tecnológicos) adequados para atingir os


objetivos da auditoria dentro do prazo e com a qualidade esperada.
• Firmas ou organizações – podem dispor de mais recursos e oferecer uma
gama maior de serviços ou profissionais para cada tipo de atividade. No
entanto isso não garante a qualidade dos seus serviços.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

CONTRATAÇÃO DE AUDITORIA EXTERNA

Qual o tipo de consultoria mais adequada?

•Profissionais autônomos – podem atuar no planejamento estratégico da


auditoria ou nas verificações de campo. Podem complementar a equipe
interna em todo a verificação ou em determinadas fases do processo.
• Tanto firmas como especialistas autônomos podem ser de grande utilidade
no planejamento da auditoria, na condução de entrevistas com o auditado, na
avaliação de controles, na captação de dados dos sistemas, na revisão dos
resultados obtidos e nas recomendações finais do relatório de auditoria.

20
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

CONTRATAÇÃO DE AUDITORIA EXTERNA

Analisando os Candidatos ao Serviço de Consultoria Externa


• Estudar bem as propostas, detalhando os custos do serviços, os recursos
humanos oferecidos, suas habilidades técnicas, plano de trabalho, etc...
• Seleção inicial dos possíveis candidatos, identificando consultores que já
prestaram serviços à organização e reconhecidos no mercado por sua
especialização e qualidade dos serviços.
• Definir os critérios para a análise das propostas dos consultores. A proposta
tem que ser compatível com os requisitos e prazos estabelecidos. Os custos
devem ser bem explicitados para que não haja dúvidas sobre sua
composição.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

CONTRATAÇÃO DE AUDITORIA EXTERNA

Relacionamento com os Consultores Externos


• Para assegurar a qualidade do trabalho, o entrosamento da equipe é
essencial, principalmente se membros não fizerem parte do corpo funcional
da organização.
• Nas auditorias com participação externa, é necessário que os aspectos
relevantes estejam sempre sob o controle do coordenador da equipe,
necessariamente um funcionário da organização.
• Devem ser estipulados pontos de controle durante a execução da auditoria
para que o coordenador avalie periodicamente o trabalho.
• É recomendável a transferência de conhecimentos entre os consultores e os
membros internos da equipe, visando a capacitação dos mesmos para
auditorias semelhantes no futuro.

21
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

AVALIANDO O TRABALHO REALIZADO

• É importante analisar os resultados, com a participação da


equipe interna, coordenador e gerência da organização
contratante.
• Discutir os pontos fortes e fracos, relatar as dificuldades .
• Comparar resultados esperados com alcançados.
• Orçamento, Prazos, Níveis de qualidade : previsto X real
• Cooperação entre equipe externa e interna, sugestões
para futuras auditorias.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

COMPOSIÇÃO DA EQUIPE

Desenvolver habilidades em informática nos auditores com formação


básica em contabilidade e auditoria

• A compreensão pode ser mais difícil. A linguagem técnica e as


evoluções constantes podem dificultar um aprendizado adequado.
• As dificuldades decorrentes da falta de boa vontade dos profissionais
de informática ou o uso excessivo de vocabulário técnico.
• Um bom nível de especialização só é conseguido após anos de de
formação e práticas.

22
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

COMPOSIÇÃO DA EQUIPE

Desenvolver habilidades em auditoria funcionários com formação em


análise de sistemas, ciência da computação, etc...

• Pode produzir resultados mais satisfatórios e em menor


tempo.
• Normalmente as ferramentas de auditoria são
computacionais.
• O potencial do profissional de informática que se deseja
capacitar e sua capacidade de adaptação devem ser
avaliados criteriosamente.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

COMPOSIÇÃO DA EQUIPE

Desenvolver habilidades em auditoria funcionários com formação em


análise de sistemas, ciência da computação, etc...

• A preparação tem que ser contínua. Participações em seminários e


cursos de especialização é indispensável. Participação em fóruns e
consultas a sites de referência também são válidos.
• A equipe deve se preocupar em montar um Manual de Auditoria da TI
para a organização, além de manter um acervo com livros e revistas
especializadas para consultas a qualquer tempo.

23
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

TREINAMENTO

• A computação está em constante evolução tecnológica;


• O treinamento constante de auditores é imprescindível para que
estejam preparados para realizar auditorias com qualidade e com grau
de profundidade técnica adequado;
• Os sistemas atuais são muito complexos e exigem conhecimentos que
vão desde sistemas operacionais, planos de contingências,
desenvolvimento de aplicativos, segurança de informações que trafegam
pela internet etc.;
• Devem ser traçadas estratégias diferentes de treinamentos a depender
do nível de conhecimento dos auditores.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

TREINAMENTO

Devem ser estimulados a participar de:


. Seminários
. Cursos de especialização
. Workshops
. Congressos
. Grupos de discussão
. Boletins
. Home pages de organizações especializadas.

24
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

QUALIFICAÇÃO PROFISSIONAL

• Em alguns países existem organizações que promovem certificações


de qualificação profissional de auditores de sistemas:
n4
• ISACA (Information Systems Audit and Control Association –
Certificado de Auditor de Sistemas de Informação (CISA)
• British Computer Society – Exame da Sociedade Britânica de
Informática
• Institute of Internal Auditors (IIA) – Qualificação em Auditoria
Computacional

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

QUALIFICAÇÃO PROFISSIONAL

• O IIA e a ISACA, em especial, desempenham um papel ativo no


desenvolvimento de padrões de auditoria e controle de sistemas de
informação.
• Sob demanda, provêem informações sobre suas publicações, padrões
e qualificação.
• A certificação de auditor de sistemas é sempre atualizada.
• Algumas organizações ao contratar serviços de auditoria exigem a
apresentação de certificados atualizados.

25
Slide 49

n4
Ler artigo sobre metodologia COBIT desenvolvida pelo ISACA
notebook; 22/2/2008
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

MANUAL DE AUDITORIAn5
DA TECNOLOGIA DA INFORMAÇÃO

OBJETIVO:
 Orientar o trabalho dos auditores
 Difundir o conhecimento nessa área
• O nível de detalhamento desse material dependerá do tamanho da
equipe, do tempo disponível para desenvolver essa documentação e do
grau de qualificação técnica de seus componentes.
• Caberá à chefia decidir se serão elaborados documentos específicos
ou se serão utilizadas publicações de outras entidades de fiscalização e
controle em TI.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

BIBLIOTECA TÉCNICA

• O grupo de auditores deverá ter à sua disposição uma biblioteca


técnica para consulta. Com isso:
 Os trabalhos serão orientados de acordo com padrões existentes;
 A equipe estará sempre atualizada;
 Terão à disposição publicações técnicas como fonte de pesquisa;
 Deve manter nessa biblioteca todos os relatórios de auditorias em TI;
 Deverá dispor ainda: legislação e normas, manuais de auditoria e
procedimentos, livros de informática, revistas, manuais de treinamentos,
artigos de jornais relacionados etc.

26
Slide 51

n5 Modelo: Manual de Auditoria do Tribunal de Contas da União, elaborado com a participação da


Auditora Cláudia Dias, também autora do livro Segurança e Auditoria de Sistemas, adotado como
bibliografia básica.
notebook; 26/2/2008
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

ORGANIZAÇÃO DA EQUIPE ESPECIALIZADA

• Uma única pessoa não deterá todos os conhecimentos necessários em


TI para uma auditoria;
• É necessário que uma equipe de auditoria seja formada por auditores
com diferentes especializações;
• Cabe à gerência desenvolver as especializações que faltam, através de
treinamento adequado, e administrar o grupo como um time coeso que
se complementa;
• Formada essa equipe, esta pode atuar em auditorias de tecnologia da
informação ou como suporte técnico a outras equipes de auditoria.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

ADMINISTRANDO RECURSOS HUMANOS ESCASSOS

• Auditores de sistemas são considerados recursos humanos escassos,


por isso suas atividades são definidas apenas nos casos em que sua
atuação é realmente necessária;
• Uma forma de amenizar essa escassez é formando auditores para
atuar como suporte básico de informática nas equipes de auditoria de
caráter genérico - AUDITOR GENERALISTA;
• Normalmente o auditor generalista executa atividades de caráter
preliminar em ambientes de informática ou sistemas considerados pouco
complexos para determinar a estratégia de auditoria mais adequada.

27
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

ADMINISTRANDO RECURSOS HUMANOS ESCASSOS

• É necessário que as atividades de cada auditor sejam bem definidas, bem


como o suporte técnico dado pelos auditores especializados, limites de atuação,
relacionamentos entre eles, etc.;
• Os planos de auditoria devem ser elaborados levando em conta os recursos
humanos disponíveis. Devem ser elaborados planos de preferência anual;
• A tendência é que no futuro todos os auditores tenham conhecimentos
necessários para realizar auditorias de sistemas;
• É necessário que a função de auditoria se adapte aos novos ambientes e
necessidades do mercado.
• Espera-se com o uso cada vez mais intenso do computador que haja um
aumento no mercado desse profissionais.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

PLANEJAMENTO DE ATIVIDADES

Em organizações de auditoria geralmente as atividades são planejadas


em três níveis, baseados em períodos de tempo diferentes:

 Plano Estratégico de Longo Prazo:


• Normalmente para períodos de 3 a 5 anos;
• Objetivos mais amplos, atinge toda a organização e tem que ser aprovado
pela gerência superior;
• Define metas, forma de atuação, recursos necessários, necessidades de
treinamento etc.
• É aconselhável revisar a atualizar anualmente.

28
SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

PLANEJAMENTO DE ATIVIDADES

Em organizações de auditoria geralmente as atividades são planejadas


em três níveis, baseados em períodos de tempo diferentes:
 Plano Estratégico de Médio Prazo:
• Traduz o plano de longo prazo para um programa de atividades para o ano
que se inicia;
• Em geral, procura atender as demandas das auditorias genéricas por
auditorias mais especializadas;
• Normalmente aprovada pela gerência intermediária, define os objetivos
macros das auditorias a serem feitas em seguida;
• Deve ser flexível para aceitar as alterações necessárias.

SEGURANÇA E AUDOTORIA DE SISTEMAS

Equipe de Auditoria

PLANEJAMENTO DE ATIVIDADES

Em organizações de auditoria geralmente as atividades são planejadas


em três níveis, baseados em períodos de tempo diferentes:
 Plano Estratégico Operacional:
• Baseia em auditorias individualizadas
• Contem detalhes exatos dos objetivos, áreas a serem auditadas, recursos
necessários, prazos, objetivos de controle e procedimentos de auditoria a
serem seguidos.
• É o plano específico de uma determinada auditoria;
• Será tratado a seguir (planejamento e execução).

29
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

A fase de planejamento identifica os instrumentos indispensáveis à sua


realização. Estabelece, entre outras coisas:

• Recursos necessários
• Área de verificação
• Metodologias
• Objetivos de controle
• Procedimentos a serem adotados

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

Pesquisa de fontes de informação:

• A maior quantidade possível de informações da entidade auditada e


seu ambiente de informática deve ser levantada.
• Estas informações possibilitam uma noção da complexidade dos
sistemas e estabelecer os recursos e conhecimentos técnicos
necessários.
• Tipos de informações técnicas: hardware, SO, sistemas de segurança,
aplicativos e os responsáveis pelas áreas.

30
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

Definindo Campo, Âmbito e Sub-áreas

• O campo da auditoria é composto por objeto, período e natureza.


• Em auditorias de informática, a natureza é a própria auditoria de TI.
• O Objeto pode englobar um sistema computacional, uma ou mais seções do
deptº de informática ou toda a organização em termos de políticas de
informática.
• O período depende do grau de profundidade das verificações (âmbito) e das
sub-áreas.
• Tendo definido o conjunto campo e âmbito, é fixada toda a área de verificação

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

Definindo os Recursos Necessários

• Recursos humanos
• Recursos econômicos
• Recursos técnicos

31
Planejamento e Execução de Auditoria

ÁREA DE VERIFICAÇÃO – DEPARTAMENTO DE INFORMÁTICA

Âmbito
Avaliação da
eficácia dos Campo
controles

Objeto Período Natureza


Segurança de 01/08 a Audit. TI
informações 30/09/2005

Sub 1 Sub 2 Sub 3


Controles Controles Backup
de Acesso de Acesso
Físico Lógico

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

METODOLOGIAS

Entrevistas
Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar
os resultados do trabalho.

