23/07/2014 Segurana e Auditoria de Sistemas - Prof.

Jan Charles Gross 1

Segurana Lgica
Diz respeito aos ativos intangveis de informtica:
software, dados e procedimentos.
Consiste em um conjunto de mtodos e
procedimentos manuais e automatizados
destinados a proteger os recursos tecnolgicos /
intangveis contra quebra de integridade,
modificao no autorizada, acesso e uso
indevido, intencional, acidental, atravs de:
Salvaguardas administrativas (normas, procedimentos,
padres e documentao);
Salvaguardas tcnicas (controle de acesso, qualidade
dos programas, criptografia, validao dos dados,
proteo antivrus, etc.);
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 2
Principais Problemas da Insegurana Lgica
Centralizao fsica dos dados no centro de computao e
em reas de backup de segurana, o que concentra o
risco de modificaes ilegais ou acidentais;
Erros introduzidos nos sistemas aplicativos so de difcil
correo;
Fraca superviso de segurana em informtica, exercida
pelos usurios ou analistas de segurana;
Descontinuidade operacional;
Perda, revelao e modificao no autorizada de
informaes e de software;
Uso no autorizado de informaes, software e
plataformas de informtica;
Criao no autorizada de informaes;
Uso indevido;
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 3
Principais Problemas da Insegurana Lgica
Aes destinadas a prejudicar terceiros;
Acesso no autorizado a dados (penetrao);
Execuo / alterao no autorizada de programas atravs
de acesso remoto (RJE / RAS / Conexes Dial-Up /
Softwares tais como o PC Anywhere);
Distores durante transmisses de dados / programas;
Consultas a dados no autorizados;
Perda de arquivos;
Erro na alimentao dos dados;
Perda parcial / total de dados durante a transmisso;
Usurios descontinuados;
Ambiente misto de testes X produo;
Falta de profissionalismo de tcnicos de informtica;
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 4
Principais Prticas de Segurana Lgica
Criao e utilizao de segmentos de controle em
bancos de dados;
Realizao de crtica do contedo dos dados
alimentados aos programas e consistncia destes dados
contra arquivos cadastrados, ou ainda, validao de
parmetros em funo de arquivos e/ou tabelas
existentes;
Existncia de arquivos de monitoramento do
processamento, com a gravao e a conseqente
verificao dos totais de controle dos dados gerados /
gravados, a cada programa processado;
Existncia de arquivos de auditoria: com registros /
transaes captadas no processamento, em funo do
tratamento estatstico de seu contedo;
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 5
Classificao de Informaes
O trabalho de classificao deve obedecer a um
padro nico para toda a organizao, para que
cada membro da mesma saiba que
comportamento adotar em relao a informaes
que esteja manuseando, no importando quem as
tenha gerado.

23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 6
Razes para a Classificao de Informaes
Vulnerabilidade Tcnica
Quanto mais informatizado estiver um ambiente de
informaes, maior a vulnerabilidade tcnica devido
concentrao das informaes em um mesmo ambiente;
Diversidade Humana
As respostas a um determinado tipo de situao variam de
pessoa para pessoa;
At para uma mesma pessoa, as reaes podem variar com o
tempo;
preciso que os subordinados sejam claramente informados a
respeito das expectativas gerenciais, para esperar que se
comportem de maneira consistente e uniforme;
Influncias Externas e/ou Internas
Influem fatores como legislao financeira, tributria, bancria,
legislao a respeito de sigilo de informaes.

23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 7
Regras para Classificar e Identificar Informaes
Preparao e Manuseio
Deve especificar quem tem autorizao para preparar e manusear
requisitos de identificao e classificao de informaes quanto
ao grau de sensibilidade, e o destino a ser dado a informaes de
entrada, arquivos temporrios, rascunhos, esboos, etc.
Reproduo
Deve especificar o nvel hierrquico necessrio para reproduzir
informaes classificadas ou autorizar sua reproduo.
Distribuio / Divulgao
Deve especificar quem tem autorizao para determinar os
critrios para distribuio e/ou divulgao de informaes
sensveis.
Transferncia
Deve especificar os critrios de transferncia de informaes
classificadas, em funo de sua classificao.
23/07/2014 Segurana e Auditoria de Sistemas - Prof. Jan Charles Gross 8
Regras para Classificar e Identificar Informaes
Armazenamento
Deve especificar os critrios de armazenamento de
informaes classificadas, em funo de sua classificao.
Perda
Deve especificar como os casos de perda devem ser
relatados e acompanhados.
Destruio / Eliminao
Deve especificar os critrios para destruio e/ou
eliminao de informaes, quando deixarem de ser
necessrias, em funo de sua classificao.
Recuperao
Deve especificar os critrios para recuperao de
informaes, em funo de sua classificao.