Universidade Zambeze

Faculdade de Ciências e Tecnologia

Engenharia Informática

Discentes:
Alexandre Bule
Benate de Castro

- AUDITORIA DE SEGURANÇA DA INFORMAÇÃO

- EXEMPLO DE AUDITORIA EM FIREWALL

4º Nível
2020
Objectivos
Geral:
Apresentar os conceitos gerais sobre a Auditoria de Segurança da Informação.

Específicos:
 Apresentar algumas técnicas usadas em Auditoria de Segurança da Informação;
 Apresentar alguns pontos verificados em uma Auditoria de Segurança
da Informação;
 Abordar sobre os tipos de Auditoria de Segurança da Informação;
 Demonstrar os benefícios da Auditoria de Segurança da Informação;
 Exemplificar o processo de Auditoria em Firewall.
Introdução
Com o avançar do tempo, a auditoria como a conhecemos foi sofrendo algumas alterações
devido ao avanço dos sistemas informáticos, em termos de técnicas e métodos com a
elaboração de novos testes e análise de forma a fazer face ao desenvolvimento e
aparecimento de novos problemas.

A auditoria a sistemas de informação não é hoje em dia apenas uma simples extensão da
auditoria tradicional, porque dada a importância que os sistemas informáticos têm
actualmente na empresa, necessitam de ser controlados e verificados.

Os dados processados e os programas utilizados pelos sistemas informáticos são invisíveis

e intangíveis, sendo acessíveis ou modificáveis e sem deixar vestígios. Por isso, os
auditores devem tomar medidas que garantam os princípios da segurança da informação
de qualquer dado obtido do sistema de informação.
Segurança da Informação
A segurança da informação (SI) está directamente relacionada com protecção de um conjunto de
informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
Auditoria da Segurança da Informação
Ron Weber (1999) citado por (Oliveira J. A., 2006) define a auditoria de segurança da informação
como um “processo de recolha e avaliação de evidências para determinar se um sistema
computadorizado salvaguarda os bens, mantém a integridade dos dados, permite atingir os
objectivos da organização de forma eficaz”.

A sua finalidade é verificar se as funcionalidades dos sistemas e os dados se encontram

salvaguardadas, assim como o cumprimento dos princípios da segurança da informação.
Tipos de Auditoria em SI
No âmbito da posição de quem realiza a auditoria ela pode ser divida em auditoria externa ou
interna.
 Auditoria Externa - é realizada por uma empresa externa e independente da organização que
será fiscalizada, sem vínculo algum com ela. O objectivo é emitir resultados das análises sobre a
gestão de recursos da empresa, sobre sua situação financeira e sobre a legalidade e a regularidade
de suas operações.

 Auditoria Interna - é realizada por um departamento interno, responsável pela verificação e

avaliação dos sistemas e procedimentos internos da empresa. Um de seus objectivos é de garantir
o cumprimento de normas e políticas, reduzindo a probabilidade de ocorrência de fraudes, erros
e práticas ineficientes ou ineficazes.
Tipos de Auditoria em SI (cont.)
A auditoria classificada em termos de amplitude do trabalho (ou forma de execução) pode ser
separada em:
 Parcial - visa somente em analisar e avaliar apenas algumas áreas ou departamentos da
organização. São executadas as fases de: Planeamento, Descoberta, Avaliação e Relatório. Ocorre
a detecção, identificação, quantificação e classificação de uma vulnerabilidade, com isso é
possível fazer a remediação ou mitigação das vulnerabilidades detectadas.