• Entrevista de Apresentação
• Entrevistas de Coleta de Dados
• Entrevistas de discussão das deficiências encontradas
• Entrevistas de encerramento

32
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

METODOLOGIAS

Uso de Ferramentas de Apoio (CAATs)n3

• Técnicas de análise dados


• Técnicas para verificação de controles de sistemas
• Outras ferramentas

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

METODOLOGIAS

• Técnicas de análise dados

Os dados do auditado pode ser coletados e analisados com o auxílio de


softwares de extração de dados, de amostragem, de análise de logs e
módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos
da entidade

33
Slide 65

n3 CAAT - Técnica de Auditoria Assistida por Computador.


notebook; 22/2/2008
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

METODOLOGIAS

• Técnicas para verificação de controles de sistemas

Permite testar a efetividade dos controles dos sistemas do auditado. Pode-se


analisar sua confiabilidade, e ainda determinar se estão operando
corretamente a ponto de garantir a fidedignidade dos dados.

Dentre as técnicas mais utilizadas, pode-se citar:


Massa de dados de teste, simulações, software de comparação de programas,
mapeamento e rastreamento de processamento

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

METODOLOGIAS

• Outras ferramentas

Existem ferramentas que não são necessariamente de apoio à auditoria, mas


auxilia o auditor durante a execução da auditoria e na elaboração do
relatório.

Se encontram nessa categoria: editores de textos, planilhas eletrônicas,


banco de dados e softwares para apresentações.

34
SEGURANÇA E AUDOTORIA DE SISTEMAS

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

Os objetivos de controle norteiam a auditoria em várias áreas especializadas


e organizacionais.

Para realizar uma avaliação da atuação de outros profissionais, é necessário


que o avaliador tenha um modelo normativo, um conjunto de padrões, de
como a atividade deveria estar sendo feita.

O modelo normativo é traduzido em objetivos de controle a serem avaliados


pelo auditor em cada área específica.

SEGURANÇA E AUDOTORIA DE SISTEMAS

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

EXEMPLO:
Na área de segurança, um dos objetivos de controle pode ser o
estabelecimento de regras para acesso aos recursos computacionais.

Alguns procedimentos de auditoria relacionados ao objetivo acima citado


pode ser: verificar se há documento formal que justifique a necessidade do
usuário para acessar determinados recursos computacionais;

ou verificar se existem procedimentos que definem os recursos


computacionais que poderão ser acessados e os tipos de transações que
poderão ser executadas por cada usuário autorizado.

35
SEGURANÇA E AUDOTORIA DE SISTEMAS

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

ENFOQUES E MOTIVAÇÕES:
• Segurança – dados e sistemas em que são essenciais a confidencialidade, a
integridade, a disponibilidade de informações;
• Atendimento a solicitações externas – verificação de indícios de
irregularidades motivados pela imprensa, denuncia, solicitação de órgãos
superiores;
• Materialidade – valor significativo dos sistemas computacionais, transações,
em termos econômico-financeiro;
• Altos custos de desenvolvimento – sistemas com altos custos de
desenvolvimento envolvem riscos mais altos para a organização.

SEGURANÇA E AUDOTORIA DE SISTEMAS

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

ENFOQUES E MOTIVAÇÕES:
• Grau de envolvimento dos usuários - sistemas elaborados sem o
envolvimento dos usuários em geral não atendem satisfatoriamente às suas
necessidades;
• Outsourcing - efeitos da terceirização no ambiente de informática.

A partir do momento em que foram definidas a área de verificação e as sub-


áreas a serem auditadas, a equipe seleciona os objetivos de controle mais
apropriados e, por fim, utiliza procedimentos de auditoria para testar se os
respectivos objetivos de controle estão sendo seguidos pela entidade.

36
SEGURANÇA E AUDOTORIA DE SISTEMAS

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

Normalmente as organizações ligadas à auditoria da tecnologia da informação


publicam manuais de orientação contendo objetivos de controle e
procedimentos de auditoria típicos em um ambiente de informática.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

EXECUÇÃO:

Na execução, a equipe deve reunir evidências confiáveis, relevantes e úteis


para os objetivos da auditoria.
TIPOS:
• Evidência física
• Evidência documentária
• Evidência fornecida pelo auditado
• Evidência analítica
Todas essas evidências devem estar organizadas nos papéis de trabalhos,
para facilitar a elaboração do relatório.

37
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

RELATÓRIO

A forma como o auditor apresenta seus achados e conclusões, com


comprovações, incluindo recomendações e, conforme o caso, determinações.
Deve ser claro, objetivo, sem uso exagerado de termos técnicos.
Glossário ao final, caso haja uso de termos e siglas.
Bem organizado.
Relatórios preliminares podem ser apresentados e discutidos com a parte
auditada e/ou com a autoridade contratante.
O relatório final deve ser revisado por todos os membros da equipe, para
verificar sua consistência, omissões como também uma revisão gramatical.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANEJAMENTO E EXECUÇÃO DE AUDITORIA

ESTRUTURA DO RELATÓRIO

• Dados da entidade auditada.


• Síntese – breve resumo do relatório
• Dados da auditoria – objetivos, período, equipe, metodologia, etc..
• Introdução – breve histórico, resumo de audit. Anteriores, estrutura
hierárquica dos deptº auditados, etc...
• Falhas detectadas – Detalhamento das falhas e irregularidades, com
comentários e justificativas e parecer da equipe.
• Conclusão – Resumo dos principais pontos e recomendações finais para
correção das falhas e apontar pontos fortes.
• Pareceres – Quando necessário, de instâncias superiores.

38
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Política de Segurança
• Informações têm que estar disponíveis no momento e no local
estabelecido, têm que ser confiáveis, corretas e mantidas fora do
alcance de pessoas não autorizadas.

• Objetivos de Segurança
• Confidencialidade ou privacidade – informações protegidas de
acesso não autorizado. Envolve medidas de controle de acesso e
criptografia. (LEITURA)
• Integridade dos dados – Evitar alteração ou exclusão indevida de
dados. (GRAVAÇÃO/ALTERAÇÃO/EXCLUSÃO).

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Objetivos de Segurança (cont.)

• Disponibilidade – Garantia que os serviços prestados por um


sistema estão sempre acessíveis a pessoas autorizadas. (BACKUP)
• Consistência – Garantia de que o sistema atua de acordo com a
expectativa.
• Isolamento ou uso legítimo – Regular o acesso ao sistema.
Acesso não autorizado é sempre um problema, pois tem que se
identificar quem, quando, como e os resultados desta ação.

39
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Objetivos de Segurança (cont.)

• Auditoria – Proteção contra erros e atos acidentais ou não dos


usuários autorizados.
• Confiabilidade – Garantir que, mesmo em condições adversas, o
sistema atuará conforme esperado.

Dependendo da organização, um objetivo pode ser mais importante


que o outro. Na maioria dos casos, é dada maior importância à
disponibilidade e integridade.

SEGURANÇA E AUDOTORIA DE SISTEMAS

QUESTÕES RELEVANTES

• O que se quer proteger ?


• Contra que ou quem ?
• Quais as ameaças mais prováveis ?
• Qual a importância de cada recurso ?
• Qual o grau de proteção desejado ?
• Quanto tempo e recursos para atingir os objetivos de segurança ?
• Qual a expectativa dos usuários e clientes em relação à segurança de
informações ?
• Quais as conseqüências em caso de roubo ou dano?

40
SEGURANÇA E AUDOTORIA DE SISTEMAS

COMPROMETIMENTO DA GERÊNCIA SUPERIOR

• Prioridade menor em relação a outros projetos.


• Segurança só é lembrada depois de um desastre ocorrido.
• Política considerada dispendiosa.
• Segurança vista como inibidor e não como uma garantia.
• Rastreamento ou monitoramento de outras gerências.
• Uma real política de segurança deve ser posta em prática e encarada
com seriedade por todos e ter o total apoio da alta gerência.
• O comprometimento deve ser formalizado, de forma clara e objetiva,
baseados nos princípios gerais, deixando os detalhes para outros
documentos mais específicos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

LEGISLAÇÃO BRASILEIRA E INSTITUIÇÕES PADRONIZADORAS

A segurança da informação, em função de sua grande importância para


a sociedade moderna, deu origem a diversos grupos de pesquisa, cujos
trabalhos muitas vezes são traduzidos em padrões de segurança, e a
projetos legislativos que visam tratar do assunto sob o aspecto legal,
protegendo os direitos da sociedade em relação a suas informações e
prevendo sanções legais aos infratores.

Em geral, os padrões de segurança são utilizados no âmbito


internacional, enquanto as leis e normas são normalmente
estabelecidas em caráter nacional, podendo haver, entretanto,
similaridades entre as legislações de países diferentes.

41
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Definindo uma Política de Segurança de Informações


• Política de segurança é um mecanismo preventivo de proteção dos dados
e processos importantes de uma organização que define um padrão de
segurança a ser seguido pelo corpo técnico e gerencial e usuários.
• Princípios básicos
• Como a organização irá proteger, controlar e monitorar seus recursos
computacionais e suas informações.
• Responsabilidades das funções relacionadas com a segurança.
• Discriminação das principais ameaças, riscos e impactos envolvidos.
• Política de segurança de informações integrada à política de segurança
em geral.

SEGURANÇA E AUDOTORIA DE SISTEMAS


SEGURANÇA DE INFORMAÇÕES

n2
Estratégia geral da organização

Estabelece

Plano Estratégico Define Política de segurança


de Informações
de Informática
Gera Impactos sobre
Especifica

Planos de desenvolvimentos de sistemas


Plano de continuidade de serviços
Planejamento de capacidade
Outros projetos

42
Slide 84

n2 LEITURA COMPLEMENTAR

Ler artigo Integração entre o Planejamento Estratégico da Organização e o Planejamento Estratégio


em Tecnologia da Informação.
notebook; 22/2/2008
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Envolvimento de todos – O Segredo do Sucesso !


• Para uma completa e efetiva Política de segurança de informações é
imprescindível que sejam envolvidos a alta gerência, a gerência de
segurança, a de recursos e de finanças, os demais gerentes e sobretudo,
os usuários.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Política de Segurança de Informações - Tópicos Importantes

• Conteúdo básico: orientações sobre análise e gerência dos riscos,


princípios de conformidade dos sistemas com a PSI, classificação das
informações e padrões mínimos de qualidade.
• Princípios legais e éticos:
• Direito à propriedade intelectual.
• Direitos sobre softwares.
• Princípios de implementação de segurança.
• Políticas de controle de acesso a recursos e sistemas.
• Princípios de supervisão das tentativas de violação da SI.

43
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

Política de Segurança de Informações - Tópicos Importantes

• Esses pontos devem ser claros e detalhados para serem compreendidos.


Para um maior aprofundamento, pode-se dispor de outros documentos
mais específicos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PROCESSO DE IMPLANTAÇÃO DA PSI

Processo formal e longo; flexível para permitir ajustes conforme


necessidades
• Fases:
• Identificação dos recursos críticos.
• Classificação das informações.
• Definição em linhas gerais, dos objetivos de segurança a
serem atingidos.
• Análise das necessidades de segurança (ameaças, riscos e
impactos).
• Elaboração da proposta inicial.

44
SEGURANÇA E AUDOTORIA DE SISTEMAS

PROCESSO DE IMPLANTAÇÃO DA PSI

Fases (cont.)
• Discussões abertas com os envolvidos.
• Apresentação do documento formal à gerência superior.
• Aprovação
• Implementação
• Avaliação da política e identificação das mudanças necessárias
• Revisão

SEGURANÇA E AUDOTORIA DE SISTEMAS

PROCESSO DE IMPLANTAÇÃO DA PSI

• Identificando os recursos

O que precisa ser protegido? Quais os mais importantes?


• Hardware
• Software
• Dados
• Pessoas
• Documentação
• Suprimentos

45
SEGURANÇA E AUDOTORIA DE SISTEMAS

PROCESSO DE IMPLANTAÇÃO DA PSI

• Classificação das informações – necessidade,


responsabilidade.

• Públicas ou de uso irrestrito


• De uso interno
• Confidenciais
• Secretas

SEGURANÇA E AUDOTORIA DE SISTEMAS

PROCESSO DE IMPLANTAÇÃO DA PSI

• Classificação dos Sistemas – camadas para facilitar os


controles
• Aplicativos – necessidades específicas.
• Serviços – utilizados pelos aplicativos.
• Sistema Operacional – gerenciamento de recursos
computacionais.
• Hardware

• Análise individual de cada camada em termos de segurança,


configurada e monitoradas de forma compatível com o nível de
segurança definido.

46
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando Riscos

• Risco = ameaça + vulnerabilidade + impactos.


• Identifica componentes críticos e custo potencial aos
usuários.
• Ponto chave em qualquer política de segurança.

