Auditoria e Segurança Informática (Tag. 29 Jun. 2010) · e operações para as quais foram...

Auditoria e Segurança Informática (Tag. 29 Jun. 2010)

1

01 - Conceitos de auditoria As auditorias podem ser classificadas em:

JJM 5 Auditoria interna

Com o aumento da complexidade das operações de uma empresa, aumentou a necessidade de normas e procedimentos internos (controles internos).

Como o proprietário da empresa (ou o administrador) não poderia fazer isto, alguém deveria fazer isto por ele.

o Daí surge a figura do auditor interno cuja função principal é verificar se as normas internas são seguidas.

O auditor interno é um funcionário da empresa mas como executa auditoria, deve ter uma certa independência dentro da entidade.

o Se for subordinado do departamento auditado, pode sofrer pressões quando da execução da auditoria.

o Assim, para ter o maior grau de independência possível, deveria ser subordinado apenas à direcção da empresa.

o Em grandes empresas, existe um departamento de auditoria interna

autónomo. Auditoria externa

Auditoria externa é feita por um profissional totalmente independente da empresa auditada.

o O objectivo do auditor externo é emitir uma opinião (parecer) sobre o sistema.

o O objectivo é apenas emitir um parecer sobre os sistemas.

Logo conclui-se que a auditoria externa não é realizada para detectar fraudes, erros ou para interferir na administração da empresa ou ainda reorganizar o processo produtivo ou demitir pessoas ineficientes.

Naturalmente, no decorrer do processo de auditoria, o auditor pode encontrar fraudes ou erros, mas o objectivo não é este.

O objectivo é emitir um parecer.

Tipos de auditoria:

Auditoria contabilística Auditoria financeira Auditoria de sistemas de informação Auditoria de segurança da informação Auditoria de segurança informática


2

Auditoria de qualidade Auditoria ambiental etc.

Definição geral de Auditoria:

Auditoria é um exame ou verificação de uma da matéria, tendente a analisar a conformidade da mesma com determinadas regras, normas ou objectivos, conduzido por uma pessoa idónea, tecnicamente preparada, realizado com observância de certos princípios, métodos e técnicas geralmente aceites, com vista a possibilitar ao auditor formar uma opinião e emitir um parecer sobre a matéria analisada.

Conceito de Auditoria de Sistemas de informação

A revisão dos sistemas de informação, para verificar se realizam as funções e operações para as quais foram criados, assim como comprovar se os dados e demais informações neles contidos correspondem aos princípios de fiabilidade, integridade, precisão e disponibilidade.

Objectivos da Auditoria a Sistemas de Informação

Verificar a existência de medidas de controlo interno aplicáveis, com carácter generalizado, a qualquer SI da instituição, ente, organismo ou qualquer outro objecto de auditoria;

Avaliar a adequação do SI às directrizes básicas de uma boa gestão informática;

Oferecer uma descrição do SI com base nas suas especificações funcionais e nos resultados que proporciona;

Verificar se o SI cumpre os normativos legais aplicáveis;

Verificar se a informação proporcionada pelo SI é fiável, íntegra e precisa;

Determinar se o SI atinge os objectivos para os quais foi desenhado, de forma eficaz e eficiente;

Propor as recomendações oportunas para que o SI se adapte às directrizes consideradas como essenciais para o seu bom funcionamento.

Auditoria de segurança

Ao falar de segurança considera-se sempre as suas três dimensões clássicas:

o Confidencialidade da informação;

quando só os utilizadores autorizados (e num sentido amplo poder-se-ia falar também de sistemas) têm acesso a um dado tipo de dados e à informação correspondente

o Integridade da informação;


3

só os utilizadores devidamente autorizados é que poderiam modificar ou apagar alguns dados. Se o fizerem, tais modificações devem ser registadas, a fim de ser possível o controlo posterior, o que facilita as operações de auditoria.

o Disponibilidade da informação;

se os utilizadores autorizados podem ter acesso atempadamente à informação, à qual estejam autorizados. O dispor da informação apenas depois do momento em que a mesma é necessária pode equivaler à falta de disponibilidade. Ainda mais grave, pode ser a ausência de disponibilidade absoluta devida a algum desastre que tenha acontecido.

o Além disso, tem de existir autenticidade;

Isto significa que os dados e/ou a informação são autênticos,

introduzidos ou comunicados por utilizadores identificados e com as autorizações julgadas necessárias.

Confidencialidade Integridade Disponibilidade Autenticidade.

Os controlos, além de poderem ser divididos em controlos manuais e automáticos ou em controlos gerais e de aplicação, são agrupados nos seguintes conjuntos:

Controlos directivos:

o são os que estabelecem as bases, como as políticas, a criação de funções de gestão da segurança ou a auditoria de sistemas de informação interna;

Controlos preventivos:

o estabelecem as condições necessárias para que o erro não se produza e reduzem a frequência com que ocorrem as causas do risco. Exemplos:

a) identificação de visitas (segurança física); b) passwords (segurança lógica);


4

Controlos de detecção: JJM 22

o sendo os mais importantes para as operações de auditoria, não evitam nem as causas nem o erro, mas detectam-nos rapidamente. De certo modo, actuam como alarmes que permitem registar o problema e as suas causas, servindo como verificação do funcionamento dos processos e dos seus controlos preventivos. Exemplos:

a) arquivos e processos que sirvam como trilhos de auditoria (audit-trail);

b) procedimentos de validação dos dados de entrada;

Controlos correctivos:

o ajudam a investigação e a correcção das causas do risco.

