AUDITORIA DE SEGURANÇA DA INFORMAÇÃO

Prof. Danilo Queliconi

Características da Segurança da
Informação
Para começar a compreender segurança da informação, devemos pressupor que informação não se
resume ao digital. Um documento de papel também é informação e pode, muitas vezes, ser
informação sensível. A segurança da informação estuda e está fundamentada nos seguintes
princípios:

Autenticidade – Define que a informação está sendo enviada por uma fonte legítima e
segura, e não foi interceptada e alterada por atacantes.

Confidencialidade – Define que somente pessoas que tenham as permissões corretas devem acessar
uma determinada informação.
Características da Segurança da
Informação
Disponibilidade – Define que a informação deverá estar sempre disponível.

Integridade – Define que a informação mantenha-se íntegra e inalterada.

Legalidade – Define se a informação está de acordo com a legislação de um país (MORENO, 2015, p.
17).
Tipos de ameaças
Na área de segurança, temos diversas ameaças que podem comprometer todos os princípios
supracitados. “Os princípios da segurança da informação podem ser comprometidos com possíveis
ameaças, que podem ser Classificadas em físicas e lógicas” (MORENO, 2015, p. 17-18).

As ameaças físicas estariam relacionadas àquelas de ordem palpável, que acontecem no mundo
real, em detrimento do virtual (p. ex.: alagamentos, raios, terremotos etc.). Já as ameaças lógicas
estão voltadas ao mundo virtual, como malwares, quebra de senha, escuta de dados (sniffers) etc.
(MORENO, 2015).
Sabendo disso, imagine um atacante que faz a interceptação e alteração dos dados de alguém, e
retransmita os dados ao destinatário.

Esse é um exemplo de ameaça lógica que se concretizou em um ataque ao princípio da

autenticidade, conhecido na literatura como ataque Man-In-The-Middle (MitM).
Tipos de ameaças
Em uma outra situação, considere que o servidor de um e-commerce se encontra hospedado em
uma região de vale, em que recentemente houve uma enchente. O servidor ficou completamente
submerso e o e-commerce saiu do ar durante dias.

Nesse caso, temos uma ameaça física se concretizando em uma falha de disponibilidade, em
virtude de um sinistro meteorológico.
Meios de Prevenção
- Seguir os passos e o raciocínio do invasor

- Testes

- Documentação

- Backup

- Sistema de segurança atualizado

- Políticas de segurança
Meios de Prevenção
- Hardware

- Revisão do código do sistema

- Exploits

- Análise de vulnerabilidade

- Pentest
ISOs
A gestão de segurança está totalmente enquadrada dentro da proposta de
auditoria de segurança. Para entender melhor essa proposta, Moreno
(2015) sintetiza e descreve sobre as certificações e o que significa cada
uma delas:
BS779 – A atual ISO 27001.
ISO 27001 – Norma relacionada à gestão de segurança.
ISO 27002 – Norma relacionada a boas práticas.
ISO 27003 – Norma relacionada à política de segurança implementada.
ISO 27004 – Norma relacionada a relatórios de segurança.
ISO 27005 – Norma relacionada ao gerenciamento e controle
ISO 27006 – Norma relacionada a práticas no âmbito seguro.
Recursos
Quando se fala em recursos para fazer auditoria na área de segurança da informação, podemos pular a parte
de ter uma internet, computador ou notebook, um hardware básico que aguente máquinas virtuais e
programas de médio peso. Há também os recursos que nos ajudam a auditar, fazer os testes, programas
prontos, e, melhor ainda, se soubermos programar nas linguagens C e Python. Existe um sistema operacional
muito bacana e técnico, chamado Kali Linux, baseado em debian, criado justamente para auditoria de
segurança, seja para um Pentest interno ou externo:

O Kali Linux como plataforma de ataque.

O Kali, sucessor do popular BackTrack Linux, é uma distribuição baseada em Debian, que vem com uma
variedade de ferramentas de testes de invasão pré-instaladas e pré-configuradas. Qualquer pessoa que já
tenha tentado configurar um pacote de testes de invasão desde o início, no dia anterior a uma operação de
grande porte, sabe que fazer tudo funcionar corretamente pode ser extremamente complicado. Ter tudo pré-
configurado no Kali pode fazer você economizar bastante tempo e evitar muitas dores de cabeça (WEIDMAN,
2014, p. 89).
Recursos
Segundo Beaver (2014), há, resumidamente, três maneiras de se usar o Kali Linux:

-Instalar o Kali Linux na máquina física, o que garante um máximo de processamento pois estará usando
todo o hardware.