• Identificar ameaças e impactos, possibilidades de uma ameaça se


concretizar e entender os riscos potenciais.
• Classificar por nível de importância, custos envolvidos na
prevenção/ recuperação.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando Riscos (cont.)

• Riscos podem ser apenas reduzidos, nunca eliminados.


Medidas mais rígidas tornam os riscos menores, mas não
eliminam.
• Conhecimento prévio das ameaças e seus impactos podem
resultar em medidas mais efetivas para reduzir as ameaças,
vulnerabilidades e impactos. É sempre melhor (e mais barato!)
prevenir do que remediar.

47
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando ameaças – Contra quem proteger ?

• Custo pode ser mais alto do que os danos provocados.


• Conceitos Básicos:
• Recurso – componente de um sistema computacional.
• Ameaça – evento ou atitude indesejável que pode remover,
desabilitar, danificar ou destruir um recurso.
• Vulnerabilidade – fraqueza ou deficiência que pode ser
explorada por uma ameaça.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando ameaças – Contra quem proteger ?


• Conceitos Básicos (cont.)
• Ataque – ameaça concretizada.
• Impacto – conseqüência de uma vulnerabilidade ter sido
explorada por uma ameaça.
• Probabilidade – chance de uma ameaça atacar com
sucesso.
• Risco – medida da exposição a qual o sistema está
sujeito. Depende de uma ameaça atacar e do impacto
resultante. Envolve esses componentes mais as
vulnerabilidades.

48
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando ameaças
• Ameaça é tudo aquilo que pode comprometer a segurança de um
sistema, podendo ser acidental (falha de hardware, erros de
programação/usuários, etc...), ou deliberada (roubo, espionagem,
sabotagem, invasão, etc...).
• Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de
causar dano.
• Ameaças deliberadas:
•Passivas – envolvem invasão e/ou monitoramento, sem alteração
de informações.
•Ativas – Envolvem alteração nos dados.
•A magnitude de uma ameaça deliberada está relacionada com a
oportunidade, motivação e forma de detecção e punição de
quebras de segurança.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando ameaças – tipos

• Vazamento de informações - informações


desprotegidas/reveladas
• Violação de integridade – comprometimento da consistência
• Indisponibilidade de serviços – impedimento ao acesso aos
recursos
• Acesso e uso não autorizado –pessoa ou uso não autorizado.

49
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Após as ameaças se efetivarem em um ataque:


• Mascaramento – uma entidade ou pessoa se passa por outra
• Desvio de controles – falhas nos controles permitem acessos
• Violação autorizada – usuário autorizado com propósitos não
autorizados
• Ameaças Programadas – códigos de softwares embutidos nos
sistemas para violar segurança, alterar ou destruir dados.
Ameaças Vulnerabilidades ou Fragilidades
Impactos
LISTA DE AMEAÇAS – RECURSOS IMPACTADOS – OBJETIVOS AFETADOS –
GRAU DE IMPACTO

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Bugs de Software

• Bug - erro num programa de computador que o faz


executar incorretamente.
• Bugs trazem aborrecimentos e muitas vezes prejuízo.
• Back doors – Bugs propositalmente inseridos nos
programas para permitir acesso não autorizado (brechas de
segurança).
• Hackers estão sempre em busca de back doors para
invadir sistemas.

50
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Ameaças programadas

• Programas podem passar a ter comportamentos


estranho, pela execução de códigos gerados para danificar
ou adulterar o comportamento normal dos softwares.
• Podem ser confundidos ou identificados como vírus.
• Mais freqüentes em microcomputadores.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Vírus – Perigo real, imediato e crescente.


• Surgimento de novas pragas, cada vez mais eficientes e
desastrosas e de longo alcance.
• Ambiente Internet contribui para disseminação.
• Atualização do antivírus não acontece na mesma freqüência.

• Diferentes Nomenclaturas para ameaças programadas


• Vírus
• Worms
• Bactéria
• Bomba Lógica
• Cavalo de Tróia
• etc.

51
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Vírus

Pequenos programas projetados para se replicarem e se espalharem


de um computador a outro, atacando programas ou o setor de boot
de um disco rígido.

São seqüências de códigos inseridas em outro código executável, de


forma que, quando esses programas são ativados, os vírus também
são executados.

São variações com um mecanismo de ativação (evento ou data),


com uma missão (apagar arquivos, enviar dados etc.), se
propagam (anexando-se a arquivos e programas).

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Worms

Programas que se propagam de um computador a outro em uma rede,


sem necessariamente modificar programas nas máquinas de destino.

São programas que pode rodar independentemente e trafegam de uma


máquina a outra através das conexões de rede, podendo ter pedaços de
si mesmos rodando em várias máquinas.

Não modificam programas, embora possam carregar outros programas


que o faça.

Exemplos: VBS/LoveLetter e variantes

52
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Bactéria

Programas que geram cópias de si mesmos com o intuito de


sobrecarregar um sistema de computador.

Não causa danos a arquivos. Seu único propósito é a replicação.

A reprodução é exponencial

Pela forma como se replica pode consumir toda a capacidade do


processador, memória, espaço em disco etc. impedindo o acesso de
pessoas autorizadas a esse recurso.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Bomba Lógica

Ameaça programada, camuflada em programas, que é ativada quando


certas condições são satisfeitas.

Uma vez ativada executam funções que alteram o comportamento do


software “hospedeiro”.

Condições ativadoras: um dia da semana ou do ano, a presença ou


ausência de certos arquivos, determinado usuário rodando uma
aplicação etc.

Pode destruir ou alterar dados, travar o computador ou danificar o


sistema.

53
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Cavalo de Tróia

Programa que parece ter uma função mas que, na realidade, executa
outras funções.

Se parecem com programas que o usuário gostaria de rodar (jogo,


planilha, editor etc.). Enquanto parece estar executando uma coisa,
está fazendo algo totalmente diferente: apagando arquivos,
reformatando discos, alterando dados etc.

Tudo o que o usuário vê é apenas uma interface adulterada do


programa que queria utilizar.

Quando é percebido já é tarde demais.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

•Tipos de Vírus
• Vírus de Boot - move ou altera o conteúdo original do boot,
ocupando aquele espaço e passando atuar como se fosse o próprio
boot do sistema.
• Vírus parasita – utilizam arquivos executáveis (.com, .exe) como
hospedeiros, inserindo códigos de desvio para o código do vírus.
• Vírus camuflados – para dificultar o seu reconhecimento pelos
anti-vírus.
• Vírus polimórficos – mudam seu aspecto cada vez que infectam
um novo programa.
• Vírus de macro – macros são pequenos programas embutidos em
planilhas e arquivos de texto. Como esses arquivos são os mais
comuns, tratam-se de excelente meio de propagação.

54
•Vírus de Macro - Atuação

NORMAL.DOT

MACROS

TEXTO TEXTO

Macro com Macro com


vírus vírus

Doc1.doc Doc2.doc

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Fontes de infecção por Vírus

• Disquetes
• Redes
• Cd-Rom´s de revistas
• E-mails

• Softwares Anti-Vírus

• Prevenção
• Detecção
• Remoção

55
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

•Analisando impactos e calculando riscos

• Em função do tempo em que um impacto, causado por uma


ameaça, permanece afetando a instituição: curto ou longo prazo.

• Escala de Classificação:
• 0 - Impacto irrelevante.
• 1 – Pouco significativo, sem afetara a maioria dos processos.
• 2 – Sistemas não disponíveis por um período de tempo,
pequenas perdas financeiras e de credibilidade.
• 3 – Perdas financeiras de maior vulto e de clientes.
• 4 – Efeitos desastrosos, sem comprometer a sobrevivência da
instituição.
• 5 – Efeitos desastrosos, comprometendo a sobrevivência da
instituição.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando impactos e calculando riscos

• Além do nível do impacto, temos também os tipos de impacto,


definidos a critério de cada instituição.

• Exemplos de tipos de impactos:


• 01 – Modificação dados.
• 02 – Sistemas vitais não disponíveis
• 03 – Divulgação de informações não confidenciais
• 04 – Fraudes.
• 05 – Perda de credibilidade
• 06 – Possibilidade de processo contra a instituição
• 07 – Perda de clientes para a concorrência

56
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Analisando impactos e calculando riscos

• Assim como os impactos, as probabilidades de ameaças podem ser


distribuídas em uma escala

• Escala de Classificação:
• 0 – Ameaça completamente improvável de acontecer.
• 1 – Probabilidade de ocorrer mais de uma vez por ano.
• 2 – Probabilidade de ocorrer pelo menos uma vez por ano.
• 3 – Probabilidade de ocorrer pelo menos uma vez por mês.
• 4 – Probabilidade de ocorrer pelo menos uma vez por semana.
• 5 – Probabilidade de ocorrer diariamente.

Matriz de Relacionamento entre Ameaças, Impactos e


Probabilidades

Ameaças Genéricas Tipo Impacto Probabilidade


Impacto 0-5 0-5
•Erros Humanos
Ameaças associadas à identificação
• Cavalos de Tróia
Ameaças associadas à disponibilidade
• Desastres Naturais
Ameaças associadas à confidencialidade
• Monitoramento tráfego rede interna
Ameaças associadas à integridade
• Modificações deliberadas das informações
Ameaças associadas ao controles de Acesso
• Acesso a arquivos de senhas

57
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Controles de Segurança

• Uma vez identificados os impactos e ameaças e calculados os


riscos, são desenvolvidas estratégias para controlar o ambiente
vulnerável:
• Para cada risco tentar implementar as seguintes linhas de ação:
• Eliminar o risco.
• Reduzir o risco a um nível aceitável.
• Limitar o dano, reduzindo o impacto.
• Compensar o dano, por meio de seguros.
• Controle em camadas – estratégia eficiente, pois distribui a
segurança em níveis, se um falhar ainda existem outros para
proteger o recurso. (APLICATIVOS, SERVIÇOS, S.O. E HW.)

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Definindo Serviços de Segurança

• Serviços de segurança são medidas preventivas escolhidas para


combater ameaças identificadas (ISO 7498/2).
• Modelo para redes, porém aplicados a sistemas computacionais
em geral.
• Categorias de serviços:
• Autenticação – verifica a identidade de quem está solicitando
o acesso ao recurso.
• Controle de acesso – proteção contra uso não autorizado de
recursos.
• Confidencialidade dos dados – proteção contra leitura não
autorizada.

58
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Categorias de serviços:

• Integridade dos dados – proteção contra ameaças à validade


e consistência dos dados.
• Disponibilidade – garantia que os recursos estarão
disponíveis.
• Não repúdio – em comunicações, tenta evitar que remetente
ou destinatário neguem que enviaram ou receberam dados

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Serviços de Segurança

• Serviços de segurança são uma classe especial de medidas


preventivas relacionadas com o ambiente lógico. No geral existem
outras medidas importantes como:

• Segurança Física.
• Segurança dos recursos computacionais
• Segurança administrativa
• Segurança de meios magnéticos
• Controles de desenvolvimentos de aplicativos.

59
SEGURANÇA E AUDOTORIA DE SISTEMAS
• Definindo Mecanismos de Segurança

• Mecanismo de segurança é o meio utilizado para atender um


serviço de segurança. Por exemplo, a criptografia é um mecanismo
que garante a confidencialidade dos dados.

• Principais mecanismos de segurança:


• Sistemas criptográficos - utilizam criptografia ou
algoritmos criptográficos para proporcionar confidencialidade às
informações.
• Mesmo que outros métodos falhem (controle de acesso,
senhas, etc...) os dados permanecem invioláveis ao invasor.

SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA XYSKOKQE03393 * ** 7 &5
SEGURANÇA SEGURANÇA ALGORTIMO ¨%#¨&¨6 6¨% %¨& *Hn BNe
SEGURANÇA SEGURANÇA r4123478 *7542## &Um (O
SEGURANÇA SEGURANÇA p_=)(*& ¨%$ #@!
SEGURANÇA SEGURANÇA

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Criptografia

• algoritmo formam uma seqüência de operações para transformar


texto em claro em texto cifrado.
Mais conhecidos:

• DES (Data Encryption Standard – IBM 1970) – desenvolvido na


década de 70 pela IBM;
• Treli DES – variação do DES que utiliza três chaves criptográficas
diferentes;

• IDEA(International Data Encryption Algorithm) – desenvolvido em


1990 pelo Instituto Federal Suíco de Tecnologia e considerado um
dos mais rápidos algoritmo disponíveis no mercado.

