Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Prof. Biluka
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-1-
Camp
o
rea de
Verificao
Perodo
Natureza
mbit
o
Sub 1
Sub 2
Sub 3
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-2-
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-3-
o
o
o
o
-4-
EQUIPE DE AUDITORIA
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-5-
-6-
-7-
-8-
-9-
- 10 -
PLANEJAMENTO E EXECUO
PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensveis sua
realizao. Alm de estabelecer os recursos necessrios execuo dos trabalhos de
auditoria, a rea de verificao, as metodologias, os objetivos de controle e os
procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de
informao sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerncia.
Pesquisa de Fontes de Informaes
Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possvel de
informaes sobre a entidade auditada e seu ambiente de informtica (plataforma de
hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento,
principais sistemas, etc.). Com essas informaes poder esboar seu plano de auditoria e
partir para a fase de delimitao dos trabalhos.
Esse conhecimento prvio do ambiente de informtica da entidade auditado permite ao
auditor ter uma noo do grau de complexidade de seus sistemas e, ento, estabelecer os
recursos e os conhecimentos tcnicos necessrios equipe da auditoria.
Saber com antecedncia o tipo de ambiente computacional com o qual o auditor vai se
deparar , sem dvida, bastante vantajoso, j que haver mais tempo para se preparar
tecnicamente ou para incluir um especialista na equipe.
A equipe precisar manter contato e entrevistar pessoas-chaves da entidade.]
As principais fontes de informaes sobre a entidade auditada so relatrios de auditorias
anteriores, base de dados, documentos ou pginas da entidade na Internet, notcias
veiculadas na imprensa, visitas anteriores entidade e relatrios da auditoria interna.
Definindo Campo, mbito e Sub-reas
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 11 -
Campo
De 01/01/2007 a
01/07/2007
Auditoria da TI
rea de
Verificao
Controles de
acesso fsico
Avaliao da
eficcia dos
controles
Backup
Controles de
Acesso Lgico
aconselhvel coordenar o nmero de sub-reas a serem auditadas com a magnitude ou
complexidade do objeto da auditoria, isto , para ambientes extensos ou de grande
complexidade, convm limitar a quantidade de controles a serem verificados para que a
equipe realize um trabalho de qualidade.
Aps a definio das reas e sub-reas a serem auditadas, o auditor retorna fase de
pesquisa para relacionar as fontes de consulta especializadas necessrias durante a
auditoria, tais como livros tcnicos, manuais de auditoria, artigos especializados, sites na
Internet especializados em segurana ou outras reas especficas de informtica.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 12 -
Recursos humanos
Recursos econmicos
Recursos tcnicos
METODOLOGIAS
Entrevistas
o Entrevistas de apresentao
- Apresentao da equipe, cronograma das atividades, objetivos, reas,
perodo, metodologias. Estrutura do relatrio (resultado da auditoria).
o Entrevistas de coleta de dados
- Coleta de dados sobre os sistemas ou ambiente de informtica. Nessa
entrevista podem ser identificados os pontos fortes e fracos de controle,
falhas e possveis irregularidades. O entrevistado deve saber de antemo
como sero usados esses dados e conhecer o relatrios a cerca da entrevista.
o Entrevistas de discusso de deficincias encontradas
- Ao trmino das investigaes so apresentadas as deficincias
encontradas. Ao discuti-las podem ser apresentadas justificativas para essas
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 13 -
econmico-financeiro
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 14 -
dos
sistemas
- 15 -
Relatrio final
O relatrio final deve se revisado por toda a equipe de auditores, a fim de evitar
inconsistncias, erros ou lacunas em relao aos padres e prticas da organizao
auditada. Uma crtica externa, tambm e conveniente nesse ponto.
