Slides Auditoria

O Profissional de TI
Auditoria e Segurança de Sistemas Prof.Arildo Sônego

CPD – o início...

Tecnologia da Informação
 Conjunto dos recursos tecnológicos e

computacionais para guarda de dados, geração e
uso da informação e de conhecimento.

Funções da TI
 Facilitador de atividades
 Conhecimento abrangente
 Vital para todas as áreas
 Gestor da informação
 Fornecedor de subsídios para decisões estratégicas

Características profissionais

Soft Skills

Perfis a serem evitados

Atividade proposta

Fundamentos dos
Sistemas de Informação

Sistema:Conceito e Natureza
 Sistema solar, transporte, econômico ...

 Naturezas diferentes e funções específicas.
Conjunto de elementos que mantêm

relações entre si.
 Deve atender as necessidades...

Dados, informações, conhecimento ...

Sistema de Informação
 Conjunto organizado de elementos que interagem

entre si para processar e divulgar informação de
forma adequada, sempre de acordo com os
objetivos de uma organização.

Evolução
 Modo texto
 MS-DOS, Cobol, Clipper, Dataflex...
 Foco no operador
 Modo gráfico
 Windows, Delphi, Java, Oracle, Sybase...
 Foco no colaborador
 Interface Web
 Browsers, HTML, Javascript, MySQL ...
 Foco no usuário

Classificação
 Sistemas de Processamento de Transação

 Contabilidade,finanças, recursos humanos
 Sistemas de Informações Gerenciais
 Tomadas de decisão
 Sistemas de Controle
 Produção, manufatura
 Sistemas de Automação de Escritório
 Processadores de texto, planilhas
 Sistemas Especialistas
 Análise de dados, Datamining, Big Data
Recursos
 A eficácia de um sistema de informação está

ligada à qualidade dos recursos a ele
disponibilizada.

Por que?
 Leva-se tanto tempo para concluir um software?

 Os custos de desenvolvimento são tão altos?
 Não consegue-se identificar todos os erros antes da
entrega aos clientes?
 Existem dificuldades em avaliar o progresso na
etapa de desenvolvimento?

Então...

Metodologias
 Incentivam a comunicação, pois os diversos

agentes envolvidos no processo interagem.
 Feature Driven Development (FDD)
 eXtreme Programming (XP)
 Microsoft Solutions Framework (MSF)
 Dynamic System Development Model (DSDM)
 Scrum

Scrum

Testes
 Assegura que o software está contemplando

todas as funcionalidades esperadas de maneira
correta.
 Deve abranger todo o ciclo de desenvolvimento,
para evitar que erros se propaguem e
comprometam outros pontos do desenvolvimento.

Alguns tipos de testes
 Operacional
 Limite de tempo sem falhas
 Desempenho
 Verifica o tempo de resposta
 Carga
 Vários usuários simultâneos
 Stress
 Situações limite
 Configuração
 Diferentes ambientes de software e hardware
Qualidade total
 Sempre que planejar algo, execute-o com
excelência.
 A qualidade existe quando volta o cliente e não o
produto.
 Qualidade é de graça. As coisas ruins é que
custam dinheiro.
 Se você não sabe descrever o que está fazendo,
então você não sabe o que está fazendo.
 O cliente pode ser seu melhor ou pior marketing.

Atividade proposta

Conceitos de Auditoria

Definição de Auditoria
 Exame sistemático das atividades desenvolvidas em

uma organização para averiguar se estão de acordo
com as diretrizes previamente estabelecidas.

Origens
 No Egito Antigo existiam verificações nos

registros de arrecadação de impostos.
 Na Grécia eram realizadas inspeções nas contas
de funcionários públicos.
 Século XIX – início da auditoria empresarial.

Conceitos
 Objeto
 Alvo da auditoria
 Período
 Intervalo de datas a ser fiscalizado
 Natureza
 Operacional, financeira ou de legalidade
 Âmbito
 Amplitude e abrangência

Controle
 Fiscalização exercida sobre as atividades de
pessoas, órgãos, departamentos ou produtos,
para que estes não se desviem das normas pré
estabelecidas.
 Preventivo
 Senhas de acesso
 Detectivo
 Log de eventos
 Corretivo
 Plano de contingência

Evidência
 Informações utilizadas pelo auditor para chegar às
conclusões em que se fundamentam a sua
opinião.
 Suficiência
 Convincente, expressiva
 Validade
 Credibilidade
 Relevância
 Importância, pertinência
 Objetividade
 Assertividade, clareza,firmeza
Tipos de Evidência
 Física
 Fotografias, gráficos, mapas, memorandos...
 Documental
 Ofícios, contratos, notas fiscais, recibos...
 Testemunhal
 Entrevistas ,questionários...
 Analítica
 Cálculos, correlações, análises...