60
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Criptografia

Mais conhecidos (cont.):

• RSA(Rivest, Shamir e Adleman – desenvolvedores) – capaz de


implementar tamanhos variáveis de chaves;

• Família RC – Conjunto de algoritmos que utilizachaves de tamanho


variável;

• Família MD(Message Digest) – conjunto de algoritmos utilizado


para garantir a integridade de dados, atualmente padrão para
correio eletrônico, firewalls e redes VPN.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Criptografia

• A concepção do sistema criptográfico é de que apenas as pessoas


que conhecem a chave secreta são capazes de decifrar um texto
criptografado.

• A criptografia atende a mais de um mecanismo de segurança, pois


além de ocultar a informação (confidencialidade), mantém o
conteúdo inalterado (integridade) desde a cifragem até a
decifragem.

61
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Criptografia

• Produtos populares que usam a criptografia:

• PGP (Pretty Good Privacy) – software de proteção muito


comum. Usa os algoritmos IDEA e RSA.

• SSL (Secure Socket Layer) – desenvolvido pela Netscape,


oferece autenticação, verificação de integridade, compressão e
criptografia. Chaves de até 128 bits.

• SET (Security Electronics Transations) – Desenvolvido pelas


principais administradoras de Cartão de Crédito, para proteger
transações eletrônicas.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Outros mecanismos de segurança

• Assinatura Digital – conjunto de mecanismos que podem prover


serviços de não repúdio, de autenticação de origem ou de
integridade. Um procedimento para a assinatura e outro para
verificação da mesma.

• Mecanismos de controles de acesso – o proprietário decide quem


e como poderá ser acessado o recurso. Podem ser listas de direitos
de acesso, perfis, etc...

• Mecanismos de integridade de dados – proteção contra


modificação de dados.

62
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Outros mecanismos de segurança

• Mecanismos de disponibilidade – dispositivos como unidades de


backup e recuperação de dados, equipamentos de controle de
temperatura, no-breaks e equipamentos redundantes que garantam
a disponibilidade dos sistemas.

• Trocas de autenticações – atendem ao serviço de autenticação da


entidade que solicita o recurso.

• Enchimento de tráfego – usado em conjunto com sistemas


criptográficos para prover confidencialidade no fluxo de dados,
impedindo análise de tráfego.

• Controles de roteamento – prevenção do tráfego de dados críticos


em canais de comunicação inseguros.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Ataques

• Passivos – não interferem no conteúdo do recurso atacado.


• Ativos – Afetam e prejudicam o conteúdo do recurso atacado.

• Hackers X Crackers
• Funcionários e Ex-funcionários
• Consultores Externos

63
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Implantando Gerência de Segurança

• Dependendo do tamanho e do grau de vulnerabilidade da


organização, a responsabilidade de segurança de informações deve
ser desempenhada por pessoa ou grupo especialmente dedicado a
esta finalidade.
• Gerente de Segurança – auxiliar no desenvolvimento da política de
segurança e cuidar da divulgação e aplicação correta da mesma.
Deve ter linha direta com a direção.
• Princípios básicos:
• Prevenir o acesso não autorizado.
• Impedir que aqueles que conseguirem acesso danifiquem ou
adulterem qualquer coisa.
• Uma vez ocorrido o ataque, identificar suas causas, recuperar
sistemas e dados e modificar os controles para evitar novas
ocorrências.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Implantando Gerência de Segurança

• As funções de uma gerência de segurança podem ser subdividas


em 04 gerências:
• Gerência de segurança de sistemas
• Gerência dos serviços de segurança
• Gerência dos mecanismos de segurança
• Gerência de auditoria de segurança

• Grupos de pessoas com responsabilidades em SI:


• Proprietários do sistema
• Gerente do sistema
• Usuário

64
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Implantando Gerência de Segurança

• Gerência de segurança de sistemas

Responsável pela segurança institucional, isto é, engloba todos os


aspectos de segurança de sistemas (administração da política de
segurança, auditoria de segurança, procedimentos de recuperação
após ataque etc.). É importante que essa gerência esteja sempre
atualizada em relação aos problemas, riscos e soluções de segurança
mais recentes.

SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Implantando Gerência de Segurança

• Gerência dos serviços de segurança

Administração de serviços de segurança específicos (como


confidencialidade e autenticação), incluindo a seleção dos
mecanismos de segurança mais adequados para atendê-los.

65
SEGURANÇA E AUDOTORIA DE SISTEMAS

SEGURANÇA DE INFORMAÇÕES

• Implantando Gerência de Segurança


• Gerência dos mecanismos de segurança
Administração individualizada dos mecanismos de segurança.
• Gerência de auditoria de segurança

Revisão e verificação de registros e atividades de segurança com


intuito de testar a adequação dos controles do sistema, garantir sua
aderência à política de segurança estabelecida e recomendar
mudanças necessárias nos controles, procedimentos ou na própria
política adotada.
É recomendável que o mesmo seja independente (não esteja
envolvido na administração da segurança) para que possa opinar de
forma isenta.

SEGURANÇA E AUDOTORIA DE SISTEMAS

O QUE FAZER EM CASO DE VIOLAÇÃO DA POLÍTICA DE


SEGURANÇA

• Detectar sua razão – negligência, acidente ou erro, desconhecimento


da política de segurança ou por ação deliberada.

• É recomendável que a política de segurança contenha os passos a


serem seguidos para cada tipo de violação, de acordo com a sua
severidade, visando a ação corretiva e a punição.

• Dependendo do dano a ação pode ser desde uma advertência verbal


até um processo judicial.

• Para se tomar qualquer medida punitiva sobre usuários autorizados,


este deve ter sido esclarecido sobre a política de segurança da
organização.

66
SEGURANÇA E AUDOTORIA DE SISTEMAS

O QUE FAZER EM CASO DE VIOLAÇÃO DA POLÍTICA DE


SEGURANÇA

• O programa de treinamento em segurança deve fazer parte da


formação de novos funcionários e de reciclagem dos funcionários mais
antigos.

• O treinamento em segurança deve ser uma atividade continuada.


Sempre há uma novidade a ser transmitida, uma nova ameaça etc.

• Devem ser utilizados diferentes meios para divulgação: aulas, boletins


informativos, vídeos, teatro etc.

SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

• Os aspectos de segurança apresentados a seguir podem ser usados


como uma lista de verificações, tanto pela gerência de segurança de
sistemas, como pela equipe de auditoria.

• Gerência: conjunto de tarefas a serem realizadas na implementação


de uma política de segurança;

• Auditoria: procedimentos de auditoria relacionados à política de


segurança da organização auditada.

67
SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações:

• Elaborar, divulgar e manter atualizado documentos que descreva a


política de segurança de informações;

• A alta gerência deve estar comprometida com a política de segurança


de informações, a qual deve ser implantada de acordo com o documento
formal por ela aprovado.

• Definir uma estrutura organizacional responsável pela segurança, a


qual deve aprovar e revisar as políticas de segurança, designar funções
de segurança e coordenar a implantação da política.

SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações (cont) :

• Estabelecer procedimentos de segurança de pessoal, com o intuito de


reduzir ou evitar erros humanos, mal uso de recursos computacionais,
fraude ou roubo, por meio de um processo rigoroso de recrutamento de
pessoal e de controle sobre acesso a dados confidenciais.

• Todos os funcionários devem ter conhecimento dos riscos de


segurança de informações e de suas responsabilidades com relação a
esse assunto. É aconselhável que haja um treinamento de segurança
para difusão de boas práticas e padrões de segurança, promovendo
uma cultura de segurança na organização.

68
SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações (cont) :

• Controlar e classificar os recursos computacionais de acordo com seu


grau de confidencialidade, prioridade e importância para a organização.
Todos os recursos (hardware, software, dados, documentação, etc.)
devem ser administrados por um responsável designado seu
proprietário.

• Definir padrões adequados de segurança física para prevenir acessos


não autorizados, danos ou interferência em atividades críticas. Devem
ser estabelecidos limites de acesso ou áreas de segurança com
dispositivos de controle de entrada. Todos os equipamentos e
cabeamentos de energia elétrica e de telecomunicações devem ser
protegidos contra interceptação, dano, falha de energia, picos de luz e
outros problemas elétricos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações (cont) :

• Implantar controle de acesso lógico aos sistemas de forma a prevenir


acessos não autorizados. Esse controle pode ser feito via processo
seguro de logon, senhas fortemente seguras, registro formal de
usuários, monitoramento por trilhas de auditoria etc.

• Administrar os recursos computacionais e as redes seguindo requisitos


de segurança previamente definidos.

69
SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações (cont.) :

• Definir procedimentos de backup e de restauração dos sistemas


computacionais para garantir a integridade e a disponibilidade de dados
o software. A freqüência de backup deve ser apropriada e pelo menos
uma cópia do backup deve ser guardada em local seguro. Os
procedimentos de restauração devem ser periodicamente testados para
garantir sua efetividade quando forem necessários.

• Antes da inclusão de qualquer programa nos sistemas computacionais


da organização, tomar as medidas de segurança exigidas na política de
segurança.

SEGURANÇA E AUDOTORIA DE SISTEMAS

IMPLEMENTANDO E AUDITANDO POLÍTICAS DE SEGURANÇA

Lista de Verificações (cont.) :

• Investigar qualquer incidente que comprometa a segurança dos


sistemas. Os registros desses incidentes devem ser mantidos e
periodicamente analisados para detectar vulnerabilidades na política de
segurança adotada.

• Após uma violação da política de segurança, tomar as medidas


necessárias para identificação de suas causas e agentes, correção das
vulnerabilidades e punição aos infratores.

• Auditar regularmente todos os aspectos de segurança a fim de


determinar se as políticas estão sendo efetivamente cumpridas ou se são
necessárias modificações.

70
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Controles de Acesso Lógico

• Os dispositivos e sistemas computacionais não podem ser


facilmente controlados com dispositivos físicos como alarmes,
guardas, etc...
• Acesso lógico:
Arquivos ou
Usuário ou Processo Equipamentos
• Controles de acesso lógico são um conjunto de medidas e
procedimentos, adotados pela organização ou intrínsecos aos
softwares utilizados, para proteger dados e sistemas contra
tentativas de acesso não autorizadas.

• O usuário é peça importante nesse controle (senhas fracas ou


compartilhadas, descuidos na proteção de informações, etc...)

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Recursos e informações a serem protegidos

• Aplicativos – Programas fonte e objeto. O acesso não autorizado


pode alteraras funções dos programas.
• Arquivos de dados – Bases de dados podem ser alteradas ou
apagadas sem a autorização adequada.
• Utilitários e Sistema Operacional – O acesso também deve ser
restrito, pois podem provocar alterações nas configurações e nos
arquivos em geral ou podem permitir a cópia dos mesmos.

71
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Recursos e informações a serem protegidos (cont.)


• Arquivos de Senhas – A falta de proteção a esses arquivos pode
comprometer toda a segurança, já que se forem descobertos e
decifrados, a vulnerabilidade é total.
• Arquivos de Log – Os logs são usados para registra as ações dos
usuários, sendo ótimas informações para auditorias e análise de
quebras de segurança. Se não houver proteção a esses arquivos,
o usuário ou invasor pode apagar as pistas de suas ações.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Elementos Básicos de Controle de Acesso Lógico


• Dois pontos distintos de controle: o recurso computacional que
se pretende proteger e o usuário a quem se pretende conceder os
privilégios e acesso aos recursos.
• Objetivos dos controles:
• Apenas usuários autorizados tenham acesso aos recursos.
• os usuários tenham acesso aos recursos necessários a
execução de suas tarefas.
• O acesso a recursos críticos seja monitorado e restrito.
• Os usuários sejam impedidos de executar transações
incompatíveis com sua função ou responsabilidades.

IDENTIFICAÇÃO ALOCAÇÃO, LIMITAÇÃO, PREVENÇÃO DE


AUTENTICAÇÃO GERÊNCIA E MONITORAMENTO ACESSOS NÃO
DE USUÁRIOS MONITORAMENTO E DESABILITAÇÃO AUTORIZADOS
DE PRIVILÉGIOS DE ACESSOS

72
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Processo de Logon

• Obtenção de acesso aos aplicativos, dados e sistema


computacional.
• Requer um userid (conta ou logon) – identificação, e uma senha
- autenticação.
• Usuários habilitados já devem conhecer o processo e o formato.
Não é necessário “ajudas” toda vez que ele for “logar”.
• É recomendável limitar o número de tentativas frustradas de
logon, bloqueando a conta do usuário e desfazendo a conexão.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Processo de Logon

• Identificação do usuário – deve ser única. Regras de formação


também são importantes que permitem rápida identificação.

• Autenticação do usuário – é a confirmação do usuário perante


o sistema. Pode ser por senha, cartões ou características físicas,
como o formato da mão, da retina ou do rosto, impressão digital
ou reconhecimento da voz.