A correcção adequada pode resultar difícil e ineficiente, sendo necessária a implantação de controlos de detecção sobre os controlos correctivos, visto que a correcção de erros é, em si mesma, uma actividade altamente propensa a erros. Exemplos:

a) rectificação de erros ocorridos; b) recuperação de um arquivo danificado a partir de

uma cópia;

Controlos de recuperação: 207 JJM 23

o facilitam o regresso à situação de normalidade, depois de acidentes ou contingências inesperadas.

03 - Metodologia: Auditoria a Sistemas de Informação

Processo de decisão:

o A auditoria dos SI é a consequência de uma decisão dos órgãos

directivos de uma organização (Administração, Direcção-Geral, Comissão Instaladora)

Pode ser sugerida ou pedida por um departamento, embora um órgão de nível superior possa ter motivos estratégicos.

o Implementação de um dado projecto informático e se esta fica

bloqueada ou se avança muito lentamente, prejudicando o cumprimento dos prazos e ameaçando os orçamentos iniciais, esses órgão directivos podem decidir a execução de uma auditoria a fim de diagnosticarem os problemas existentes e enfrentarem a proposta de soluções.

o Os órgãos de gestão poderão também melhorar a imagem dos serviços prestados aos utilizadores tanto ao nível da concepção dos sistemas, como da sua exploração.


5

o Deve-se ainda recorrer à auditoria quando são tomadas decisões que

podem alterar a estrutura da organização como, por exemplo:

modificações de equipamentos implicados no processo produtivo, adopção de novas tecnologias ou reestruturações de departamentos.

o Também pode acontecer que a decisão de uma auditoria se inclua

periodicamente nos procedimentos normais do departamento que efectiva os Controlos Internos da empresa.

É aconselhável que as áreas a auditar sejam avisadas, a fim de colaborarem na preparação dos respectivos planos de trabalho.

o O processo de decisão tem de definir logo inicialmente qual o tipo de

auditoria pretendido. Com base na sua dimensão, pode-se indicar dois tipos de auditoria:

Auditoria completa ou profunda - Começa por um pré-diagnóstico em que o auditor pretenderá descobrir os principais pontos fracos da organização no que se refere ao funcionamento do sistema e sobre os quais se deverá centrar a intervenção do auditor. Prolongar-se-á numa exploração completa dos diferentes aspectos da gestão informática.

Auditoria parcial ou especializada - neste caso há uma

definição prévia de um objectivo.

Preparação da auditoria

Conjunto de condições que são necessárias para o processo de auditoria: Consciencialização da necessidade e dos benefícios da auditoria dos SI é muito aconselhável que as razões da decisão de auditoria sejam percebidas e bem aceites por todos os colaboradores que estão envolvidos neste processo, existindo, assim, uma disponibilidade global para melhorar a gestão e a organização da empresa ou de um sector em particular; Envolvimento do órgão máximo de gestão

duas situações podem acontecer:

a) este órgão define previamente os objectivos de intervenção, em função de considerações externas ou internas ao sistema de informação

b) não tem exigências particulares no que se refere à forma de melhorar globalmente a eficácia desse sistema, mas pretenderia apreciar um pré-diagnóstico; Natureza e caracterização do auditor


6

importa decidir qual a entidade que deve conduzir a auditoria, o seu nível de qualificação, fiabilidade dos processos de trabalho e se deve trabalhar isoladamente ou em equipa. O auditor pode ser interno se a organização dispõe de técnicos suficientemente qualificados para o efeito, nomeadamente o próprio responsável de um dado sector. Se é externo, pode oferecer uma maior objectividade de análise e de avaliação, além de apresentar uma experiência profissional envolvida num maior número de situações. É indispensável informar claramente os colaboradores da empresa sobre os objectivos da auditoria, sendo também apresentado o próprio auditor; Custos, formas de pagamento e prazos de execução são também importantes critérios de avaliação utilizados pelos decisores para apreciarem as propostas feitas por várias empresas que se apresentem como candidatas ao concurso previamente aberto; Envolvimento do pessoal interno é importante que nesta fase de preparação seja definido quem serão as entidades que apoiarão o decorrer da auditoria, fundamentalmente para fornecerem a informação necessária. Dentre essas entidades, salienta-se um representante da Direcção-Geral, o director do departamento que irá ser auditado e os principais utilizadores; Influência sobre a área a auditar por vezes, a própria gestão de topo necessita de exercer urna acção persuasiva junto dos responsáveis dessa área, convencendo-os sobre os prováveis benefícios estratégicos da auditoria dos SI.

Objectivos e âmbito Os principais objectivos da auditoria dos SI informatizados são o controlo da função informática, nomeadamente:

A análise da eficácia da gestão dos respectivos recursos materiais e humanos; A análise da eficiência dos sistemas informáticos.

A auditoria deve ser realizada quando os sistemas estão operativos, a fim de manter essa situação de operacionalidade tanto a nível global como parcial. A operacionalidade dos Sistemas tem de ser a principal preocupação da auditoria dos SI informatizados e, do ponto de vista prático, implica a realização de controlos técnicos gerais e específicos. Os controlos técnicos gerais pretendem verificar a compatibilidade do funcionamento simultâneo do sistema operativo, do software de base e do hardware. Os controlos técnicos específicos são também necessários para se conseguir a operacionalidade dos sistemas;

Cumprimento das normas da organização no domínio do seu sistema de informação:

depois de ser conseguida a operacionalidade dos sistemas, um outro objectivo da auditoria é verificar até que ponto estão a ser


7

respeitadas as normas existentes na função informática e a sua integração coerente nas políticas globais da organização.