Tipos de Auditoria
 Administrativa
 Contábil
 Financeira
 Operacional
 Horizontal
 Orientada

Auditoria de Sistemas de Informação
 Realiza o gerenciamento do risco operacional

envolvido além de avaliar as tecnologias
existentes na organização.
 Deve compreender não somente o processamento
de dados, mas sim todo o ambiente tecnológico.

Auditoria de Sistemas de Informação
 Aspectos analisados:
 Contratação
 Segurança
 Sistemas
 Governança
 Qualidade dos dados

Auditor de Sistemas
 Valores necessários:
 Ética
 Integridade
 Objetividade
 Responsabilidade
 Independência

Concluindo...

Atividade proposta

Perícia Forense

Cenário Atual
 Avanços tecnológicos constantes

 Comodidade X Riscos
 Crimes Virtuais
 Invasões
 E-mails falsos
 Roubo de informação
 Engenharia Social

Ciência Forense
 Objetiva a justa resolução de um crime

 Utiliza-se de procedimentos científicos
 Baseada na análise de evidências
 Necessita do apoio de outras ciências
 Imparcial...

Exemplos de Ciência Forense
 Ciência química
 Análise de elementos encontrados no crime
 Papiloscopia
 Análise das saliências encontradas na pele
 Antropologia
 Identificação de esqueletos e ossos
 Balística
 Relacionado à armas e projéteis
Recursos Tecnológicos
 Cromatografia
 Separação de componentes químicos
 Análise de DNA
 Exame dos componentes da células humanas
 Análise de explosivos
 Identificação de componentes
 Informática
 Análise de vídeos, imagens, escutas telefônicas

Na História...

Perícia Forense Computacional
 Aplicação de conhecimento de informática e

técnicas de investigação com a finalidade
de obter-se evidências.
 Trabalho minucioso, detalhado e moroso.
 Dificuldades devido a rápida evolução
tecnológica.

Ciclo de Investigação

Evidência Digital
 Toda e qualquer informação digital capaz

de determinar que uma intrusão ocorreu.
 Composta de campos magnéticos e pulsos
eletrônicos.
 Pode ser duplicada, conservando a original.
 Extremamente volátil !

Evidência Digital
 Exemplos:
 CPU (registradores e caches)
 Memória dos periféricos
 Memória RAM
 Tráfego de rede
 Kernel do SO
 Dispositivos de armazenamento secundário
 Logs do sistema

Crimes Virtuais
 Dos / Ddos
 Fraude
 Invasão
 Phishing Scam
 Disseminação de vírus
 Pedofilia
 Calúnia, injúria, difamação,racismo

Modalidades
 Crime de informática puro
 Visa exclusivamente violar o sistema
computacional
 Ex: Acesso indevido a dados
 Crime de informática misto

 O computador é ferramenta essencial
 Ex: Transferência bancária pela internet
 Crime de informática comum

 O computador é um mero coadjuvante.
 Ex: Pornografia infantil
Processo de Investigação
 Não altera-se as evidências

 Não confiar cegamente no sistema invadido
 Produzir cópias das evidências para análise
 Autenticar as evidências
 Controlar o acesso
 Documentar as evidências
 As ferramentas usadas devem ser
homologadas
Ferramentas
 CallerIP (Status dos IP´s conectados)

 RecoverMyFiles (Recuperação de arquivos)
 SmartWhois (Localização de domínios)
 EmailTracker (Informações sobre e-mail)
 EnCase (Análise completa do hardware)
 Memoryze (Vasculha a memória)
 Nmap (Exploração de rede)

Segurança da Informação

Para começar...
 Nem sempre o bem mais valioso de uma empresa

e/ou organização se encontra em sua linha de
produção.

Importância da Informação
 A informação é elemento essencial para todos os
processos de negócio da organização, sendo
portanto um bem ou ativo de grande valor.
 As empresas não sobrevivem mais que poucos
dias a um colapso do fluxo de informações.

Pilares

Ciclo de vida

Contudo...
 É preciso proteger a informação de maneira

efetiva a um custo aceitável, pois é impossível
obter-se segurança total, uma vez que a partir de
um determinado nível, os custos superam os
benefícios.

Vulnerabilidades
 Fragilidades presentes ou associadas a ativos que

manipulam ou processam informações, que
podem ser exploradas, ameaçando a segurança
da informação.

Tipos
 Físicas (prédios fora do padrão)
 Naturais (enchentes,terremotos)
 Hardware (desgaste, obsolescência)
 Software (configuração incorreta)
 Mídias (confiabilidade duvidosa)
 Comunicação (perda de conexão, intrusos)
 Humanas (rotatividade, falta treinamento)
Para conhecimento...
 O termo hacker existe desde 1960 e indica

pessoas com capacidades técnicas para proezas
que ninguém mais consegue. Adaptado
posteriormente para a área de informática...