73
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Senhas

• A política de senhas é imprescindível. Uma má administração


destes procedimentos expõe a organização a riscos.
• Repetição de senhas para vários sistemas é prática comum, mas
reprovável.
• Senhas com elementos facilmente identificados:

• Nome ou nome da conta


• Nomes de membros da família ou amigos íntimos
• Nome do SO ou da máquina
• Datas

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Senhas

• Senhas com elementos facilmente identificados(cont.):

• Nº de telefone, cartão de crédito, Identidade ou docs


pessoais
• Placas ou marcas de carro
• Nomes próprios
• Letras ou números repetidos
• Qualquer senha com menos de 06 caracteres

74
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Senhas
• Alguns softwares são capazes de quebrar senhas frágeis. Podem
ser usados também para bloquear o uso delas.

• Como escolher uma boa senha:


• Compostas por letras (maiúsculas e minúsculas), números e
símbolos embaralhados.
• De fácil memorização, para não ser preciso anotar.
• De digitação rápida.
• Iniciais de Frases de conhecimento do usuário, mesclando
simbolos (@, #,$, %) entre os caracteres.
• Evitar usar as mesmas senhas para vários sistemas, pois se
um deles não for protegido, o risco é grande.
• Forçar ou criar um hábito de troca periódica.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Tokens

• Token é um objeto que o usuário possui que o diferencia das


outras pessoas e o habilita a acessar alguma coisa.

• Chaves, cartões, objetos especiais são exemplos comuns de


tokens.

• A desvantagem é que podem ser perdidos, roubados ou


reproduzidos com facilidade.

• Os cartões inteligentes estão sendo muito usados e


aperfeiçoados para uso cada vez mais abrangente.

75
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Sistemas Biométricos

• São sistemas de verificação de identidade baseados em


características físicas dos usuários.
• São mais difíceis de serem burlados, mas ainda têm o fator
custo proibitivo.
• São a evolução dos sistemas manuais de reconhecimento, como
análise grafológica e de impressões digitais.
• A tecnologia de medir e avaliar determinada característica de tal
forma que o indivíduo seja realmente único.
• Um dos problemas é ainda a taxa de erros, pois determinada
característica pode mudar em uma pessoa, com o passar dos
anos ou por outra intervenção.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Sistemas Biométricos
• Impressões Digitais – São características únicas e consistentes.
São armazenados de 40 a 60 pontos para verificar a identidade.
• Voz – Sistemas de reconhecimento de voz são usados para
controle de acesso. Não são tão confiáveis em função dos erros
causados por ruídos no ambiente ou problemas na voz do
usuário.
• Geometria da Mão – usada em sistemas de controle acesso,
porém essa característica pode ser alterada por aumento ou
diminuição do peso ou artrite.
• Configuração da íris ou da retina – são mais confiáveis que as
de impressão digital, através de direcionamento de feixes de luz
nos olhos das pessoas.
• Reconhecimento Facial por meio de um termograma – Através
de imagem tirada por câmera infravermelha que mostra os
padrões térmicos de uma face. 19.000 pontos de identificação!

76
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Proteção aos recursos

• O fato do usuário ter sido identificado e autenticado não quer


dizer que ele poderá acessar qualquer informação ou aplicativo
sem restrição.

• É necessário o controle específico, restringindo o acesso apenas


às aplicações, arquivos e utilitários imprescindíveis às suas
funções.

• Controles de menus, disponibilizando somente opções


compatíveis com o usuário.

• Definição de perfis de cada usuário (ou grupo de usuários).

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Diretos e permissões de Acesso

• A segurança lógica é garantida através de dois tipos de


controle:
• O que um sujeito pode fazer.
• O que pode ser feito com um objeto.

• Podemos definir individualmente os direitos de acesso para cada


sujeito ou objeto. Mais trabalhosa para grandes quantidades.

77
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Diretos e permissões de Acesso

• Matriz de Controle de Acesso:

Relato.doc Audit.exe
Fernando - Execução
Lúcia Leitura/gravação -
Cláudio Leitura Execução

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Monitoramento

• Registros de logs, trilhas de auditoria ou outros mecanismos de


detecção de invasão são essenciais.
• Na ocorrência de uma invasão, erro ou atividade não
autorizada, é imprescindível reunir evidências para se tomar
medidas corretivas necessárias.

78
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Monitoramento

• Os logs funcionam também como trilhas de auditorias,


registrando cronologicamente as atividades do sistema.

• Possibilitam a reconstrução, revisão ou análise dos


ambientes e atividades relativas a uma operação,
procedimento ou evento.
• Por conterem informações essenciais para a segurança, os
arquivos de logs devem ser protegidos contra destruição ou
alteração por usuários ou invasores.
• O uso em excesso também pode degradar o sistema, sendo
necessário balancear a necessidade de registro de atividades
criticas e os custos em termos de desempenhos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Controles de Acesso Lógico ao Sistema Operacional

• Controles são implementados pelo fabricante do SO.


• As vezes, temos que instalar pacotes adicionais para
incrementar a segurança do SO.

79
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Outros Controles de Acesso Lógico

• Time-out automático.
• Limitação de horário de utilização de recursos.
• Evitar uso de sessões concorrentes.
• Se usuário estiver conectado, o invasor não poderá logar
com sua identificação/autenticação.
• Se o invasor tiver logado, o usuário terá seu acesso negado
por sua conta está sendo usada e poderá notificar à
segurança.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Gerência de Controle de Acesso Lógico

• Responsável por garantir controles adequados aos riscos,


previamente identificados e analisados.
• Deve determinar que tipo de controle deve ter cada caso.
• Deve sempre se basear nas condições estabelecidas na política
de segurança, tais como:
• Propriedade de cada sistema e arquivos de dados
relacionados.
• Classificação dos sistemas em termos de importância
quanto a disponibilidade, integridade e confidencialidade.
• Necessidade de acesso a dados e compatibilidades com
cada usuário.
• Responsabilidade de cada usuário.

80
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Riscos Inerentes a Controles de Acesso Lógico Inadequados

• Principais impactos: divulgação não autorizada de informações,


alteração não autorizada de dados e aplicativos e
comprometimento da integridade do sistema.
• Impactos maiores em aplicativos que manipulam dados
confidenciais e financeiros.
• A inexistência de controles de acesso a arquivos de dados
permite que um indivíduo faça mudanças não autorizadas para
permitir vantagem pessoal, por exemplo:
• Alterar número da conta de um pagamento, desviando
dinheiro para si mesmo.
• Alterar inventário da empresa, para esconder furtos.
• Aumentar seu salário na folha de pagamento.
• Obter informações confidenciais a respeito de transações
ou indivíduos, visando futura extorsão ou chantagens.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Riscos Inerentes a Controles de Acesso Lógico Inadequados


• O acesso irrestrito a aplicativos pode permitir o acesso aos
dados, resultando nas mesmas alterações.
• A falta de controle de acesso sobre meios magnéticos,
impressos ou de telecomunicações pode gerar os mesmos
problemas.
• Conseqüências mais graves:
• Perdas financeiras e fraudes.
• Extorsões.
• Custo de restauração ao estado inicial de programas e
dados.
• Perda de credibilidade.
• Perda de mercado para a concorrência.
• Inviabilidade para a continuidade do negócio.
• Processos judiciais por divulgação de informações.

81
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Conceder acesso, aos usuários, apenas aos recursos realmente


necessários para execução de suas tarefas.
• Restringir e monitorar o acesso a recursos críticos.
• Utilizar softwares de controle de acesso lógico.
• Utilizar criptografia.
• Revisar periodicamente as listas de controle de acesso.
• Evitar dar orientações ao usuário durante o processo de logon.
• Bloquear a conta do usuário após um certo número de tentativas
frustradas de logon.
• Restringir acesso a determinados periféricos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Fornecer contas apenas a pessoas autorizadas.


• Não fornecer a mesma conta para mais de um usuário.
• Ao conceder a conta ao usuário, informá-lo sobre as políticas de
senha da organização.
• Bloquear, se possível, a escolha de senhas consideradas frágeis e
orientar o usuário na escolha de senhas mais seguras,
• Orientar os usuários para não armazenarem senhas em arquivos ou
enviá-las por e-mail.
• Armazenar as senhas no sistema sob a forma criptografada.
• Prevenir o uso freqüente de senhas já utilizadas pelo mesmo
usuário anteriormente.
• Estabelecer um prazo máximo de utilização de uma mesma senha.

82
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Informar os usuários quanto aos perigos de divulgação de senhas.


• Impedir que os usuários sejam capazes de ler os arquivos de
senha, identificar e trocar senhas de outros usuários.
• Desabilitar contas inativas, sem senhas ou com senhas
padronizadas.
• Desabilitar as senhas de ex-funcionários.
• Não armazenar senhas em logs.
• Manter e analisar trilhas de auditoria e logs.
• Limitar o número de sessões concorrentes e o horário de uso dos
recursos computacionais.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO LÓGICO

• Configurar time-out automático.


• Revisar e incorporar as listas de verificações propostas na política
de segurança e nos outros tópicos de caráter mais específico, de
acordo com a área ou plataforma a ser auditada.

83
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles de Acesso Físico - Proteger equipamentos e


informações

Segurança de Acesso Segurança Ambiental

• Recursos a serem protegidos


• Equipamentos, Documentação, suprimentos e os próprios
usuários.
• A proteção física complementa a proteção lógica.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Administrativos

• Crachás de identificação
• Devolução de bens da instituição do funcionário demitido.
• Controle de entrada e saída de visitantes.
• Controle sobre prestadores de serviços ou funcionários fora do
horário normal.
• Princípio da mesa limpa.

84
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Explícitos

• Fechaduras ou cadeados comuns.


• Fechaduras codificadas acopladas a mecanismo elétrico.
• Fechaduras eletrônicas, cujas chaves são cartões magnéticos.
• Fechaduras biométricas, programadas para reconhecer
características físicas.
• Câmera de vídeo e alarmes, como controle preventivo e
detectivo.
• Guardas de segurança.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Definição dos Controles Físicos

• A gerência deve proceder uma análise dos riscos, ameaças e


vulnerabilidades dos componentes do sistema.
• As medidas preventivas (contidas na política de segurança)
devem reduzir os riscos, balanceando custo X benefício.

85
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Ambientais – diretamente relacionados com a


disponibilidade e integridade das informações.

• Visam proteger os recursos computacionais contra danos


provocados por desastres naturais, falhas em estruturas ou
instalações.
• Incêndios – Controles Preventivos e/ou Supressivos.
• Energia Elétrica e Descargas Elétricas Naturais – Afetam a
disponibilidade e a integridade dos sistemas.
• Uso efetivo de estabilizadores, no-breaks, geradores
alternativos, pára-raios.
• Instalações elétricas aterradas.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Ambientais – diretamente relacionados com a


disponibilidade e integridade das informações. (cont.)

• Enchentes ou ameaças que envolvam água – equipamentos


eletrônicos não combinam com água.
• Providências: verificação de possíveis entradas de água nos
ambientes. Teto, tubulações de água estouradas, ralos e esgotos,
aparelhos de refrigeração.
• O cpd pode ficar em um andar superior, se existem
possibilidades de enchentes ou inundações.

86
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Ambientais

• Temperatura, Umidade e Ventilação – Necessidade de


ambientes de temperatura, umidade e ventilação controlada.
• Temperaturas entre 10 e 32º C são recomendadas (para os
usuários também).
• Ambientes secos demais geram eletricidade estática e úmido
demais podem provocar oxidação e condensação nos
equipamentos.

SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Controles Ambientais (cont.)

• As canaletas de ventilação dos equipamentos devem estar


desobstruídas.
• Manutenção e limpeza nos equipamentos de ar condicionado.
• Limpeza e conservação – As salas dos equipamentos devem ser
mantidas limpas, sem acúmulo de materiais de fácil combustão.
• Proibição de consumo de cigarros, líquidos e alimentos próximo
aos equipamentos

87
SEGURANÇA E AUDOTORIA DE SISTEMAS

CONTROLE DE ACESSO FÍSICO

• Riscos Inerentes a Controles Ambientais Inadequados


• Danos nos equipamentos, causados por desastres naturais ou
falhas ou falta de fornecimento de energia.
• Indisponibilidade dos sistemas e integridade dos dados podem
trazer conseqüências sérias para a empresa.

