23/07/2014 Segurana e Auditoria de Sistemas - Prof.
Jan Charles Gross 1
Segurana Lgica Diz respeito aos ativos intangveis de informtica: software, dados e procedimentos. Consiste em um conjunto de mtodos e procedimentos manuais e automatizados destinados a proteger os recursos tecnolgicos / intangveis contra quebra de integridade, modificao no autorizada, acesso e uso indevido, intencional, acidental, atravs de: Salvaguardas administrativas (normas, procedimentos, padres e documentao); Salvaguardas tcnicas (controle de acesso, qualidade dos programas, criptografia, validao dos dados, proteo antivrus, etc.); 23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 2 Principais Problemas da Insegurana Lgica Centralizao fsica dos dados no centro de computao e em reas de backup de segurana, o que concentra o risco de modificaes ilegais ou acidentais; Erros introduzidos nos sistemas aplicativos so de difcil correo; Fraca superviso de segurana em informtica, exercida pelos usurios ou analistas de segurana; Descontinuidade operacional; Perda, revelao e modificao no autorizada de informaes e de software; Uso no autorizado de informaes, software e plataformas de informtica; Criao no autorizada de informaes; Uso indevido; 23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 3 Principais Problemas da Insegurana Lgica Aes destinadas a prejudicar terceiros; Acesso no autorizado a dados (penetrao); Execuo / alterao no autorizada de programas atravs de acesso remoto (RJE / RAS / Conexes Dial-Up / Softwares tais como o PC Anywhere); Distores durante transmisses de dados / programas; Consultas a dados no autorizados; Perda de arquivos; Erro na alimentao dos dados; Perda parcial / total de dados durante a transmisso; Usurios descontinuados; Ambiente misto de testes X produo; Falta de profissionalismo de tcnicos de informtica; 23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 4 Principais Prticas de Segurana Lgica Criao e utilizao de segmentos de controle em bancos de dados; Realizao de crtica do contedo dos dados alimentados aos programas e consistncia destes dados contra arquivos cadastrados, ou ainda, validao de parmetros em funo de arquivos e/ou tabelas existentes; Existncia de arquivos de monitoramento do processamento, com a gravao e a conseqente verificao dos totais de controle dos dados gerados / gravados, a cada programa processado; Existncia de arquivos de auditoria: com registros / transaes captadas no processamento, em funo do tratamento estatstico de seu contedo; 23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 5 Classificao de Informaes O trabalho de classificao deve obedecer a um padro nico para toda a organizao, para que cada membro da mesma saiba que comportamento adotar em relao a informaes que esteja manuseando, no importando quem as tenha gerado.
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 6 Razes para a Classificao de Informaes Vulnerabilidade Tcnica Quanto mais informatizado estiver um ambiente de informaes, maior a vulnerabilidade tcnica devido concentrao das informaes em um mesmo ambiente; Diversidade Humana As respostas a um determinado tipo de situao variam de pessoa para pessoa; At para uma mesma pessoa, as reaes podem variar com o tempo; preciso que os subordinados sejam claramente informados a respeito das expectativas gerenciais, para esperar que se comportem de maneira consistente e uniforme; Influncias Externas e/ou Internas Influem fatores como legislao financeira, tributria, bancria, legislao a respeito de sigilo de informaes.
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 7 Regras para Classificar e Identificar Informaes Preparao e Manuseio Deve especificar quem tem autorizao para preparar e manusear requisitos de identificao e classificao de informaes quanto ao grau de sensibilidade, e o destino a ser dado a informaes de entrada, arquivos temporrios, rascunhos, esboos, etc. Reproduo Deve especificar o nvel hierrquico necessrio para reproduzir informaes classificadas ou autorizar sua reproduo. Distribuio / Divulgao Deve especificar quem tem autorizao para determinar os critrios para distribuio e/ou divulgao de informaes sensveis. Transferncia Deve especificar os critrios de transferncia de informaes classificadas, em funo de sua classificao. 23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 8 Regras para Classificar e Identificar Informaes Armazenamento Deve especificar os critrios de armazenamento de informaes classificadas, em funo de sua classificao. Perda Deve especificar como os casos de perda devem ser relatados e acompanhados. Destruio / Eliminao Deve especificar os critrios para destruio e/ou eliminao de informaes, quando deixarem de ser necessrias, em funo de sua classificao. Recuperao Deve especificar os critrios para recuperao de informaes, em funo de sua classificao.