Medidas de segurança mais comuns
Ranking Medida
1º Antivírus
2º Backup
3º Firewall
4º Política de segurança
5º Capacitação técnica
6º Software para controle de acesso
7º Segurança física na sala dos servidores
8º Proxy Server
9º Criptografia
10º Análise de riscos

Procedimentos sugeridos...
 Acompanhe as tendências e evoluções da área;

 Mantenha os softwares sempre atualizados;
 Estabeleça controles de acesso para os colaboradores;
 Crie uma política de segurança;
 Invista em treinamento para os colaboradores;
 Tenha ferramentas de monitoramento;
 Procure empresas especializadas;
 Desenvolva um plano de contingência;
 Elabore procedimentos de backup.

Política de segurança
 Documento que estabelece as diretrizes

corporativas para a proteção dos ativos de
informação e a prevenção de responsabilidade
legal para todos os usuários.

Pontos chave
 O que se quer proteger?
 Contra o que ou quem?
 Quais as ameaças mais prováveis?
 Qual a importância de cada recurso?
 Qual o grau de proteção desejado?
 Quanto se pretende investir (tempo, recursos financeiros e
humanos)?
 Quais as expectativas dos usuários e clientes em relação à
segurança de informações?
 Quais as consequências para a organização se seus ativos
e informações forem corrompidos ou roubados?
Atividade Proposta

Gestão de Riscos

Definição de Risco
 Risco é a possibilidade de um evento acontecer,

seja ele uma ameaça, quando negativo, ou
oportunidade, quando positivo.
 Combinação da probabilidade de um evento e
suas consequências.
 Vazamento de informações, invasões, fraudes
digitais, desastres naturais, espionagem ...

Categorias
 Naturais
 Fenômenos da natureza
 Involuntários
 Vulnerabilidades humanas e tecnológicas
 Intencionais
 Roubos, sabotagem...

Análise de Riscos
 Avaliação de circunstâncias que possam

representar ameaças e oportunidades, com
impactos relevantes para projetos e investimentos
de todo o tipo.

Matriz de Riscos

Etapas

Riscos em TI

Plano de Contingência

Continuidade dos Negócios

Para pensar...
 O que de ruim pode acontecer?
 Como isto pode impactar o negócio?
 Quais atitudes devem ser tomadas?

Tipos de Desastres Naturais
 Incêndio
 Inundação
 Vendaval
 Granizo
 Raios
 Interrupção de Energia

Como Minimizar?
 Arquitetura planejada
 Políticas anti fumo
 Geradores auxiliares
 Extintores
 Treinamento
 Controladores de temperatura
 Localização física

Desastres em TI
 Qualquer situação que afete os processos críticos

do negócio de uma organização.
 Interrupções não planejadas;
 Ataques cibernéticos;
 Vazamentos de informações;
 Perda de pessoas especializadas;
 Falhas com empresas terceirizadas;
 Indisponibilidade das redes de comunicação.

Então...

Amplitude
 A magnitude do desastre está diretamente

associada ao tempo de parada dos processos
críticos da organização.

Recuperação de Desastres
 Técnicas e procedimentos utilizados para manter

o funcionamento de elementos essenciais da
empresa em caso de crise.

Análise de Impacto
 Avalia o impacto que a organização sofrerá devido

a ocorrência de um incidente ou desastre.
 Dimensiona o grau de relevância dos processos
inclusos no escopo de contingência.

BIA
 Business Impact Analysis

Processos do Negócio
 Grau de Criticidade

Processos do Negócio
 Tolerância

Estratégias de contingência
Em inglês Strategy...
Em italiano Stragegia...
Em grego στρατηγική ...
Em russo стратегия ...

Hot Site
 Deve entrar em ação assim que algum sinistro

ocorrer.
 Indicado para situações onde o tempo de
tolerância é mínimo.
 Ex: Queda de banco de dados.

Warm Site
 Aplica-se a objetos com maior tolerância à

paralisação.
 Ex: Serviço de e-mail.

Realocação de Operação
 Consiste em desviar a atividade atingida pelo

sinistro para outro ambiente físico, pertencente à
mesma empresa.
 Ex: Redirecionamento de tráfego de um roteador.

Bureau de Serviços
 Transferência de operações para um serviço

terceirizado, fora dos domínios da empresa.
 Confiabilidade?

Acordo de Reciprocidade
 Acordo entre empresas que possuam um

ambiente de TI.
 Normalmente empresas de ramos diferentes e
não concorrentes.