• Riscos Inerentes a Controles Físicos Inadequados


• Danos intencionais ou acidentais provocados por funcionários,
prestadores de serviço, equipe de vigilância ou limpeza pode
variar desde roubo de equipamentos e componentes até
alteração, cópia ou divulgação de informações confidenciais e
atos de vandalismo.
• A falta de controle de acesso físico podem facilitar a ação de
invasores na tentativa de burlar os controles lógicos.

PLANO DE CONTINGÊNCIA

88
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Plano de Contingências e Continuidade dos Serviços de


Informática.

• Dependência extrema de computadores de muitas organizações.


• Não deixa de ser um risco, por isso merece muita atenção.
• Por causa das vulnerabilidades, é necessário adotar um plano
de recuperação após desastres.
• Instituições bancárias e financeiras são mais rígidas no
estabelecimento de planos de contingências.
• Fatos como o “bug do milênio” fez com que as empresas
despertassem da necessidade de planos.
• Atentados terroristas também provocaram maiores atenções
para mecanismos de reestruturação dos ambientes
computacionais.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Plano de Contingências e Continuidade dos Serviços de


Informática.

• A grande maioria das empresas nacionais ainda não despertou


para esse fato, pensando que isso só acontece com os outros.
• Um plano de recuperação na área de informática deve fazer
parte de uma estratégia ou política de continuidade de negócios
mais abrangente da empresa.
• É o conjunto de procedimentos para permitir que os serviços
continuem a operar, ou que tenham condições de serem
restabelecidos em menor tempo possível.

89
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Plano de Contingências e Continuidade dos Serviços de


Informática. Porque é necessário ?

• Os serviços de processamento de dados devem estar


preparados para imprevistos.
• Não é problema apenas do departamento de informática e sim
da organização.
• As decisões são de negócios e não técnicas apenas do DI.
• A organização vai analisar cada recurso e atividades e definir
sua importância para a continuidade dos negócios.
• O Plano deve ter o objetivo de manter a integridade dos dados,
a disponibilidade dos serviços ou mesmo prover serviços
temporários ou com certas restrições até que os serviços normais
sejam restaurados.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Plano de Contingências e Continuidade dos Serviços de


Informática. Porque é necessário ?

• Quanto mais tempo os serviços estiverem indisponíveis, maiores


os impactos nos negócios.
• Minimizar o tempo de parada dos sistemas para reduzir os
prejuízos.
• Como é medida preventiva, é muita vezes colocada em segundo
plano na empresa, principalmente pelos custos envolvidos.
• O PLANO NÃO É PARA DAR LUCRO E SIM EVITAR PREJUÍZOS.

90
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Fases do Plano de Contingências

• É importante definir aspectos administrativos como objetivos,


orçamentos, prazos, recursos humanos, materiais e equipamentos
necessários.

• Fases do plano:
• Atividades preliminares – conscientização, identificação dos
rcs, análise de custos, definição de prazos e aprovação do
projeto inicial.
• Análise de impacto – identificação dos impactos da
interrupção de cada sistema computacional.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

• Fases do Plano de Contingências

• Fases do plano (cont.):


• Análise das alternativas de recuperação – estudo detalhado
de cada alternativa de recuperação, balanceando custos e
benefícios.
• Desenvolvimento do plano – definição dos detalhes e dos
recursos para sua consecução.
• Treinamento – para garantir a eficiência do plano, pois os
funcionários devem ter conhecimento do mesmo.

91
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências


• Fases do plano:
• Testes – para provar a exeqüibilidade. Após os testes,
avalia-se o resultado, implementando as mudanças
necessárias.
• Atividades preliminares
• Comprometimento da alta gerência
• Estudo preliminar
• Análise de Impactos
• Tipos – diretos e indiretos
• Identificação dos recursos, funções e sistemas críticos
• Definição do tempo limite para recuperação
• Relatório de análise de impacto

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)

• Análise das Diversas Alternativas de Recuperação

• Prevenção de acidentes
• Backup
• Armazenamento de dados
• Recuperação de dados
• Procedimentos manuais
• Seguros
• Acordos comerciais
• Acordos de Reciprocidade
• Soluções internas

92
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)

• Desenvolvimento do Plano de Contingências


• Após as análises, discussões e obtenção da visão geral dos
sistemas, recursos e funções, o próximo passo é colocar todas as
estratégias em um documento.
• Um plano deve cobrir duas fases:
• Resposta Imediata – envolve decisões gerenciais, como
levar o plano adiante e tomar medidas corretivas.
• Processo de Restauração – define os passos a serem
seguido no local escolhido como instalação reserva.
• Designação do Grupo de Recuperação de Contingências – Para
colocar em prática o plano.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)


• Desenvolvimento do Plano de Contingências (cont.)
• Resposta imediata a um desastre – o conhecimento prévio evita
confusão e hesitação na hora do incidente.
• Identificar e compreender o problema.
• Conter os danos, limitando ou parando o problema.
• Determinar os danos causados.
• Restaurar os sistemas.
• Eliminar as causas.
• Comunicar o problema e as soluções aos interessados,
seguradoras, etc...
• Escolha da instalação reserva – deve ser adequada para que
possa dar condições para operações dos sistemas.
• Identificação de Aplicativos críticos – aqueles que têm
prioridade na restauração e retorno às atividades.

93
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)

• Treinamento

• Cada funcionário deve estar consciente de suas responsabilidades em


caso de emergência, sabendo exatamente o que fazer.
• Para isso, o treinamento teórico e prático é fundamental.
• É necessário também revisões ou reavaliações periódicas do grau de
habilitação dos envolvidos no Plano.

SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)

• Teste

• Assim como a organização testa seu sistema contra incêndios, deve


testar seu plano de contingências.
• É a única maneira de garantir a eficiência do plano de contingências.
• Teste integral – situação próxima da realidade
• Teste parcial – algumas partes do plano ou determinadas atividades.
• Teste simulado – envolve representações da situação emergencial.

94
SEGURANÇA E AUDOTORIA DE SISTEMAS

PLANO DE CONTINGÊNCIAS

Fases do Plano de Contingências (cont.)

• Atualização do plano

• Um plano terá pouca ou nenhuma utilidade se for colocado em uma


gaveta e nunca for testado ou avaliado.
• As mudanças de sistemas e funções são freqüentes, assim como
ocorrem mudanças administrativas e do ambiente computacional.
• O plano tem que sempre refletir as mudanças feitas nos negócios e
sistemas.

• Lista de verificações

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Introdução

• Auditoria de TI = Auditoria de Sistemas


• Nesse tipo de auditoria é analisado um conjunto de controles
gerenciais e procedimentos que afetam o ambiente de informática.
• Itens de verificação:
• Padrões e políticas adotadas pela organização.
• Operações sobre sistemas e dados.
• Disponibilidade e manutenção do ambiente computacional.
• Utilização dos recursos computacionais.
• Gerência de banco de dados e rede.
• Aspectos relacionados à segurança de informações.

95
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

São políticas, procedimentos e estrutura organizacional estabelecidos


para definir as responsabilidades dos envolvidos nas atividades
relacionadas à área de informática.
• São o ponto de partida das auditorias de sistemas.
• O auditor, na fase de planejamento, deve analisar a estrutura adotada
pela entidade auditada, seus componentes e relacionamentos com
outros setores da organização.
• Responsabilidades Organizacionais – o Deptº Informática deve ter
uma estrutura organizacional bem definida.
• Importância em relação a outros setores. Não quer dizer que
deva se considerar “superior”.
• As descrições dos cargos e as habilidades técnicas para exercê-
los devem estar estabelecidas e documentadas.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Responsabilidades Organizacionais – Deve existir um canal de


relacionamento entre a alta gerência, sobretudo para assegurar os
recursos necessários à implantação e manutenção da segurança, além
do próprio comprometimento do desempenho do deptº.
• Políticas, Padrões e Procedimentos – São a base para o planejamento
gerencial, o controle e a avaliação do DI.
• Políticas e padrões implementados pela alta gerência são mais
considerados na prática.
• A partir das políticas, são estabelecidos padrões, por exemplo,
para aquisição de recursos (humanos ou computacionais), projetos,
desenvolvimentos, etc..
• Procedimentos descrevem a forma como as atividades deverão
ser executadas. Podem ser definidas pelo DI e aprovados pela
gerência.

96
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Estratégia de Informática – É um documento também conhecido como


Plano Diretor de Informática ou PDTI. Serve como base para qualquer
investimento na área de informática, traçando os objetivos e projetos
futuros da organização.
• O maior risco associado à falta de uma estratégia de informática é o
desenvolvimento de sistemas que não satisfaçam os objetivos do negócio
da organização.
• Na auditoria, também são verificados se os objetivos da Estratégia da
Informática estão sendo seguidos, onde estão sendo com modificações e
onde não há nenhuma correspondência entre o proposto e o real.
• Política sobre documentação – Define padrões de qualidade e
classificação dos documentos. Para a equipe de auditoria e segurança, a
documentação serve de fonte primária de informações sobre sistemas
auditados e o ambiente computacional.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Gerência de RH – As causas mais freqüentes de acesso não autorizado,


perdas de dados ou pane dos sistemas, são erros, omissões, sabotagem ou
invasões feitas por pessoas contratadas pela própria organização.
• Funcionários mal intencionados têm tempo disponível e liberdade
para vasculhar mesas, ler e copiar documentos e informações. Sabem
também como a organização funciona e que tipo de informação
poderia ser valiosa para a concorrência.
• Ex-funcionários são igualmente interessantes para a concorrência,
pois podem servir como fontes de informações.
• Para reduzir esses riscos, a organização tem que adotar políticas,
controles e critérios para a contratação de pessoal. Após a
contratação, as atividades do funcionário devem ser monitoradas e
supervisionadas.

97
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Plano de Contratação e Desenvolvimento de Pessoal – Visa manter a


equipe tecnicamente preparada, para operar o ambiente computacional
atual e acompanhar os avanços tecnológicos.
• O desenvolvimento técnico motiva os funcionários para o
desempenho de suas atividades.
• Seleção de pessoal – As políticas de seleção devem ser definidas de tal
maneira que a equipe seja composta de pessoas confiáveis, com nível
técnico compatível e de preferência, satisfeitas profissionalmente. Isso
garante uma qualidade no trabalho e reduz os riscos.
• Muitas vezes, como é o caso de órgãos públicos, o processo se torna
mais rígido, com a aplicação de concursos públicos e da apresentação
de documentação comprobatória de escolaridade.
• A análise de referências profissionais, experiências profissionais,
antecedentes, etc.. também são importantes na seleção.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Treinamento – Visa manter a equipe tecnicamente preparada, para


operar o ambiente computacional atual e acompanhar os avanços
tecnológicos.
• Estímulo a troca de experiências com os demais membros da
equipe, como forma de multiplicar o conhecimento.
• Avaliação de desempenho – os funcionários devem ser regularmente
avaliados de acordo com padrões estabelecidos e o cargo ocupado.
• Como pode envolver aspectos emotivos e de relacionamento
entre avaliador e avaliado, o processo de avaliação deve ser mais
objetivo possível.
• Rodízios de Cargos e Férias – podem servir como controles
preventivos de fraudes ou atividades não autorizadas. Um funcionário,
sabendo que outra pessoa pode exercer suas funções, ficará inclinado a
não praticar atos desautorizados.

98
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Segregação de Funções – Visa evitar que um indivíduo detenha todo o


controle de todas as fases do processo e caia na tentação de praticar
algum ato ilícito.
• Segregação significa que os estágios de uma transação ou
processo são distribuídos a pessoas diferentes, para que um não
tenha todo o controle do início ao fim.
• Provoca também um controle mútuo das atividades, ao mesmo
tempo que, para ocorrer algum problema, tem que haver a
conivência de mais pessoas.
• A detecção de erros pode ser mais freqüente, pois quem os
comete, normalmente não os percebe.
• A limitação de pessoal pode ser fator proibitivo à segregação,
cabendo à organização adaptar-se ou buscar outros controles, para
compensar a falta de segregação.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles Organizacionais

• Interrupção do Contrato de Trabalho – tão importantes quanto a


contratação é o procedimento para desligar funcionários. Políticas que
estabeleçam medidas no caso de afastamento, como devolução de
crachás, desativar contas e rotinas de pagamento, etc...

99
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

• Os dados corporativos são os maiores patrimônios de uma


organização. Como são armazenados e manipulados por softwares de
banco de dados, os controles sobre eles é de importância vital.
• SGBD – Vários modelos e padrões disponíveis no mercado.
Independente de qual seja, há a necessidade de auditagem e
monitoramento.
• Auditores especializados com cada SGBD, conhecendo seus pontos
fracos em termos de segurança.
Software de Banco de Dados
• Controles gerais iguais aos de pacotes de softwares: Instalação,
Configuração, Manutenção, Utilitários.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

Software de Banco de Dados (cont.)