Estrutura
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 16 -
- 17 -
- 18 -
Simulao de dados
- 19 -
- 20 -
Estratgia de Informtica
O comit de informtica ou a alta gerncia, aps inmeras discusses, formaliza a
estratgia de informtica organizao em um documento conhecido como plano diretor
de informtica ou estratgia de informtica. Esse documento serve como base para
qualquer investimento na rea de informtica, j que traa os objetivos e projetos futuros
da organizao.
O maior risco associado falta ou ineficincia de uma estratgia de informtica o
desenvolvimento de sistemas que no satisfaam os objetivos de negcio da organizao,
acarretando perdas econmicas e investimentos sem resultado.
interessante que a equipe de auditoria tenha conhecimento do plano estratgico da
entidade para reunir informaes importantes ao planejamento de futuras auditorias. A
equipe poder saber o direcionamento que ser dado ao ambiente computacional da
entidade nos prximos anos.
Em sua anlise, necessrio que o auditor considere o tamanho da organizao e a
importncia da informtica para a continuidade de seus negcios e sua sobrevivncia no
mercado. Com relao ao plano estratgico, o auditor deve analisar o relacionamento entre
a estratgia de informtica e a estratgia de negcios da organizao e as previses de
mudanas a curto e mdio prazos. importante tambm verificar a forma de divulgao do
plano e seu nvel de aprovao. Por se tratar de um plano estratgico, normalmente deve
ser aprovado pela alta gerncia.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 21 -
- 22 -
Seleo de Pessoal
As polticas de seleo de pessoal devem ser definidas de tal maneira que a equipe seja
composta de pessoas confiveis, com nvel tcnico compatvel com sua atividades, de
preferncia, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo
garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As polticas
podem se aplicadas tanto na contratao temporria de prestadores de servios ou
consultores. Em alguns casos, a contratao de pessoal deve ainda atender a requerimentos
legai, tais com exigncia de concursos pblicos para quadros do governo e apresentao de
certificados tcnicos emitidos por associaes profissionais.
Nas contrataes de novos funcionrios, normalmente so analisadas suas referncias,
incluindo empregos anteriores, formao profissional, experincia tcnica e ficha criminal.
recomendvel instituir um acordo de confidencialidade e cdigos de conduta. Os novos
contratados devem ter conhecimento de suas responsabilidade e de seu papel na
organizao. O mesmo cuidado deve ser tomado na contratao de consultores ou
prestadores de servios.
Treinamento
A gerncia deve manter seu quadro de profissionais tecnicamente atualizado e apto a
desempenhar suas funes atuais e futuras, de acordo com o plano estratgico de
informtica. importante estimular a toca de experincias e o repasse de conhecimentos
adquiridos a outros membros da equipe, dessa forma, a capacitao profissional se
multiplica internamente na organizao e o conhecimento no fica restrito a uma nica
pessoa ou grupo.
Avaliao de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e
padres preestabelecidos. Toda avaliao intrinsecamente subjetiva, pois, envolve
aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa
subjetividade, aconselhvel que o processo avaliativo se baseie em critrios mais
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 23 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 24 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 25 -
- 26 -
- 27 -
Possveis indenizaes, no caso de perdas provocadas por uma das partes quebra
de segurana de acesso a informaes confidenciais, violao de direitos de
copyright ou de propriedade intelectual, etc.
Direitos de propriedade intelectual deve ser estabelecido quem ter direitos sobre
o software desenvolvido ou mantido pelo prestador de servios.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 28 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 29 -
Controles de Mudanas
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, quase
certo que ser necessrio, de tempos em tempos, atualizar a plataforma de hardware, a
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 30 -
Insatisfao dos usurios com aspectos do sistema, tais como: telas de interface
pouco amigveis, navegao confusa entre as diversas telas, baixo tempo de
resposta, constante indisponibilidade, dados incorretos nos relatrios gerados, etc.
- 31 -
- 32 -
Lista de Verificaes
Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de
verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa
gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para
implementar os controles de mudanas. Para a equipe de auditoria, essas mesmas
verificaes podem servir como procedimento de auditoria a serem adotados.