A equipa auditora deve conhecer com clareza e precisão os objectivos das suas tarefas, as metas e a respectiva calendarização. Depois de definidos o objectivo específico, é indispensável considerar os objectivos gerais de qualquer auditoria dos SI informatizados, ou seja, garantir a operacionalidade dos Sistemas e o funcionamento correcto dos controlos gerais da Gestão Informática.

Metodologia das operações Depois da definição dos objectivos e do âmbito da auditoria dos SI informatizados, a complexidade deste processo exige que sejam analisados os seguintes passos metodológicos:

Análise do ambiente geral da empresa; Organização da empresa onde se realiza a auditoria; Caracterização do ambiente das operações no domínio informático; Organização dos recursos existentes e necessários; Formulação do plano geral e dos programas de trabalho;

As fases de uma auditoria;

Estudo preliminar - Nesta fase o auditor tem de definir se vai trabalhar

isoladamente ou em equipa. Além disso, é necessário estabelecer os objectivos da auditoria, preparar os questionários que permitirão recolher os dados que hão-de conduzir a uma informação inicial sobre o controlo interno, efectuar entrevistas com os principais técnicos da área a auditar, tomar contacto directo com as unidades informáticas como o Centro de Processamento de Dados e conhecer a documentação vigente sobre o sistema.

Revisão e avaliação de controlos e processos de segurança - Esta fase

integra a apreciação dos diagramas de fiuxo de processos, os testes dos pontos de controlo, as provas do funcionamento adequado das seguranças e dos backups, a revisão de arquivos e das aplicações das áreas criticas.

Exame detalhado de áreas críticas - Com base nas fases anteriores e

depois de definir mais especificamente os objectivos e o alcance do seu trabalho, o auditor definirá a sua metodologia de análise dos problemas detectados, os recursos a utilizar e apresentará o seu plano operacional.

Apresentação de resultados - Trata se do relatório final onde se

apresenta a apreciação da situação e o parecer do auditor, incluindo as suas recomendações técnicas.

Acções, técnicas e ferramentas da auditoria informática;

Verificação - refere-se à existência da documentação que integra e apoia

as diversas operações do sistema de informação e das medidas de controlo interno que são habituais;

Entrevista - é indispensável que o auditor tenha contactos directos com

diversos interlocutores, a fim de obter os esclarecimentos necessários à


8

prossecução do seu exame. As entrevistas podem ser com qualquer colaborador da função informática ou de outras áreas funcionais de acordo com o âmbito da auditoria, tendo-se em atenção que os interlocutores podem ser muito diferentes no que respeita às funções profissionais e à capacidade de diálogo e de disponibilidade para colaborar. As entrevistas devem ser sempre previamente preparadas no sentido de obter os resultados pretendidos, não devendo o auditor influenciar o sentido ou a natureza das respostas;

Comprovação - o auditor tem de obter provas a fim de fundamentar o seu

parecer. Há dois tipos de provas: internas e externas.

Internas - são provenientes da própria empresa que está a ser auditada, umas geradas internamente (documentos, registos, ficheiros), outras são enviadas por terceiros directamente para a empresa (mensagens de fornecedores, relatórios sobre o funcionamento dos equipamentos).

Externas - o auditor pode obtê-las de outras fontes directamente relacionadas com o âmbito da auditoria em curso, quando entender que a sua importância condiciona o seu parecer final;

Análise - refere-se à análise completa das informações recebidas da

empresa auditada e daquela que provém dos dados recolhidos pelo próprio auditor, devendo-se confirmar a sua credibilidade e relacionar estes dois blocos a fim de tirar as primeiras conclusões.

Elaboração do relatório final.

Introdução - importa que sejam apresentados os objectivos propostos no

plano director anual de auditoria de sistemas e explicadas as eventuais alterações desses objectivos que tenham acontecido;

Âmbito e os objectivos da auditoria;

Áreas auditadas - as áreas que foram sujeitas à análise e avaliação, nomeadamente a estrutura orgânica e funcional da área de informática;

Apresentação dos indicadores de qualidade que foram utilizados -

mostrar a sua caracterização, as técnicas utilizadas, os processos de medida empregues e as variações existentes nas medidas efectuadas ao longo do ano e em comparação com os anos anteriores;

Situação actual - identificação geral da situação actual, nomeadamente a

configuração do hardware, do software instalado e o sistema de controlo interno;

Problemas - descrição dos problemas detectados, dos pontos fracos e das

eventuais ameaças;

Comentários e recomendações - no que se refere aos problemas detectados no ano em análise, às dificuldades de trabalho encontradas e às orientações sugeridas para o plano da auditoria de sistemas a realizar futuramente. Em particular devem ser apresentadas as soluções recomendadas e os respectivos planos;

Avaliação final - avaliação global do ambiente auditado.