Cold Site
 Alternativa de baixo custo para ambientes de TI

 Indicado para situações de tolerância alta..
 Resultados muitas vezes são duvidosos
 Ex: Clone de um HD...

Auto Suficiência
 Usada quando:
 Nenhuma outra estratégia for aplicável.
 Impactos são insignificantes.
 Inviabilidade técnica ou financeira das demais.

Plano de Contingência
 O desenvolvimento deve considerar:

 Responsabilidades da equipe
 Perda aceitável de informações
 Procedimentos de recuperação
 Documentação
 Treinamento
 Testes e atualização

Para concluir...
 Por mais eficiente e sofisticado seja a política de

segurança, lembre-se que o elo mais fraco
normalmente é o usuário...

Atividade Proposta

Governança de TI

Definição
 Consiste da implantação de melhores práticas em

serviços de tecnologia da informação.

Fatores Motivadores

Ambiente de Negócios
 Caracteriza-se por:
 Competição intensa
 Mercado mais exigente
 Concorrência internacional
 Custo Brasil ainda muito alto
 Ciclo de vida cada vez menor de produtos e serviços

Então...
 As integrações tecnológicas de processos através
da tecnologia da informação fazem com que o
risco que a TI representa para a continuidade do
negócio seja altamente visível.

Objetivo Principal
 Alinhar o setor de Tecnologia de Informação aos

requisitos do negócio.

Alinhamento Estratégico
 O uso dos recursos de TI devem ser feitos em

harmonia com as estratégias, objetivos,
necessidades e requisitos do foco de negócios da
organização.

Princípios de TI
 Segundo a ISO...
 Responsabilidade
 Estratégia
 Aquisições
 Desempenho
 Conformidade
 Comportamento Humano

Acordo de Nível de Serviço (SLA)
 Define uma estrutura para gerir a qualidade

dos serviços prestados pela contratada.

Modelos de Melhores Práticas

ITIL v4
(Information Technology Infrastructure Library)

Evolução

Cenário
 Criado pelo governo britânico em 1980.

 Deve ser adaptado conforme a realidade da
empresa.
 Não define como fazer, apenas “sugere”...
 Não proprietário e não prescritivo
 Referência no gerenciamento de serviços de TI
 Alinhamento entre a TI e a estratégia da empresa

Resultados Esperados
 Falhas :
 (-) 30% quantidade
 (-) 50% tempo resolução
 Capacidade
 (-) 15% ociosidade
 Disponibilidade
 (+) 10%
 Aumento da Confiabilidade

Volumes

Gerenciamento de Serviços
 Objetiva assegurar a qualidade dos serviços

previamente acordados com o cliente.
 Benefícios:
 Mais confiabilidade
 Segurança
 Motivação
 Satisfação
 Acompanhamento de desempenho

Classificação
 Central de Atendimento (Call Center)

 Atendimento telefônico, direcionando para a área
responsável pela solução.
 Central de Suporte (Help Desk)
 Problemas de software / hardware
 Central de Serviços (Service Desk)
 Atendimento ao usuário. Foco mais abrangente.

Central de Serviços
 Subordinada à TI, objetiva atender ao
usuário.
 Objetivos:
 1º nível de suporte ao usuário
 Restauração de serviços
 Qualidade no atendimento
 Gerenciamento de incidentes
 Satisfação do usuário
 Maximizar a disponibilidade dos serviços
 Responsabilidades:
 Receber e gravar todas as chamadas do usuário
 Acompanhar incidentes e reclamações
 Prover uma avaliação inicial dos incidentes
 Encerrar os incidentes com confirmação
 Fornecer informações gerenciais
 Identificar a necessidade de treinamento do
usuário
 Contribuir na identificação de problemas
 Habilidades interpessoais:
 Paciente
 Comunicativo
 Amigo
 Entusiasmado
 Empático
 Honesto

Atividade Proposta

FIM!!!

Slides Auditoria

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Slides Auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

O Profissional de TI

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Conjunto dos recursos tecnológicos e

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Sistema solar, transporte, econômico ...

Conjunto de elementos que mantêm

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Conjunto organizado de elementos que interagem

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Sistemas de Processamento de Transação

 A eficácia de um sistema de informação está

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Leva-se tanto tempo para concluir um software?

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Incentivam a comunicação, pois os diversos

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Assegura que o software está contemplando

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Exame sistemático das atividades desenvolvidas em

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 No Egito Antigo existiam verificações nos

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Realiza o gerenciamento do risco operacional

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Avanços tecnológicos constantes

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Objetiva a justa resolução de um crime

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Aplicação de conhecimento de informática e

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Toda e qualquer informação digital capaz

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

Auditoria e Segurança de Sistemas Prof.Arildo Sônego

 Crime de informática misto

 Crime de informática comum