 Completa ou geral - como o nome indica tem como objectivo de verificar o estado global da
organização. Executa-se a etapa do processo de Análise de vulnerabilidade mais a etapa do
processo de Pentest. São executadas as fases de: Planeamento, Descoberta, Avaliação,
Exploração e Relatório. A execução deste processo tem o intuito de atestar, gerar provas e
evidências, sobre potenciais riscos e consequências provenientes da exploração de
vulnerabilidades, que poderiam acontecer em casos reais de ataques.
Pontos verificados por uma Auditoria
 As senhas são difíceis de quebrar?
 Há logs de auditoria para registar quem acessa os dados?
 Os registos de auditoria são revisados?
 As configurações de segurança para sistemas operacionais estão de acordo com as práticas de
segurança da indústria?
 São aplicados patches de sistemas operacionais e de softwares? Eles estão actualizados?
 Como é armazenada a mídia de backup? Quem tem acesso a ela? É actualizada?
 Existe um plano de recuperação de desastres?
 Existem ferramentas de criptografia adequadas para criptografar banco de dados? As
ferramentas foram configuradas corretamente?
 As aplicações customizadas foram escritas com segurança? Como foram testadas?
 Como as mudanças de configuração e código são documentadas? Como os registos são revisados ​
e quem conduz a revisão?
Técnicas de Auditoria de SI
 Programas de computador;
 Simulação de dados;
 Rastreamento de programas;
 Entrevista;
 Análise de relatórios / telas;
 Simulação paralela;
 Análise de log / accounting;
 Análise do programa fonte;
 Exibição parcial da memória snap shot.
Programas de computador
Correlaciona arquivos, tábula e analisa o conteúdo dos mesmos.
Passos:
 Análise do fluxo do sistema;
 Identificação do arquivo a ser auditado;
 Entrevista com o analista / usuário;
 Identificação do código / layout do arquivo;
 Elaboração do programa para auditoria;
 Cópia do arquivo a ser auditado;
 Aplicação do programa de auditoria;
 Análise dos resultados;
 Emissão de relatórios;
 Documentação.
Simulação de dados (Test deck)
Elaboração de massa de teste a ser submetida ao programa ou rotina.

Deve prever as seguintes situações:

 Transacções com campos inválidos;
 Transacções com valores nos limites;
 Transacções incompletas;
 Transacções incompatíveis.
Simulação de dados (Test deck) (cont.)
Passos:
 Compreensão da lógica do programa;
 Simulação dos dados (pertinentes ao teste a ser realizado);
 Elaboração dos formulários de controle;
 Transcrição dos dados para o computador;
 Preparação do ambiente de teste;
 Processamento do teste;
 Avaliação dos resultados;
 Emissão de opinião sobre o teste;
 Política de Segurança de TI.
Rastreamento de programas
 Possibilita seguir o caminho de uma transacção durante o processamento do programa.
 Tem como objectivo identificar as inadequações e ineficiência na lógica de um programa.
Simulação paralela
Elaboração de um programa de computador para simular as funções da rotina sob auditoria
enquanto o test deck simula dados a simulação paralela simula a lógica do programa.

Passos:
 Identificação da rotina a ser auditada;
 Elaboração de programa com a mesma lógica;
 Preparação do ambiente;
 Aplicação da rotina;
 Elaboração de relatório;
 Esta técnica requer um grande conhecimento de computação.
Análise de log / accounting
Verifica o uso dos dispositivos componentes de uma configuração ou rede de computadores e do
software aplicativo.

Permite verificar:
 Ineficiência do uso do computador;
 Configuração do computador (dispositivos com folga ou sobrecarregados);
 Determinação de erros de programa ou de operação;
 Uso de programas fraudulentos ou utilização indevida;
 Tentativas de acesso indevidas.
Análise do programa fonte
Consiste na análise visual do programa e na comparação da versão do objecto que está sendo
executado com o objecto resultante da última versão do programa fonte compilado.

Permite verificar:
 Se o programador cumpriu as normas de padronização do código (tabelas de rotinas, arquivos,
programas);
 Qualidade de estruturação do programa fonte.
Snapshot
Técnica que fornece uma listagem ou gravação do conteúdo do programa (acumuladores, chaves,
áreas de armazenamento), quando determinado registo está sendo processado.
 Necessita confecção de um software específico. Esta técnica requer um grande conhecimento de
computação.
Benefícios da Auditoria de SI
Umas das 3 principais vantagens são:
A auditoria de sistemas reduz os riscos relacionados à Tecnologia de Informação
Um dos principais benefícios da auditoria é que ela pode ajudar a combater os riscos relacionados com a
disponibilidade, integridade e confidencialidade dos processos e da infra-estrutura de Tecnologia. Ela
também pode melhorar a confiabilidade, a eficiência e a eficácia dos sistemas informáticos, cobrindo uma
ampla gama de ameaças pela identificação regular e avaliação das vulnerabilidades em uma organização.

A auditoria de sistemas melhora a segurança de dados

Depois de avaliar os riscos, os pontos de controle da auditoria podem ser identificados e avaliados. Isso
oferece à organização a oportunidade de redesenhar ou reforçar os controles mal projectados ou
ineficazes, levando assim a melhoria da segurança da informação.

A auditoria melhora a governança em Tecnologia de Informação

Auditoria de sistemas desempenha uma função fundamental para garantir que a empresa cumpra normas,
regulamentos, conformidades e leis relacionados ao seu negócio.
Exemplo de auditoria em Firewall
Como definição, Firewall é um dispositivo de segurança da rede que monitora o tráfego de rede
de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto
definido de regras de segurança.
Tipos de Firewall
Firewall em forma de software
 É uma aplicação de segurança dos computadores. Usam um conjunto de regras para fazer o
controle do tráfego de informações. Essas regras podem ser customizáveis.