9

04 - Controlo e Segurança

Sistema de controlo interno: Controlo é um conjunto de procedimentos e métodos, cuja finalidade é vigiar as funções e atitudes das empresas, permitindo verificar se todas as operações são realizadas conforme os programas adoptados e as directrizes e princípios estabelecidos. Sistema de controlo interno – Objectivos: Um sistema de controlo interno é um conjunto de definições, normas e procedimentos que asseguram a qualidade de um SI, através de um processo de auto-controlo. Numa perspectiva de gestão empresarial, as finalidades do controlo interno são as seguintes:

Proteger os activos;

Obter a informação adequada, no sentido do rigor e da sua actualização, ou seja, pretende-se que a informação obtida (produto final) derive apenas dos dados(matéria-prima) introduzidos no sistema, sem haver perdas ou intromissão de outros dados;

Preservar a confidencialidade do SI informatizado, dos seus modos de processamento e das informações formuladas;

Garantir a segurança ambiental, o que é verificado pelas condições em que operamos recursos humanos, materiais e tecnológicos componentes da função informática;

Manter a segurança lógica, isto é, avaliar a eventual ocorrência de modificações ou deficiências dos recursos tecnológicos que compõem o SI informatizado;

A possibilidade de se conseguir um dado nível de eficiência operacional (optimização dos recursos humanos, materiais e tecnológicos, com a melhor relação custo/beneficio) assente na segurança física desses recursos, porque garantem o funcionamento dos SI informatizados;

Conseguir elevados níveis de eficácia, considerando o nível de satisfação do utilizador e a adequação da informação obtida em função dos objectivos necessários à sua utilidade;

Manter a coerência e a concordância das actividades com as orientações fornecidas pelas políticas da gestão de topo.

Na perspectiva da auditoria interna, o controlo interno concentra-se no aperfeiçoamento dos sistemas de funcionamento da empresa, apreciando métodos e processos de trabalho, as interligações entre as áreas funcionais, identificando insuficiências, desajustamentos, métodos desactualizados e procedimentos desnecessários.


10

Sistema de controlo interno – classificação: Controlos preventivos

são aqueles que estabelecem as condições necessárias para que o erro não se produza e reduzem a frequência com que ocorrem as causas do risco.

o Exemplos:

o um sinal de "Não fumar" para salvaguardar as instalações; o sistemas de chaves de acesso; o a segregação de funções; o a padronização de procedimentos; o autorizações; o as passwords.

Controlos correctivos

ajudam a investigação e correcção das causas do risco. A correcção adequada pode resultar difícil e ineficiente, sendo necessária a implantação de controlos de detecção sobre os controlos correctivos, visto que a correcção de erros é, em si mesma, uma actividade altamente propensa a erros.

o Exemplos:

o listas de erros ocorridos; o estatísticas das causas de erros.

Controlos de detecção

sendo os mais importantes para o auditor, não evitam nem as causas do risco nem o erro, mas detectam-nos rapidamente. De certo modo, actuam como alarmes que permitem registar o problema e as suas causas, servindo como verificação do funcionamento dos processos e dos seus controlos preventivos.

o Exemplos:

o arquivos e processos que sirvam como trilhos de auditoria (audit trail);

o procedimentos de validação dos dados de entrada. Dentre os controlos de detecção, é possível destacar os controlos de supervisão, que se agrupam em três tipos de controlos:

- Controlos de aplicações; - Controlos de Tecnologias da Informação; - Controlos de utilizadores.

Sistema de controlo interno - controlo de supervisão: São procedimentos utilizados pela direcção de topo para poder controlar a evolução empresarial e alcançar os objectivos do negócio. Este tipo de controlos proporcionam à direcção e, portanto, aos auditores, segurança no que se refere à fiabilidade da informação financeira.


11

Tipos:

Controlo das aplicações - conjunto de procedimentos programados e manuais elaborados especialmente para cada aplicação, a fim de atingir objectivo específicos, utilizando uma ou mais técnicas. Podem ser classificados do seguinte modo:

o Controlos sobre a recolha de dados – incidem sobre modificações

e movimentos de dados;

o Controlos de processamento de dados – normalmente estão incluídos nos programas. Servem para detectar ou prevenir os seguintes tipos de erros:

Entrada de dados repetidos, processamento e actualização de

ficheiros equivocados, entrada de dados ilógicos, perda ou distorção de dados durante o processo;

o Controlos de saída e distribuição - os controlos de saída são

utilizados para garantir que o resultado do processamento é exacto e que os relatório se outras saídas só são recebidos pelos utilizadores que estejam autorizados.

Controlo da tecnologia da informação - São o conjunto de normas e procedimentos que devem existir em todo o centro de processamento de dados para assegurar a confidencialidade, a integridade e a disponibilidade dos dados informatizados. Estes controlos garantem que os procedimentos programados dentro de um sistema informático sejam concebidos, implantados, e operem de forma adequada e que só se introduzam mudanças autorizadas nos programas e nos dados.

Dentro dos controlos das TI, há diferentes tipos de controlos:

Controlos de manutenção - Os controlos de manutenção têm por finalidade reduzir os riscos inerentes às modificações das aplicações.

Controlos de desenvolvimento e implantação de aplicações - A direcção do projecto deve garantir a adequação da concepção, desenvolvimento e implantação das novas aplicações.

Controlos de segurança informática - Com base no nível de risco, devem ser formuladas políticas de controlo de acesso aos programas e aos dados. A fim de assegurar a segregação de funções relevantes e evitar actividades não autorizadas, é aconselhável que o acesso a funções concretas dentro das aplicações seja restringido aos utilizadores especializados. Este tipo de controlos poderá reduzir o risco de fraude e impedir que a informação confidencial ou restrita possa estar ao alcance de entidades não autorizadas dentro ou fora da empresa. A segurança física permite evitar o risco da destruição das instalações informáticas devido a incêndios, inundações ou outros eventuais danos que poderiam prejudicar o decorrer dos processos.