A lista proposta abaixo no tem a pretenso de cobrir todos os pontos a serem verificados.
Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem
compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-las como um ponto de
partida na elaborao de sus prprias listas de verificaes.
Lista de Verificaes
Controle de mudanas:
Documentar todas as modificaes e implement-las apenas se aprovadas pela
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 33 -
gerncia.
Avaliar o impacto das mudanas antes de implement-las e o efeito da sua no
implementao.
Definir os recursos necessrios para implementar a alterao e os recursos
futuros necessrios para sua manuteno.
Testar exaustivamente os programas antes de coloc-los em produo.
Preparar um plano de restaurao da situao anterior, caso algo d errado na
implantao da mudana.
Estabelecer procedimentos para alteraes de emergncia.
Aps os testes e a aprovao, impedir qualquer nova alterao. Se esta for
necessria, deve ser submetida a novos testes e aprovao.
Planejar a mudana de forma a minimizar o impacto no processamento normal
dos sistemas e servios prestados aos usurios.
Comunicar com antecedncia aos usurios sobre a programao de mudanas
que possam alterar o processamento normal dos sistemas por eles utilizados.
Manter e analisar periodicamente log das atividades de mudanas.
Manter controle das verses dos softwares utilizados.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos de
carter genrico, tais como controles organizacionais, segurana de
informaes, controles de acesso, planejamento de contingncias e
continuidade de servios, etc.
- 34 -
- 35 -
- 36 -
- 37 -
- 38 -
- 39 -
- 40 -
- 41 -
- 42 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 43 -
- 44 -
O LSA, para realizar seus objetivos de segurana, utiliza os servios providos pelos outros
componentes do subsistema.
Gerenciador de Informaes de Segurana Security Account Manager (SAM)
Esse componente mantm uma base de dados de segurana com informaes de todas as
contas de grupo e usurios. Apesar de ser transparente ao usurio, o SAM presta, ao LSA,
os servios de validao de usurios, comprando as informaes digitadas no processo de
logon com as informaes anteriormente armazenadas na base de dados. Dependendo da
arquiterura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma
base SAM para cada estao de trabalho ou domnio. A validao, nesse caso, pode ocorrer
de forma centralizada (na base SAM da mquina controladora do domnio) ou
descentralizada (na base SAM da estao de trabalho).
Monitor de Segurana Security Reference Monitor (SRM)
O monitor de segurana tem como funo garantir o cumprimento das polticas de
validao de acesso e de gerao de logs de auditoria estabelecidas pelo subsistema LSA,
protegendo recursos e objetos contra acesso ou alteraes no autorizadas. Para tanto, o
monitor valida o acesso a arquivos e diretrios, testa os privilgios de aceso dos usurios e
gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a
objetos. Para poder acessar qualquer objeto, o usurio submetido, de forma transparente,
validao do SRM. O SRM compara as informaes do descritor de segurana do objeto
pretendido com as informaes de segurana da token de acesso do usurio e toma a
deciso se o acesso deve ser permitido ou no.
Processo de Logon
A inteno do NT com o usurio inicia-se com uma medida de segurana preventiva. Antes
de fornecer seus dados, o usurio orientado a pressionar simultaneamente as teclas
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 45 -
- 46 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 47 -
Contas de usurio cada usurio tem uma conta protegida por senha, associada a
direitos e permisses de acesso individualizados. As contas podem ser definidas
localmente ou em nvel de domnio;
Assim como no caso das contas de usurios, tambm h grupos que merecem uma ateno
especial do auditor e da equipe de segurana, tais como os grupos de administrador e de
operadores do servidor, por terem acesso privilegiado ao sistema, na execuo de vrias
tarefas administrativas e de segurana, e usurios guest, pro serem capazes de acessar a
rede sem necessidade de senha.