Firewall em forma de hardware

 É um equipamento físico que servirá como suporte de segurança para outros aparelhos.
 A escolha de um firewall deve levar em consideração alguns aspectos importantes como a
política de segurança da organização, o nível de segurança que se pretende atingir, o que
exactamente deve ser protegido (pois há firewall projectados para aplicações específicas, como
um banco de dados ou um servidor web), o tamanho da rede e o conjunto de regras para entrada
e saída de pacotes e dados da rede.
Processo de Auditoria em Firewall
Abaixo são apresentados os processos que estão relacionados com a auditoria de firewall que são
baseados em:

 Verificação de alterações de senhas de sistema a cada X dias: A alteração de senha de

sistema é um processo muito importante em auditoria de firewall. O mesmo garante que os
usuários com o péssimo hábito de possuir senhas iguais para todos os sistemas da empresa sejam
obrigados a alterar suas senhas em períodos determinados pela própria companhia. Além de
forçar a alteração de senhas, as empresas ainda podem utilizar métodos de verificação de
caracteres, forçando o usuário do sistema a adoptar um conjunto de dígitos variados. O sistema
pode, inclusive, verificar se a nova senha é igual às X últimas senhas usadas neste sistema,
evitando que o usuário utilize senhas repetitivas na rede da empresa.
Processo de Auditoria em Firewall (cont.)
 Verificação de existência de logs para cada usuário em uma faixa de X dias: O registo de
logs é a parte mais importante em uma auditoria, pois com eles é possível verificar todas as
tentativas de ataque que possam ser realizadas no sistema, obter alertas de mau funcionamento
do firewall e, ainda, ajudar na solução de problemas referentes ao tráfego.
Processo de Auditoria em Firewall (cont.)
 Análise da configuração básica do firewall: Geralmente, a configuração básica dos firewall
possui vários serviços habilitados, sendo que grande parte desses mesmos serviços nunca será
utilizada. Para garantir que apenas os serviços que sejam necessários e seguros estejam
habilitados é necessário efectuar uma análise inicial de serviços, registando assim quais poderão
ser desabilitados em um firewall.
Processo de Auditoria em Firewall (cont.)
 Análise de regras de acesso do firewall: Quando um firewall entra em produção em uma rede,
o mesmo deve receber as regras de acesso adequadas para a permissão de determinados tipos de
tráfegos. Estes tráfegos geralmente são aprovados pelos responsáveis envolvidos no projecto de
implantação deste firewall, garantindo que apenas o necessário seja permitido trafegar pela rede.
Desta forma, a cada auditoria, torna-se necessário a verificação de todas as regras de acesso do
firewall, a fim de confirmar que apenas o que foi previamente acordado, é o que esta sendo
permitido trafegar na rede.
Processo de Auditoria em Firewall (cont.)
 Validação de usuários cadastrados no firewall: É normal em qualquer empresa a
rotatividade de funcionários, seja na contratação, na demissão, ou na transferência de sector na
mesma empresa ou unidade. Desta forma, a validação de usuários é fundamental para garantir
que apenas os usuários registados, e em actividades nos seus devidos sectores, tenham acesso
coordenado ao sistema e a rede.
Processo de Auditoria em Firewall (cont.)
 Gerar e analisar relatórios a partir de logs: É muito improvável que uma análise de log seja
efetuada sem que esteja acontecendo um problema gerador de impacto dentro da empresa.
Sendo assim, a geração automática de relatórios – sempre sumarizando os logs de forma a
facilitar a identificação e análise de problemas – é algo extremamente necessário em uma
auditoria de firewall.
Processo de Auditoria em Firewall (cont.)
 Backup de configurações: Assim como um sistema precisa de um backup para garantir que
qualquer tipo de alteração possa ter um retorno, o firewall também necessita de um backup –
porém apenas de suas configurações. Através da realização de backups, todas as alterações feitas
nas configurações podem ser analisadas e, em caso de uma falha, as versões podem ser
facilmente comparadas entre si, facilitando assim a identificação do problema.
Processo de Auditoria em Firewall (cont.)
 Verificação de versão e modelo do firewall: Os fabricantes de dispositivos de segurança
disponibilizam com frequência alertas de segurança informando as possíveis vulnerabilidades
que podem permitir ataques do tipo DoS9 ou DDoS10. Inclusive, essas vulnerabilidades podem
até mesmo garantir acessos não autorizados ao próprio firewall.
FIM