Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila Seg e Auditoria de Sistemas
Apostila Seg e Auditoria de Sistemas
SEGURANÇA E AUDITORIA DE
SISTEMAS
Professor: Sávio Jannuzzi
2
ÍNDICE
SEGURANÇA DA INFORMAÇÃO
Vulnerabilidade: Ponto pelo qual alguém pode ser atacado, molestado ou ter
suas informações corrompidas. Podemos citar como exemplo, uma análise de
ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrição: A Sala dos Servidores não possui controle de acesso
físico.
PRINCIPAIS AMEAÇAS
desastres
5%
virus
uso de notebook
18%
7%
virus
vazamento de informação
7% funcionário insatisfeito
divulgação indevida da senha
falha física pirataria
8% hackers
funcionário insatisfeito
18% falha física
vazamento de informação
hackers
uso de notebook
10%
desastres
Análise de Riscos
Política de
Segurança
8
Análise de Impacto
Gerenciamento de Riscos
Avaliar os Riscos
É o processo de conhecer os graus dos riscos aos ativos e decidir o que
fazer sobre eles. Existem três formas de agir com os riscos(figura 1).
• Aceita o risco - esta opção só deve ser utilizada, quando o custo para
implementação de controles para proteção dos ativos for maior que o
impacto causado pela ocorrência de um evento.
• Reduzir o risco - significa tomar ações para reduzir os riscos para um
nível aceitável.
• Transferir o risco - significa transferir a responsabilidade sobre o
impacto causado ao ativo para as mãos de terceiros (colocar no
seguro), isto só serve para criar compensação, pois não impede um
acontecimento indesejado.
• Justificar investimento
• Relacionar homem x hora
• Guia com planejamento anual de critérios para execução das
atividades de segurança
POLÍTICA DE SEGURANÇA
Exemplos de informações:
Funções e Responsabilidades
Armazenamento:
Envio:
Descarte:
falha ou ativação da
retorno
desastre contingência
tempo de tempo em
recuperação contingência
AMEAÇAS POTENCIAIS
Hackers e Crackers
Tipos de Ataques
SYN Flood
Ataques de LOOP
Vírus
Engenharia Social
DMZ
Topologias Utilizadas
Firewall com DMZ Clássica - Esta foi a primeira solução que popularizou
o uso de uma rede DMZ, sendo ainda adotada por muitas empresas. Requer o
uso de dois equipamentos para isolar a rede externa da rede interna. Um
roteados de borda (roteador conectado com a rede externa) com filtros para os
pacotes da rede externa para os servidores que estão na DMZ e para o firewall
e um firewall entre a DMZ e a rede interna, que filtra o que deve sair da rede
interna e bloqueia a entrada de pacotes externos.
Neste caso a DMZ é o segmento de rede entre o roteador de borda e o
firewall da rede corporativa, onde devem ser posicionados os servidores
públicos da corporação.
26
Firewall com DMZ na 3ª placa de rede - Esta topologia utiliza uma única
solução central de firewall, que é aplicada a todos os ambientes, garantindo
igual proteção à eles. Neste caso o equipamento de firewall possui três
interfaces de rede: uma para a rede externa, uma para a DMZ e outra para a
rede interna.
Os equipamentos da DMZ te uma saída única para a rede externa ou
para a rede interna através do firewall. A decisão de o que deve ser permitido
para as redes fica no firewall, facilitando a configuração dos servidores.
Segurança Física
Vizinhança;
Desastres naturais;
Apoio externo;
Inquilinos comuns;
Tráfego aéreo;
Rodovias;
Sistemas de sprinklers;
Materiais não combustíveis;
Resistência a fogo.