Controlos de operações informáticas - Os procedimentos de operações que englobam processos diferidos ou feitos por lotes


12

realizados em dados momentos devem estar documentados, programados e ser mantidos de forma adequada. As cópias de segurança dos programas e dos dados devem estar sempre disponíveis para casos de emergência. As instalações informáticas dos utilizadores finais devem ser apropriadas para as necessidades do negócio e controladas para maximizar a compatibilidade e apoiar eficazmente o utilizador. Com base em todos estes controlos, será possível evitar deficiências ou paragens dos equipamentos e dos softwares ou, pelo menos, será possível recuperar de forma a que o rendimento dos sistemas informáticos não seja afectado.

Controlo dos utilizadores - São os procedimentos manuais tradicionais

que os utilizadores devem executar sobre os documentos e transacções, antes e depois do seu processo informático, para verificar o adequado e contínuo funcionamento dos controlos das aplicações.

Sistema de controlo interno - controlos físicos e lógicos: São controlos especiais e devem ser caracterizados com base na sua finalidade imediata:

Autenticação - possibilitam a identificação do utilizador o a) passwords o b) assinaturas digitais;

Exactidão - estes controlos destinam-se a garantir a coerência dos dados:

o a) validação de campos o b) validação de excessos;

Totalidade - impedem que os registos sejam omitidos e garantem a

conclusão de um processo de envio: o a) contagem de registos o b) sinais de controlo;

Redundância - são controlos que impedem que os dados apresentem

duplicidade: o a) cancelamento de lotes o b) verificação de sequências;

Privacidade - estes controlos garantem a protecção dos dados:

o a) compactação o b) encriptação;

Existência - asseguram a disponibilidade dos dados e a manutenção dos

activos;

Protecção de Activos - impedem a destruição ou a corrupção da informação e/ou do hardware

o a) extintores contra incêndios o b) passwords;

Efectividade - estes controlos garantem que os objectivos sejam alcançados:

o a) inquéritos de satisfação o b) quantificação dos níveis de serviço;


13

Eficiência - asseguram que os recursos tenham uma utilização optimizada:

o a) programas específicos para tal fim o b) análise custo-beneficio.

Audit trail: O trilho de auditoria ou o audit trail permite recuperar de forma inversa as informações, através da reconstituição da composição das mesmas, e é constituído por um conjunto de rotinas e arquivos de controlo.

Trata-se de um registo que mostra quem teve acesso ao SI e que operações foram efectuadas durante um determinado tempo. Os audit trails são úteis para manter a segurança e para recuperar as transacções que tenham sido perdidas. Muitos sistemas aplicáveis à área contabilistico-financeira ou à gestão de bases de dados incluem como componente um audit trail.

Pretende-se, assim, que sejam realizadas as seguintes finalidades:

Poder reconstituir as operações ou movimentos que foram bem executados ou que o foram de modo errado;

Identificar os utilizadores de acordo com os seus níveis de autorização para lidarem com os SI informatizados;

Identificar também os utilizadores externos que prestam serviços à empresa (manutenção, assistência técnica ou auditoria) e os utilizadores internos, ou seja, os técnicos informáticos.

05 - Técnicas de Análise e de Controlo

Plano director de informática (PDI): O Plano Director de Informática (PDI) tem em conta os objectivos de evolução empresarial, o possível uso estratégico da informática, as necessidades informáticas da empresa e deve considerar as alternativas possíveis para satisfazê-las o mais completamente possível, atendendo à situação da evolução tecnológica. A necessidade de definir uma política global, estabelecer os objectivos e organizar as actividades da função informática conduz, nalgumas empresas, à elaboração de um PDI. Formalizando o planeamento estratégico de informática assente nos princípios da filosofia de Processamento Informático de Dados (PID), este documento deve apresentar principalmente os objectivos de curto e médio prazo, o plano de acções quanto ao desenvolvimento dos sistemas informáticos, as necessidades de hardware e software, a selecção, formação e motivação dos técnicos e utilizadores, um orçamento de custos das acções propostas e o sistema de controlo que deve acompanhar a implementação de todo o plano.


14

Técnicas de analise e de controlo

Questionários e Entrevistas No domínio da Auditoria Informática, os questionários têm por objectivo a análise da situação de um determinado Ponto de Controlo do sistema de informação informatizado, a fim de se verificar a sua adequação aos parâmetros do controlo interno como, por exemplo, eficiência, eficácia, segurança lógica e segurança física.

Checklists O auditor tem de construir perguntas muito estudadas e de formulação flexível, que o conduzam a obter respostas coerentes que permitam uma correcta descrição dos pontos fracos e fortes. Este conjunto de perguntas tem o nome de checklist. Regra geral, as checklists devem ser respondidas oralmente, pois podem fornecer conteúdos mais individualizados e mais ricos do que as outras formas.

Análise de relatórios A análise dos relatórios sobre o controlo interno é uma técnica muito importante para se poder avaliar a eficácia do sistema e exige que sejam considerados aspectos como o nível de utilização de cada utilizador, a forma de distribuição desses relatórios, a sua maior ou menor confidencialidade e a utilização da informação que contêm.