• Instalação - verificar se foi feito de acordo com as recomendações do
fonecedor e se foram instaladas as correções e alterações de segurança mais
atualizadas.
• Configuração - comparar os parâmetros de configuração com as
recomendações de segurança conhecidas para SGDB em exame.
• Manutenção e documentação – verificar se os procedimentos de atualização
de versões, instalação de correções e de documentação são adequados.
• Utilitários - alguns SGDB possuem software utilitários associados a sua
implementação que permitem acesso direto a dados, sem passar pelos
controles normais de segurança de acesso. A equipe deve verificar a
existência desses utilitários e garantir que seu uso seja feito por um número
restrito de pessoas e controlado por mecanismos de segurança.

100
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

• Disponibilidade – Característica fundamental do BD. Mecanismos de


recuperação devem garantir a a recuperação rápida de dados, em caso
de perda ou corrupção.
• Backup – Bases e logs devem ser copiados diariamente. Devido a
custos de armazenamento, esse período pode ser avaliado pela equipe.
Toda rotina de backup deve ser testada para comprovar sua eficiência.
Logs e dados devem estar em unidades diferentes.
• Replicação e redundância – Distribuição e espelhamento de dados
entre servidores, para uma maior disponibilidade de dados.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

• Integridade – Garantia que os dados estão completos e corretos.

 Restrição a atualização simultânea - apenas um usuário de cada vez obtém


acesso para atualização de um determinado registro.
 Restabelecimento dos ponteiros e índices para as estruturas de dados – grande
parte dos SGDB possuem mecanismos internos de detecção, análise e recuperação
dos ponteiros e índices para as estruturas de dados.
 Controle de atualização de dados em ambientes de banco de dados distribuídos –
é necessário que haja mecanismos de controle e atualização de dados nesse
ambiente.
 Mecanismos de reorganização – de tempos em tempos, após várias atualizações,
a base de dados precisa ser reorganizada para que a integridade dos dados seja
mantida.
 Mecanismos de verificação de integridade e correção – é necessário existir
mecanismos que analisem e corrigem a integridade caso detectem algum problema

101
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

• Confidencialidade – Nem todos os usuários precisam ter acesso a


todos os dados.
• Controles de Acesso – O acesso deve restringir aos dados necessários
para o desempenho das funções.
• Controle de Uso - O registro de uso através de logs garante o controle
das alterações.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

Lista de verificações
Útil tanto para a Gerência de Segurança de Sistemas quanto para a
equipe de auditoria.

 Definir claramente e documentar as responsabilidades relacionadas à


administração de Banco de Dados.
 Utilizar dispositivos de segurança e procedimentos de autorização de
acesso aos dados da base.
 Manter controles sobre as mudanças realizadas na base de dados e
analisar o desempenho do banco de dados.
 Monitorar o sistema e registrar em logs todas as atividades de
administração de dados para posterior análise.

102
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

Lista de verificações (cont.)


Útil tanto para a Gerência de Segurança de Sistemas quanto para a
equipe de auditoria.

 Verificar se o processo de instalação e configuração do sistema


gerenciador de banco de dados foi feito de acordo com as
recomendações de segurança conhecidas no mercado.
 Manter atualizado o SGBD com as últimas correções distribuídas pelo
fornecedor.
 Estabelecer procedimentos de backup e restauração do banco de
dados.
 Analisar a possibilidade de instituir redundância.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Banco de Dados

Lista de verificações (cont.)


Útil tanto para a Gerência de Segurança de Sistemas quanto para a
equipe de auditoria.

 Estabelecer padrões de nomenclatura de arquivos e descrição de


dados.
 Manter atualizada a documentação referente ao software de banco
de dados, utilitários e outros programas relacionados.
 Implementar mecanismos que limitem o acesso à configuração do
SGBD e seus utilitários, assim como a dados específicos da base.
 Revisar e incorporar as listas de verificações propostas nos outros
tópicos de caráter genérico, tais como controles organizacionais,
segurança de informações, controles de acesso, planejamento de
contingências e continuidade de serviços etc.

103
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

• A proliferação do uso de microcomputadores fez com que esses


ambientes cada vez mais passassem a ser alvos de auditorias.
Características:
• Configuração de HW e SW mais simples.
• Maior interação entre usuário e computador.
• Tarefas como boot, localizar e copiar arquivos, deletar, etc.,
tornaram-se tarefas simples para usuários.
• Menor controle físico e ambiental sobre equipamentos.
• Mesmo assim, as políticas de segurança e auditoria não podem
deixar de ser aplicadas ao ambiente de microinformática.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Riscos e Controles Específicos


• O risco vem da própria falta de controle do ambiente. Os usuários
vêem os micros em suas mesas como propriedades, sobre as quais
exercem seus próprios controles e agem da forma como acharem
melhor.

104
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Riscos e Controles Específicos

• Há uma dificuldade de conscientização de usuários de micros quanto à


importância de segurança. Programas educativos, treinamentos e
boletins ajudam a quebrar resistências.
• Não faz sentido os micros estarem “ilhados”, como forma de controle
e prevenção, mas a conexão destes equipamentos à rede da empresa
requer cuidados e alguns procedimentos padrões, em virtude da
segurança.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Conformidade com a Legislação

• Usuários de micro têm sempre a tentação de instalar e usar softwares


estranhos à organização.
• Posturas desses usuários:
• “Ninguém vai ficar sabendo.”
• “Ninguém me disse que não podia.”
• “Eu não sabia que era proibido por lei”.

105
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Conformidade com a Legislação

• Os usuários devem conhecer previamente as normas da empresa em


relação à instalação de softwares, para que se respeitem direitos autorais
e que também saibam como proteger as informações confidenciais da
empresa.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Pirataria

• Formas comuns:

• Comprar uma licença e copiá-la para vários computadores.


• Alugar software sem permissão do detentor de copyright.
• Fazer, distribuir ou vender cópias de SW como se fosse seu
proprietário.
• Baixar pela Internet sem anuência do detentor do copyright.
• Prática condenada em instituições, por razões de legalidade, ética e
riscos de perdas e danos.
• Verificação de SW pirata é prática comum em qualquer auditoria.

106
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Controles de Acesso Físico e Lógico


• O acesso físico é menos controlado nos micros. Essa facilidade
representa uma porta de entrada ou uma tentação para burlar os
controles. Os dados também podem ser copiados, apagados ou
alterados por usuários não autorizados.
• Interfaces amigáveis ao mesmo tempo que ajudam o usuário com
inúmeras ferramentas, facilitam também o acesso a arquivos e
programas.
• A instalação de pacotes de segurança, senhas, criptografia e
armazenamento de dados importantes somente em servidores, provê
um grau de proteção maior contra acesso não autorizado.
• Estabilizadores e no-breaks podem garantir a disponibilidade dos
micros.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Proteção Contra Vírus


• Os micros se tornaram principal alvo dessa ameaça, pois onde estão
as maiores falhas na prevenção e sobretudo pela alta conectividade
destes equipamentos.
• Existem alguns controles para a empresa reduzir os riscos de vírus,
alguns técnicos, outros administrativos.
Uso de Anti-Vírus
• Necessário não apenas a instalação, mais uma correta configuração e
atualização periódica.
• Participação em listas ou fóruns para tomar conhecimento de novas
pragas e como prevenir do seu ataque. Cuidado com mensagens falsas.
• Disseminação entre todos os usuários da existência de novos vírus,
suas formas de ataque e, caso disponível, sua vacina;

107
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Lista de Verificações
Útil tanto para a Gerência de Sistemas quanto para a equipe de
auditoria.
 Manter um inventário dos equipamentos de microinformática.
 Instituir controles de entrada e saída de peças e equipamentos, com
o objetivo de evitar ou minimizar a perda ou roubo de equipamentos.
 Instruir os usuários de laptops para não armazenarem nesses
equipamentos senhas que possibilitem acessos a sistemas internos ou
informações confidenciais não criptografadas.
 Manter, se possível, padronização de produtos de hardware e
software.
 Utilizar somente softwares contratados.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Lista de Verificações (cont.)


Útil tanto para a Gerência de Sistemas quanto para a equipe de
auditoria.
 Utilizar estabilizadores de energia ou equipamentos similares de
proteção aos microcomputadores.
 Manter um registro das licenças de software, identificando em que
máquinas estão sendo processadas.
 Cadastrar os pacotes de software em demonstração em registros
separados no inventário, para que possam ser tomadas as providências
necessárias para sua contratação ou sua eliminação da máquina ao
término do período de demonstração.
 Cadastrar os pacotes de software adquiridos sem ônus (freeware)
em registros separados no inventário.

108
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Lista de Verificações (cont.)


Útil tanto para a Gerência de Sistemas quanto para a equipe de
auditoria.
 Permitir a carga de novos softwares apenas ao administrador do
sistema ou pessoas por ele autorizados.
 Verificar periodicamente os conteúdos dos discos rígidos dos
microcomputadores e eliminar os softwares que não corresponderem
aos registros do inventário.
 Estabelecer uma política contra pirataria de software, prevendo
inclusive punições aos infratores.
 Utilizar sempre senhas ou outros mecanismos de identificação e
autenticação dos usuários.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Lista de Verificações (cont.)


Útil tanto para a Gerência de Sistemas quanto para a equipe de
auditoria.
 Utilizar softwares de segurança, com intuito de assegurar que apenas
pessoas autorizadas terão acesso a arquivos e dados críticos.
 Manter atualizados os anti-vírus em todos os micros da instituição.
 Carregar no computador apenas software e dados a partir de fontes
confiáveis, submetendo todos os disquetes e arquivos externos ao anti-
vírus, antes de serem carregados.
 Promover programa de treinamento e conscientização dos usuários
quanto à segurança de informações.
 Utilizar proteção automática de tela, com senha.

109
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Microcomputadores

Lista de Verificações (cont.)


Útil tanto para a Gerência de Sistemas quanto para a equipe de
auditoria.
 Utilizar criptografia.
 Realizar backup regularmente.
 Revisar e incorporar as listas de verificações propostas nos outros
tópicos de caráter genérico, tais como controles organizacionais,
segurança de informações, controles de acesso, planejamento de
contingências e continuidade de serviços etc.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Caracterização do Ambiente
• Compartilhamento de recursos de forma a racionar e otimizar o uso
de equipamentos e softwares.
• Servidores e Workstations.
• Segurança é um desafio, por conta da arquitetura da rede,
heterogeneidade, perfil de usuários, etc.
• A auditoria pode concentrar-se no host central, nos múltiplos
servidores ou estações. Os serviços de comunicações podem ser alvo de
verificações.

110
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Conceitos Básicos
• Configuração do Sistema Operacional – A configuração default não
tem objetivos de segurança. Habilita serviços e componentes mais
populares.
• Contas de usuário – Informações para que o usuário possa ser
reconhecido na rede (nome, senha, perfil). Direitos e permissões.
• Contas sem senha ou guest.
• Contas default
• Conta do Administrador.
• Grupos – Conjunto de permissões e direitos de acesso, que pode ser
acessado por vários usuários. Facilita a gerência de acesso aos
recursos. Usuários logam com a sua senha, não com a do grupo.
• Permissões de Arquivo e Diretório – O usuário proprietário estabelece
qual usuário e qual grupo pode acessar e como se dará esse acesso.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Conceitos Básicos (cont.)

• Direitos e permissões.

• DIREITO: É uma autorização para o usuário executar certas


operações no sistema como um todo. Ex.: backup de arquivos e
diretórios etc.

• PERMISSÃO: É uma regra associada a um determinado objeto,


que define quais usuários podem acessar aquele objeto e de que
maneira.

111
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT
• Apresenta fortes características de segurança, com domínios, grupos
de usuários, permissões e direitos de acesso, facilitando a
implementação de boa política de segurança.
• Componentes Básicos:
• LSA (Local Security Authority)
• SAM ( Security Account Manager)
• SRM ( Security Reference Monitor)

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Componentes de Segurança

112
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT

• LSA (Local Security Authority) – Principal componente de segurança.


• Criação de Tokens de acesso durante o processo de logon.
• Validação do usuário de acordo com seu tipo de acesso.
• Controle e gerência de segurança e auditoria.
• Manutenção de log de mensagens de auditorias geradas pelo
SRM.
• O LSA para realizar seus objetivos, utiliza os serviços providos pelos
outros componentes do sistema.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT

• SAM (Security Account Manager) – Gerenciador de informações de


segurança.
• Base de dados com informações de todas as contas de grupos e
usuários.
• Validação do usuário para o LSA.
• Pode ter mais de uma base SAM, uma para cada domínio ou
estação, podendo a validação no Servidor ou na estação.