Alimentação dedicada;
Circuito dedicado;
Controle de acesso;
Monitoração;
Variação de correntes;
Chave EPO(Emergency Power off);
UPS(NoBreak);
Geradores;
Luz de emergência;
Umidade(<40% condensação / >60% carga eletrostática)
• Classe D
Combate incêndios em materiais pirofóricos, como explosivos;
29
Perímetro de Segurança
Autenticação
Segurança de Computador
Antivirus
Esse método não pode, entretanto, ser o único que o antivírus deva
utilizar. Confiar apenas no conhecimento de vírus passados, pode ser
pouco, deixando o usuário totalmente à descoberto quanto a novos vírus.
Assim os fabricantes de antivírus passaram a utilizar de métodos adicionais,
que permitissem detectar vírus novos, onde o escaneamento citado neste
tópico não está ainda disponível.
Sensoreamento Heurístico
Os programas antivírus agora lançam mão do sensoreamento
heurístico, isto é, a análise do código de cada programa que esteja sendo
executado em memória (lembrete: todos os programas são executados em
memória RAM!), ou quando um escaneamento sob demanda for solicitado
pelo usuário. O "engine" varre os programas em busca de códigos
assembler que indicam uma instrução que não deva ser executada por
programas normais, mas que um vírus pode executar.
Um exemplo seria a descoberta de uma instrução dentro de um
arquivo que faça uma chamada para a gravação dentro de um arquivo
executável.
Este é um processo muito complexo, e sujeito a erros, pois algumas
vezes um executável precisa gravar sobre ele mesmo, ou sobre outro
arquivo, dentro de um processo de reconfiguração, por exemplo. O próprio
programa antivírus deve pesar muito bem o risco/autenticidade desse tipo
de instrução, antes de soar o alarme. Além disso, ou por culpa disso, o
usuário deve compreender que em algumas situações poderá receber
falsos alarmes - o que no jargão do mercado é chamado de FALSO
POSITIVO (um aviso de vírus é dado, mas ele na verdade é falso - isto é:
não é verdadeiro).
Os antivírus devem monitorar constantemente as operações que são
executadas a cada instante no computador, visualizando acessos a
arquivos e sinais de atividades suspeitas, tal como um arquivo tentando se
auto-copiar em outros arquivos.
Embora sujeitas a erros, como aliás nós ficamos quando vemos uma
pessoa desconhecida se aproximar de uma criança. Como avaliar com
certeza se essa pessoa tem ou não boas intenções nesse acesso à
criança?
Busca Algorítmica
Alguns programas antivírus usam uma tática diferente das anteriores,
através da aplicação de algoritmos descritos em suas vacinas.Vamos dar
um exemplo. A busca à string 0A071A20 para detectar um vírus fictício:
SE este é arquivo de extensão COM
E SE ele tem mais de 900 bytes
E SE há uma instrução de salto para 597 bytes antes do final do
arquivo
E SE a string 0A071A20 aparece nesta localização
ENTÃO abra uma janela de alerta "Vírus XXYYZZ.597 foi
encontrado"
34
Camada Record
Camada Handshake
Potocolo Alert
Protocolo ChangeCipherSpec
Firewall
Tecnologias de Firewall
Limitações de um firewall
Access Point
HUB Acesso a rede local com fio
42
Há várias tecnologias envolvidas nas redes locais sem fio e cada uma
tem suas particularidades, suas limitações e suas vantagens. A seguir são
abordadas algumas das tecnologias mais empregadas.
Protocolo Wep - Criptografia de até 128 bits utilizada para redes Wireless. Esta
criptografia deve ser utilizada nas implementações de redes sem fio, mas a
mesma necessita ser habilitada, pois o fabricante dos equipamentos por default
deixa desabilitada.
Segurança em aplicações
Garantia de Segurança
Segurança em pessoas - este ítem talvez seja o mais importante e difícil de ser
aplicado nas empresas, pois é nele que a norma trata da conscientização dos
funcionários, dos termos de responsabilidade sobre as informações e das
palestras de divulgação.
Controle de acesso - como o próprio nome diz, este ítem é específico para o
tratamento de acesso dos usuários, onde ressalta a importância do
gerenciamento de acesso e dos registros de ações dos usuário.