Análise presencial No decurso da sua análise, é indispensável que o auditor visite as instalações da organização a auditar, em particular das que integram o SI informatizado, no que se refere a equipamentos, procedimentos e recursos técnicos. Dado que o auditor deve verificar a existência dos activos do SI, o seu estado de conservação e a qualidade dos procedimentos de utilização, impõe-se a sua análise presencial. A utilização desta técnica é muito frequente quando se pretende analisar vários pontos de controlo clássicos da auditoria de sistemas.

Técnicas de Ensaio com Simulação (test-deck) Para a aplicação desta técnica, submete-se um conjunto de dados de teste ao programa que vigora no sistema ou a uma dada rotina relativamente à qual se pretende analisar a sua lógica de processamento. A simulação dos dados que são utilizados para testar a situação de um dado programa devem poder prever situações correctas e incorrectas como, por exemplo, transacções incompletas, incompatíveis, duplicadas ou com campos inválidos. A aplicação da técnica de simulação de dados implica que o auditor tenha bons conhecimentos de análise de sistemas.

Simulação paralela Na chamada simulação paralela, o auditor começa por identificar a rotina que deve ser auditada e os ficheiros com os dados que têm sido utilizados.


15

Baseada na simulação de um programa de computador, esta técnica exige as seguintes actividades:

Definir a rotina que vai ser auditada, tendo em conta a documentação do sistema;

Simulação do programa de computador, o qual deve integrar a lógica da rotina que irá ser auditada;

Testar o programa que irá simular em paralelo a lógica do programa instalado no sistema.

Análise do Log / Accounting

Denomina-se por Log/Accounting o arquivo onde se encontram registados os diversos passos provenientes da utilização do hardware e do software que integram o SI informatizado. Este arquivo é criado por uma rotina que se integra no sistema operacional. A informação fornecida por este arquivo permite tirar conclusões sobre o software aplicativo vigente e a utilização de dispositivos que integram uma dada configuração ou um conjunto de computadores instalados em rede. É conveniente que a apreciação técnica do Log/Accounting conduza à formação de indicadores de qualidade sobre o funcionamento do equipamento e dos sistemas aplicativos e também ao planeamento da sua evolução futura (capacidade de configuração, ligação em rede, acesso à Internet) que deve ter como objectivo a optimização do rendimento global do sistema, quer no aproveitamento de capacidades, quer no nível segurança pretendido.

Estatística Durante o processamento dos programas, o auditor utiliza esta técnica para verificar situações como:

Existência de rotinas que não são utilizadas; Identificar o número de vezes que cada rotina foi utilizada durante o

processamento de dados. Os relatórios provenientes da aplicação desta técnica permitem identificar e confirmar:

Que rotinas já foram desactivadas ou apenas são utilizadas esporadicamente;

Quais são as rotinas de controlo habitualmente mais utilizadas em cada operação de processamento do programa;

Quais são as rotinas que detectam as situações de fraude e que são utilizadas em situações irregulares.

Programas de auditoria

Rastreio de programas

Apoiando-se em softwares potentes e modulares que permitem seguir o percurso dos dados no contexto de um dado programa, o auditor informático verifica até que ponto é que os programas instalados no sistema realizam exactamente as funções pretendidas e previstas e não outras.


16

Software para auditoria

Até há alguns anos foram empregues packages de auditoria, que põem à disposição programas adequados para auditores que têm uma reduzida qualificação técnica no domínio da informática. Actualmente, os softwares adequados para a auditoria de SI informatizados são construídos principalmente com linguagens que permitem a análise dos ficheiros e das bases de dados dos sistemas sob auditoria. De igual modo, o aumento do número das redes locais e o conceito "Cliente-Servidor" têm conduzido a que as empresas de software tendam a desenvolver interfaces de transporte de dados entre os computadores pessoais e os mainframe.

06 - Segurança Informática –Introdução–

Podemos considerar que um sistema seguro é aquele que permite

aos utilizadores a realização do seu trabalho nas condições desejadas.

Actualmente a segurança dos sistemas de informação representa um

papel na vida das organizações de importância igual á concepção e desenvolvimento dos próprios sistemas de informação.

O princípio reside no facto de que pior que não ter um bom

sistema de informação é tê-lo e perdê-lo no momento em que os utilizadores, os procedimentos e os compromissos estão dependentes do sistema informático.

Segurança – Objectivos:

Assegurar que informação só seja conhecida pelo seu dono ou por quem

ele desejar. Assegurar que a informação não seja alterada, a não ser de forma

intencional pelo seu dono ou por quem ele desejar Assegurar que informação esteja disponível ao seu dono ou a quem ele

desejar.

No essencial, segurança envolve:

Confidencialidade conhecimento da existência e conteúdo da informação apenas por quem tem permissão.

Integridade alteração da informação apenas por quem tem permissão.


17

Disponibilidade

Utilização permanente da informação por quem tem permissão

Autenticidade

Certificação do dono. Não repudio – quem fez a informação não pode recusar a autoria.

Segurança – ameaças Externas : fogo, roubo, traição (de quem tinha acesso à informação), falha de equipamento, exposição ao exterior, etc.

Resolução: cópias de segurança, isolamento físico, policiamento, equipamento tolerante a falhas, etc.

Internas : utilizadores, controlo de acessos, vias de comunicação, bugs, etc. Resolução: autenticar utilizadores (servidores, clientes...), controlar acessos

(princípio do mínimo privilégio), cifrar informação, usar software testado e de confiança, etc.