Domnios e Relacionamento de Confiana
Um domnio um conjunto de computadores, agrupados por motivos administrativos, que
compartilham uma base de dados de usurios e uma poltica de segurana, facilitando a
gerncia e o controle de segurana da rede. Em um domnio, cada usurio tem uma nica
conta para acessar a rede a partir de qualquer computador do domnio. O administrador,
por sua vez, precisa manter apenas uma conta para cada usurio e estabelecer uma nica
poltica de segurana para todo o conjunto.
A mquina controladora do domnio mantm uma base de dados contendo os nomes de
contas e senhas de todos os usurios registrados no domnio. Uma vez que o usurios tenha
sua conta nessa bases de dados, o controlador permitir seu logon em qualquer mquina
associada quele domnio.
Em redes mais complexas, com inmeros domnios, a segurana normalmente
estabelecida a partir de relacionamentos de confiana. Esses relacionamentos nada mais
so que ligaes entre domnios que possibilitam a um usurio com conta em um domnio
acessar recursos de outros domnios da rede. Esses relacionamentos simplificam a gerncia
da rede ao combinar dois ou mais domnios em uma unidade administrativa. Resumindo,
existem duas vantagens na abordagem de relacionamentos de confiana. Do ponto de vista
do usurio, necessria uma nica conta e senha para cada usurio acessar recursos de
vrios domnios e, do ponto de vista gerencial, o administrador pode gerenciar vrios
domnios de forma centralizada. Em termos de segurana, o estabelecimento de relaes de
confiana requer, entretanto, planejamento adequado e conhecimento detalhado da rede.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 48 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 49 -
Logs
O servidor NT registra em logs (arquivos histricos) uma srie de eventos importantes para
a gerncia, segurana e auditoria da rede. Existem trs tipos de log:
Pela natureza dos eventos gravados no log de segurana, esse log uma tima fonte de
informaes para a gerncia de segurana e auditoria na rede NT.
O ambiente Unix
A segurana do sistema Unix basicamente implementada por direitos de acesso de
usurios e grupos. Todo programa Unix processado com a permisso de algum usurio ou
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 50 -
- 51 -
Geradores de senhas
- 52 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 53 -
Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no
log para posterior anlise pela equipe de segurana e auditoria;
- 54 -
Lista de Verificaes
Controles sobre microcomputadores:
Participar dos fruns de segurana disponveis na internet.
Utilizar as verses mais atualizadas dos patches (correes) divulgados e
distribudos pelos fornecedores de software.
Utilizar softwares de auditoria de segurana, tais como COPS, SATAN, etc.
Utilizar criptografia.
Na configurao do sistema operacional, desabilitar as features
desnecessrias.
Utilizar o menor nmero possvel de contas de usurio
Verificar as definies de domnio e relacionamentos de confiana.
Verificar a definio dos grupos de usurios (usurio que fazem parte dos
grupos e seus direitos de acesso).
Verificar as permisses de acesso, principalmente a arquivos de
configurao do sistema operacional e a arquivos considerados
confidenciais, de forma a restringir acessos desnecessrios.
Utilizar mecanismos ou pacotes de verificao de senhas, como Crack, para
testar senhas frgeis escolhidas pelos usurios.
Eliminar contas inativas, dormentes ou sem senhas.
Auditar com certa freqncia os arquivos de senha (inclusive shadow) com
o objetivo de identificar inconsistncia, adies no autorizadas, criao de
novas contas, contas sem senha ou alteraes de identificao de usurio.
Evitar utilizar contas guest ou default. Se forem necessrias, utiliz-las
apenas em ambiente controlado.
A senha do administrador ou root deve ser de conhecimento altamente
restrito, sendo recomendado utilizar o acesso como root o menor tempo
possvel.
Evitar entrar no sistema a partir de contas com privilgios acima dos
estritamente necessrios.
Eliminar os servios de rede desnecessrios, especialmente aqueles
considerados como mais suscetveis ao de invasores.
Monitorar o sistema e analisar os logs regularmente.
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 55 -
Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 56 -