Termos de Responsabilidade
É essencial que seja elaborado e assinado por todos um termo de
responsabilidade sobre as informações, onde este termo define os deveres e
responsabilidades de cada funcionário, bem como as punições cabíveis em
caso do não cumprimento do mesmo.
Auditoria
descobre as áreas críticas e sobre elas faz um estudo e análise profunda, com
os
quais definirá concretamente seu grupo de trabalho e a distribuição de carga do
mesmo. Estabelecerá os motivos, objetivos, alcance, recursos que usará,
definirá a metodologia de trabalho, a duração da auditoria, apresentará o plano
de trabalho e analisará detalhadamente cada problema encontrado com tudo
que
foi anteriormente analisado neste folheto.
_ Comunicação de resultados - Será elaborado o rascunho do relatório a ser
discutido com os executivos da empresa até chegar ao relatório definitivo, o
qual apresentará esquematicamente em forma de matriz, quadros ou redação
simples e concisa que destaque os problemas encontrados, os efeitos e as
recomendações da Auditoria.
Principais ETAPAS para desenvolver o Processo da Auditoria de
Sistemas e Segurança
Algumas considerações básicas são necessárias para este processo:
• Integrá-la com o Plano de Controles do Programa de Segurança da Empresa
• Definir o Plano de Auditoria desde o começo do Programa
• Considerar evidências / suportes documentais
• Definir responsáveis pela execução
• Incorporar os controles oriundos da ISO 17799 / COBIT
• Integrá-la com a Auditoria Integral de Sistemas e de Negócio
Definir o Plano de Auditoria desde o começo do Programa
Integrá-la com o Plano de Controles do Programa de
Segurança da Empresa
Patrocínio e Acompanhamento
• Endereço da Empresa
• Foro / Comitê de Segurança de
Informática
Autorização
• Proprietário de Dados
Definição
• Área de Segurança da Informação
• Área de Assuntos Jurídicos, RH
Administração
_ Administrador de Segurança
Cumprimento direto
_ Usuários finais
_ Terceiros e pessoal
contratado
_ Área de sistemas
Controle
_ Auditoria Interna
_ Auditoria Externa
50
Organização de TI
Investimento em TI
Administração de Recursos Humanos
Avaliação de Riscos
Administração de projetos e de Qualidade
Aquisição e Implementação
Identificação de Soluções
Aquisição e Manutenção de Software e Arquitetura de Tecnologia
Desenvolvimento e Manutenção de Procedimentos de TI
Administração de Alterações
Entrega de Serviços e Suporte
Administração de Serviços próprios e de Terceiros
Serviço Contínuo
Segurança de Sistemas
Educação e Treinamento de Usuários
Administração da Configuração e Dados
Gerenciamento de Incidentes
Monitoramento
Monitoramento do Processo e do Controle Interno
Auditoria Independente
Integrá-la com a Auditoria Integral de Sistemas e de Negócio
É necessário que esses processos estejam integrados às Auditorias
Operacionais e Econômicas da
Organização.
Conteúdo do Relatório
A seguir exemplificamos o conteúdo que poderia estar incluído em um
RELATÓRIO DE
AUDITORIA DE SISTEMAS:
- Objetivo
- Escopo
- Estrutura Orgânico-Funcional da área de Informática
- Configuração geral dos Sistemas de Informação
- Resultados da Auditoria:
o Risco realçado
o Equipamento realçado
o Descrição da observação
o Criticidade relativa e IMPACTO NO NEGÓCIO
o Ação detalhada a implementar
o Prazo de solução
o Comentários do responsável pela implementação
o Estado na data do relatório final (implementado/pendente)
o Documentação de suporte / papéis de trabalho
Em algumas ocasiões é desenvolvido um resumo executivo final aos
responsáveis da empresa:
o Objetivo e escopo
o Riscos identificados e classificados
o Plano de ação concreto a implementar
Ø Curto Prazo
Ø Médio Prazo
Ø Longo Prazo
52
REFERÊNCIA BIBLIOGRÁFICA