-Instalar o Kali Linux na máquina virtual, o que proporciona ainda um desempenho bom, contudo
apresenta somente meia potência; desse modo, não terá todo o hardware à disposição.

-Instalar o Kali Linux em Live CD também tem possibilitado um bom desempenho, porém terá um
desempenho melhor que a máquina virtual e pior que a máquina física (BEAVER, 2014).
Reportando falhas e
invasões
- Relatórios de hackeamento ético

- Classificação de vulnerabilidade (imagem no

próximo slide)

- Logs
Reportando falhas e
invasões
 Atividade N1
Algo estranho vem ocorrendo e atrapalhando o crescimento da empresa. Faz cerca de dois meses que os clientes
reclamam que estão recebendo boletos clonados da empresa na hora de quitar a cobrança. Os clientes recebem um
e-mail idêntico ao que normalmente é enviado pelo financeiro da empresa, porém, o número da conta a receber é
adulterado.

Alguns clientes chegaram a pagar esses boletos falsos, acreditando ser da empresa de embalagens. É um crime
virtual típico.

Neste contexto, os empresários estão desesperados, pois, além de não terem como recuperar esse dinheiro,
perderam clientes e foram processados. É preciso saber como essa clonagem de boleto está ocorrendo. Com isso,
você entra em cena, como profissional de segurança da informação.
 Atividade N1
- Os proprietários não tem conhecimentos específicos em TI ou segurança da informação

- O vazamento pode ser interno, mas existem sinais de escape de informação confidencial no fluxo de trabalho
interno

- Não foi feito penetration test

- Não são citadas políticas de segurança contra invasões ou documentações específicas de segurança

- Há um ERP e a funcionária Cleusa trabalha com um balcão/escritório de notas fiscais que fica visível e aberto, os
funcionários podem ver as notas e outros documentos.

- O despachante Roberval pega a nota e entrega para um setor de caminhoneiros e tem acesso a todas
informações, além disso, o caminhoneiro pode ter acesso a todas informações das notas

IDENTIFIQUE OS PRINCIPAIS ERROS e COMO MELHORAR.

Sugestão de elementos da solução
- Realizar penetration test e estabelecer uma política de verificação
periódica de segurança dos sistemas

- Organizar documentação de segurança, estabelecer uma equipe de

segurança focada em melhoria contínua.

- Modificar o setor de Cleusa, evitando que outros funcionários tenham

acesso físico a seu escritório, as notas físicas deveriam ficar em arquivos
trancados, e serem digitalizadas uma a uma como forma de backup e
envio.

- Modificar o método de envio de notas, usar método digital ou então,

contêiner com senhas caso não seja possível efetuar no primeiro
momento a digitalização total do processo.
Sugestão de elementos da solução
- A substituição gradativa por um sistema digital é recomendada, seja com
envio por e-mail, ERP, HTML, sistemas dedicados do governo (como
SEFAZ ou SISCOMEX, SINTEGRA, etc...) ou através de mídias digitais
criptografadas com senha, ou através de computação em nuvem com
acesso seguro (VPN e SSL poderia ser uma opção).

- O esquema de auditoria interna poderia ser mensal, verificando códigos

de boletos emitidos e batendo com pagamentos recebidos no setor de
cobrança

- Poderíamos contratar uma empresa de auditoria externa para validar e

verificar anualmente a qualidade do sistema de segurança, isso poeria
render certificação e melhorar até mesmo a posição da empresa no
mercado (maior confiabilidade e excelência).
Sugestão de elementos da solução
- Implementar e revisar principalmente as práticas relacionadas as
normas:

ISO 27004 – Norma relacionada a relatórios de segurança.

E
ISO 27001 – Norma relacionada à gestão de segurança.
E
ISO 27002 – Norma relacionada a boas práticas.
OBRIGADO!

Prof. Danilo Queliconi