Segurança - Estabelecimento segurança

Definir política de segurança

Quem pode fazer o quê, como e quando Ex: o ficheiro F só pode ser lido pelos utilizadores U1 e U2

Utilizar mecanismos de segurança

Aplicar a política definida Ex1: atribuir, pelo sistema operativo, aos utilizadores U1 e U2 permissões

de leitura de F Ex2: cifrar F por método ou com chave conhecidos só por U1 e U2

Exemplos de mecanismos de segurança:

Cifra (cifragem, codificação) Controlo de acessos (após autorização, após autenticação) Registo (monitorização) (auditing)

08 - Politicas de Segurança

O primeiro passo que qualquer organização deve dar para proteger os seus dados e a própria de uma responsabilização é desenvolver uma política de segurança.

Política de segurança é uma declaração formal das regras que as pessoas que recebem acesso à tecnologia e aos activos de informações de uma organização devem seguir.

Uma política de segurança tem o seguintes objectivos:


18

Informa utilizadores, equipa e gerentes dos requisitos obrigatórios para proteger a tecnologia e os activos de informações

Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidos

Fornece uma linha de base para adquirir, configurar e auditar sistemas de computadores e redes em conformidade com a política

Politicas de Segurança – Modelos

Tipos de políticas de segurança:

Confidencialidade o Militar

Integridade

o Comercial

Disponibilidade o qualidade de serviço

Modelos:

Confidencialidade

Políticas que pretendem evitar o conhecimento não autorizado de informação: Modelos: Bell-LaPadula, Clark-Wilson

Integridade Políticas que pretendem garantir a exactidão da informação, evitando a sua alteração não autorizada Modelos: Biba, Lipner, Clark-Wilson Modelos híbridos: políticas que preocupam tanto com a integridade como com a confidencialidade da informação a segurar Modelo: Muralha Chinesa.

Plano de Segurança Quando se avalia o nível de segurança dos SI numa empresa ou numa instituição, é necessário elaborar um plano baseado em padrões de segurança, que integre diversos níveis de controlo e que reduza todos os riscos possíveis e apresente soluções para enfrentar as situações inesperadas ou inevitáveis. O plano de segurança é uma estratégia planificada de acções e projectos que devem conduzir um SI e os seus centros de processamento de uma situação inicial determinada (e que tem de ser melhorada) a uma nova situação já melhorada.


19

10 – Segurança – Criptografia

Definição

Ciência (e arte) da escrita secreta; Basicamente, pretende dificultar o conhecimento não autorizado de

informação.

Tipos de sistemas criptográficos Quanto ao segredo:

algoritmo(s) secreto(s) chave(s) secreta(s)

uma só chave duas chaves

Quanto ao método:

stream (ou contínuo) bloco

Quanto à aplicação:

bidireccional, reversível (two-way):

Integridade, Confidencialidade, Autenticidade

unidireccional, irreversível (one-way): Integridade, Autenticidade

Sistemas de Cifra com chave Simétricos, de chave-secreta, ou de chave-partilhada

Ke = Kd = K - A mesma chave para cifrar e decifrar Computação muito eficiente, pelo que apropriados à cifra de grandes

quantidades de dados Combinação e troca de chave difícil, pelo que preferidos em sistemas

fechados Exemplo: DES (Data Encryption Standard)

Assimétricos, de chave-pública, ou de dupla-chave

Ke (=K+) ¹ Kd (=K-) - uma chave para cifrar outra chave para decifrar Pesados em termos de computação, pelo que não adequados à cifra de

grande quantidade de dados Combinação e troca de chaves fácil, pelo que ideias para sistemas abertos Exemplo: RSA (Rivest-Shamir-Adleman)


20

Métodos de cifragem

stream (ou contínuo)

o texto a cifrar é dividido em partes de igual tamanho P = P1P2... cada uma das partes é cifrada com uma chave diferente K = K1K2... C = K(P) = K1(P1)K2 (P2)... se o nº de chaves for menor que o nº de partes a cifrar, o sistema

diz-se periódico Exemplos: algoritmo de Vigenère, one-time pad

Bloco

o texto a cifrar é dividido em partes de igual tamanho P = P1P2… cada uma das partes é cifrada com a mesma chave K C = K(P) = K(P1)K (P2)… Exemplos: DES, RSA, AES (Advanced Encryption Standard)

Exemplo de técnica criptográfica: One Time Pad

Sistema do tipo stream Chave aleatória Chave do tamanho do texto original Considerado inquebrável Sistema simétrico Cifragem reversível

Tipos de aplicação

Bidireccional, reversível (two-way)

Utilização

Confidencialidade Autenticação Verificação de Integridade

Unidireccional, irreversível (one-way)

Utilização

Autenticação Verificação de Integridade

Exemplo de algoritmo criptográfico (reversível, chave secreta) DES (Data Encryption Standard)

blocos de 64b chave de 56b permutação inicial


21

16 etapas (rounds) usando 16 chaves, obtidas da chave principal permutação final, inversa da inicial

AES (Advanced Encryption Standard)

chaves com 128, 192 ou 256 bits blocos de 128b (ou de 192 ou 256) considerado inquebrável (num futuro médio!) eficiente em software e em hardware (incluindo smart cards)

Exemplo de algoritmo criptográfico (reversível, chave pública) RSA (Rivest-Shamir-Adleman)

Exemplo de algoritmo criptográfico irreversível MD5 (Message Digest 5)

11 – Segurança - Criptografia – Casos de utilização na prática

Chaves Assimétricas Cada utilizador tem um par de chaves: uma pública e uma privada.