113
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT

• SRM (Security Reference Monitor) – Monitor de segurança.


• Função principal de garantir o cumprimento das políticas de
validação e acesso e de geração de logs de auditoria estabelecidas
pelo LSA.
• Valida o acesso a arquivos e diretórios, testa os privilégios e gera
mensagens de auditoria.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Processo de Logon

• CRTL + ALT + DEL – Tem uma função maior do que simplesmente


aparecer a tela de Logon. Esta ação detecta aplicativos rodando em
segundo plano. Este artifício de rodar em background é usado por
cavalos de tróia para capturar informações do usuário no logon.
• Tela de autorização, com informações do usuário e domínio. Se uma
das informações for incorreta, é enviada uma mensagem de falha de
autenticação de usuário, sem indicar qual (id ou pwd).
• Autenticação do Usuário – Informações digitadas são repassadas pelo
LSA ao SAM, que compara com a informações do usuário na base de
dados das contas.

114
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Processo de Logon

• O LSA constrói um token de acesso para o usuário, com nome, id,


grupos de usuários a que pertence e seus privilégios de acesso. Toda e
qualquer ação do usuário é associada a esse token.
• O subsistema Win32 cria um processo para o usuário, associando-o à
token e ao final do procedimento do logon, é apresentada a tela do
gerenciador de programas.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Processo de Logon

115
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Listas de Controles


• Forma de controle adicional ao controle de acesso a recursos.
• O proprietário decide quem pode e o que pode ser feito.
• As permissões são definidas nas Entradas de Controle de Acesso (ACE).
• ACE são associadas a lista de controles de acesso ao objeto em questão.
• Na figura seguinte, foram criadas três entradas, definidas para um
usuário, todos ou um grupo.
• As listas de controle de acesso podem ser administradas, dependendo do
objeto, no gerenciador de arquivos, de impressão ou de usuários do NT.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Listas de Controles

116
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Controles de Acesso Discricionário


• Permitem aos proprietários dos recursos, aos administradores e
demais usuários com autorização para controlar os recursos do sistema,
especificar quem pode acessar seus recursos e que tipo de ações
podem realizar.
• Controles associados a usuários específicos, grupos, nenhum ou a
todos conectados.
• Gerenciador de usuários em domínios.
• Gerenciador de Arquivos
• Gerenciador de Impressão
• Painel de Controle (limites de compartilhamento,
ativação/desativação de recursos)

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Ferramentas de Segurança e Auditoria


• Gerenciador de Usuários e Domínios – administra a segurança nos
domínios e computadores associados ao NT. Cria-se usuários e grupos,
políticas de definição de contas, direitos de acesso.
• Atribuições de segurança para cada conta. Normalmente apenas o
administrador tem acesso o gerenciador.
Domínios e Relacionamentos de Confiança
• Um domínio é um conjunto de computadores agrupados por motivos
administrativos, que compartilham uma base de dados de usuários e ima
política de segurança.
• Esse agrupamento facilita a gerência e o controle de segurança.
• Cada conta de usuário dá acesso à rede a partir de qualquer computador
do domínio. As políticas de segurança podem ser definidas para o domínio.

117
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Ferramentas de Segurança e Auditoria

Domínios e Relacionamentos de Confiança


• Em redes mais complexas, com vários domínios, a segurança é
estabelecida a partir de relacionamentos de confiança.
• RC são ligações entre domínios para permitir que um usuário com uma
conta em um domínio possa acessar recursos de outros domínios na rede.
• Esses RC apresenta duas vantagens: em relação ao usuário, é necessária
uma única conta, do ponto de vista gerencial, o administrador pode
controlar vários domínios de forma centralizada.
• Requer um bom planejamento e conhecimento detalhado da rede.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Ferramentas de Segurança e Auditoria


Gerenciador de Arquivos e Diretórios
• O NT suporta alguns tipos de sistemas de arquivos, e, relação a aspectos
de segurança há algumas observações.
• NTFS – Exclusivo NT, provê recuperação de dados. É o recomendado
na instalação pela MS. Através do menu de segurança pode-se definir
as permissões de arquivos e diretórios como ler, alterar, gravar,
apagar.
• FAT – Usado em estações. Pode ser lido por Estação ou servidor,
inclusive com outros SO com OS/2, Mac. Não provê segurança de
arquivos, pois não permite definir permissões individuais.
• HPFS – Criado para o OS/2. Não é suportado por versões acima do
NT 4.0. Também não permite permissões individuais.

118
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Ferramentas de Segurança e Auditoria


Logs
• O NT registra em logs uma série de eventos importantes para a
gerência, segurança e auditoria da rede.
• Log de sistema – grava erros, alertas ou informações geradas pelo
sistema.
• Log de aplicativo – grava erros, alertas ou informações geradas pelo
aplicativo.
• Log de segurança – grava tentativas de logon válidas e inválidas e
eventos relacionados com uso de recursos (administrador).

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Windows NT – Ferramentas de Segurança e Auditoria


Logs
• Eventos gravados nos logs
• Eventos de sistema – tentativas de logon e logoff, alterações na
política de segurança, criação e manutenção de contas e grupos.
• Eventos relacionados com arquivos, diretórios, configuração dos
próprios logs, níveis de acesso a impressoras e acesso remoto.

119
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Unix – Características

• Bastante popular em ambiente cliente-servidor.


• Servidores conectados à internet.
• Sistema aberto, flexível e com inúmeras versões.
• Reputação de inseguro, mas devido a sua popularidade, as falhas são
amplamente divulgadas, proporcionando uma correção mais rápida (e
barata!).
• Política de segurança baseada nos direitos de acesso de usuários e
grupos.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Unix - Contas de Usuários


• Todo usuário Unix tem que ter um conta com username e senha. Senhas
gravadas criptografadas em um arquivo etc/psswd. Pode ser configurado o
ambiente para bloquear contas com tentativas frustradas de logon.
Ambiente Unix – Usuários Especiais
• Contas sem vinculação com uma pessoa, para executar funções de
sistema.
• Root ou superusuário – Usado pelo próprio sistema e pelo administrador.
Tem acesso irrestrito a todos os recursos.
Ambiente Unix - Grupos
• Todo usuário também tem que pertencer a um grupo, designado pelo
adm na criação da conta.

120
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Unix – Técnicas de Administração de Contas de


Usuários

• Programas para quebrar segurança de suas próprias senhas.


• Geradores automáticos de senhas pelo próprio sistema.
• Controle de data de expiração de senhas – tempo de vida da senha.
• Bloqueio de contas não usadas por um período de tempo.
• Nomes de contas não óbvios ou uso de alias.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Controles sobre Ambientes Cliente-Servidor

Ambiente Unix – Ferramentas de segurança e auditoria


• Procedimentos elementares – instalação de patches, backup,
desabilitação de serviços de rede desnecessários, definições criteriosas de
contas, grupos e permissões de acesso.
• Programas do tipo security scanners, que testam o sistema em busca de
brechas de segurança e fragilidades de configuração. (COPS ,SATAN e ISS
– Todos Free).
Ambiente Unix – Logs
• O sistema mantém diversos logs, para detectar mau funcionamento ou
uso não autorizado.
• Filtros podem ser configurados para refinar e reduzir o volume de
registros dos logs. Os logs têm que ser revisados e analisados
periodicamente.

121
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

 São dispositivos utilizados na proteção de redes de computadores contra


ataques externos, dificultando o trânsito de invasores entre as redes.
 O acesso ao mundo externo, e vice-versa, hoje a partir de redes de
computadores são atividades normais nas organizações.

 Essa conexão e uso em grande escala expõe as organizações a


situações de fragilidades uma vez que desperta para invasões e atos
ilícitos.
 A existência de um único computador sem proteção pode comprometer
todo o aparato de segurança da rede.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

 O acesso a um computador em uma rede é suficiente para se capturar


senhas, alterar arquivos, aplicativos etc.
 O firewall hoje é a alternativa viável na proteção de rede institucional,
ao invés de tentar proteger cada uma das máquinas ligadas à rede
interna.
 Firewall são normalmente configurados para permitir certas operações e
limitar ou impedir outras.
 A instalação correta de um firewall pode reduzir em 20 % os riscos de
invasão.
 O firewall é constituído de 2 partes:

122
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

 O firewall pode ser constituído de 2 partes:


1. Roteadores com filtros: o roteador atua como uma ligação
entre as redes interna e externa, sendo responsável pelo bloqueio de
todos os pacotes de dados entre as duas redes.
2. Gateway: todo o tráfego de pacotes entre a rede interna e a
externa passa primeiro pelo gateway, cujo software decide se o tráfego
será permitido ou rejeitado.
 Uma configuração adequada reforça os cuidados com segurança, como
por exemplo a autenticação de usuários.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

 Alguns aspectos de segurança a serem considerados:

1. Não manter no gateway contas de usuários, programas utilitários,


arquivos de senhas e serviços de nomes, pois podem facilitar o
trabalho de possíveis invasores à rede interna.
2. Configurar o gateway de tal forma que todas as suas atividades sejam
gravadas no log para posterior análise pela equipe de segurança e
auditoria.
3. Monitorar as atividades do gateway.
4. Desabilitar todos os serviços de rede considerados desnecessários.

123
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Firewall

 É importante que a equipe de segurança tenha em mente que todo


programa, protocolo ou serviço de rede liberado pelo gateway pode
representar uma ameaça à segurança de toda a rede.
 Independentemente do tipo de firewall utilizado, a segurança da rede
interna depende da segurança do servidor de firewall.
 Vale ressaltar que o fato de ter um firewall não quer dizer que os
outros controles e verificações de segurança possam ser abandonados.
Um firewall bem configurado consegue minimizar alguns riscos, mas
não todos.

124
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

CONTROLE SOBRE AMBIENTES CLIENTE-SERVIDOR

LISTA DE VERIFICAÇÕES:

 Participar de fóruns de segurança disponíveis na Internet.


 Utilizar as versões mais atualizadas dos patches (correções) divulgados
e distribuídos pelos fornecedores de softwares.
 Utilizar softwares de auditoria de segurança, tais como COPS, SATAN,
etc.
 Utilizar criptografia.
 Na configuração do sistema operacional, desabilitar as features
desnecessárias.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

CONTROLE SOBRE AMBIENTES CLIENTE-SERVIDOR

LISTA DE VERIFICAÇÕES (CONT.):

 Utilizar o menor número possível de contas de usuário.


 Verificar as definições de domínios e relacionamentos de confiança.
 Verificar a definição dos grupos de usuários (usuários que fazem parte
dos grupos e seus direitos de acesso).
 Verificar as permissões de acesso, principalmente a arquivos de
configuração do sistema operacional e a arquivos considerados
confidenciais, de forma a restringir acessos desnecessários.
 Utilizar mecanismos ou pacotes de verificação de senhas, com Crack,
para testar senha frágeis escolhidas pelos usuários.

125
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

CONTROLE SOBRE AMBIENTES CLIENTE-SERVIDOR

LISTA DE VERIFICAÇÕES (CONT.):

 Eliminar contas inativas, dormentes ou sem senhas.


 Auditar com certa freqüência os arquivos de senha (inclusive shadow)
com o objetivo de identificar inconsistências, adições não autorizadas,
criação de novas contas, contas sem senha ou alterações de
identificação de usuário.
 Evitar utilizar contas guest ou default. Se forem necessárias, utilizá-
las apenas em ambiente controlado.
 A senha do administrador ou root deve ser de conhecimento altamente
restrito, sendo recomendado utilizar o acesso como root o menor
tempo possível.

AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

CONTROLE SOBRE AMBIENTES CLIENTE-SERVIDOR

LISTA DE VERIFICAÇÕES (CONT.):

 Evitar entrar no sistema a partir de contas com privilégios acima dos


estritamente necessários.
 Eliminar os serviços de rede desnecessários, especialmente aqueles
considerados como mais suscetíveis à ação de invasores.
 Monitorar o sistema e analisar os logs regularmente.
 Realizar backup regularmente e manter pelo menos uma cópia em
outra localidade (off-site).
 Se possível, implementar redundância (espelhamento, RAID, etc.).

126
AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

CONTROLE SOBRE AMBIENTES CLIENTE-SERVIDOR

LISTA DE VERIFICAÇÕES (CONT.):

 Implementar mecanismos de controle de acesso via modem, de tal


forma que a conexão seja desfeita sempre que a ligação ou o processo
de login for interrompido ou terminado.
 Utilizar modems com senhas.
 Bloquear a reprogramação do modem por usuários não autorizados.

127