Assinatura Digital A assinatura digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor que diz pertencer. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:


22

autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;

integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;

não repúdio - o emissor não pode negar a autenticidade da mensagem.

Uma assinatura digital típica envolve dois processos criptográficos:

O hash (resumo) No primeiro momento é gerado um resumo criptográfico da mensagem através de algoritmos complexos (Exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este resumo criptográfico se dá o nome de hash. Uma função de hash deve apresentar necessariamente as seguintes características:

Deve ser impossível encontrar a mensagem original a partir do hash da mensagem.

Um hash é uma sequencia de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F).

Encriptação deste hash. Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública, para garantir a autenticação e a irretratabilidade. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto a mensagem original. Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, é necessário descriptografar a assinatura obtendo o hash original. Se ele for igual ao hash recém gerado, a mensagem está íntegra.

Hash MD5

Os hashes MD5 de 128-bit (16-bytes) são normalmente representados por uma sequência de 32 caracteres hexadecimais. Método irreversível. Método para garantir a autenticidade.

Certificado digital De acordo com a lei, o Certificado Digital é um documento electrónico autenticado com assinatura digital que certifica a titularidade de uma chave pública e a sua validade. Esse documento é emitido por uma entidade certificadora que cria e assina um Certificado Digital, um documento electrónico que associa inequivocamente a identidade de um indivíduo ou organização a uma chave pública assegurando a sua legalidade e fiabilidade.


23

Uma Entidade de Certificação é responsável pela emissão de certificados digitais para identificar indivíduos, comunidades, sistemas ou outras entidades que utilizem meios ligados a redes informáticas. Ao assinar digitalmente os certificados que emite, a entidade certificadora relaciona a identidade do portador do certificado, e portanto da chave privada, à chave pública existente no certificado. Desta forma podemos ter a certeza que aquela chave publica pertence de facto ao seu emissor. As entidades certificadoras representam um papel essencial no que diz respeito à confiança da informação transmitida em rede, uma vez que representam uma terceira entidade em que as duas partes confiam. Exemplos de entidades: verisign; thawte; multicert; digitalsign; Exemplos de uso: bancos, lojas de comércio electrónico…

Public key infrastructure Uma Infra-Estrutura de Chaves Públicas é uma entidade de iniciativa pública ou privada que tem como objectivo manter uma estrutura de emissão de chaves públicas, baseando-se no princípio da terceira parte confiável, oferecendo uma mediação de credibilidade e confiança em transacções entre partes que utilizam certificados digitais. A principal função do ICP é definir um conjunto de técnicas, práticas e procedimentos a serem adoptados pelas entidades a fim de estabelecer um sistema de certificação digital baseado em chave pública.

RSA RSA é um algoritmo de criptografia, que deve o seu nome a três professores do MIT (fundadores da empresa RSA Data Security, Inc.), Ron Rivest, Adi Shamir e Len Adleman

até à data, a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números.

É considerado dos mais seguros, já que colocou por terra todas as tentativas de quebrá-lo.

Foi também o primeiro algoritmo a possibilitar criptografia e assinatura

digital, uma das grandes inovações em criptografia de chave pública.

O mais conhecido algoritmo assimétrico

Até muito recentemente (2000), estava protegido por patente, nos EUA

Algoritmo pesado, mesmo se realizado em hardware

Até agora não foi quebrado. Tal seria muito difícil, se as chaves forem geradas com números primos muito grandes (> 10100).

Base de operação: aritmética modular.


24

SSL - Secure Sockets Layer Tecnologia de segurança que é utilizada para codificar os dados transferidos entre o computador de um utilizador e um website. O protocolo SSL, através de um processo de encriptação dos dados, previne que os dados transmitidos possam ser interceptados, ou mesmo alterados no seu percurso entre o navegador (browser) do utilizador e o site com o qual ele está ligado, garantindo desta forma a troca de informações confidenciais como os dados de cartão de crédito. Agora, é também conhecido como TLS - Transport Layer Security

12 – Segurança - Programação Segura

Dificuldades da prevenção

Humanas : alguns ataques devem-se a “entradas ocultas” criadas pelos próprios programadores!

Complexidade do software : é difícil prever interacções entre diferentes programas, especialmente atendendo aos seus desenvolvimentos futuros...

Custo : em última análise, é comercialmente impraticável construir

programas seguros por razões económicas (tipicamente associadas ao tempo de desenvolvimento e à perda de eficiência das aplicações)

Tipos famosos de ataques por programação (malicious logic)

Cavalos de Tróia Disfarce de registo inicial (login spoofing) Bombas lógicas portas secretas (trap door) buffer overflow virus (companion, executable program, memory, boot sector, device driver,

macro, source code...) vermes código móvel (applets, agentes, ficheiros Postscript...)

Tipos famosos de ataques por programação na WEB

Data Tampering Requisições http Controle de Acesso x http Script Injection SQL Injection Cross-Site Scripting

Princípios de projecto de um sistema informático seguro (Saltzer &

Schroeder)


25

Princípio do mínimo privilégio:

Dever-se-á atribuir a uma entidade os privilégios estritamente necessários à execução da tarefa autorizada

Princípio das pré-definições seguras:

no início da utilização do sistema, uma entidade só detém os privilégios que lhe forem explicitamente concedidos

Princípio da economia de mecanismo:

os mecanismos de segurança deverão ser o mais simples possível

Princípio da mediação completa:

Dever-se-á verificar sempre todos os acessos a objectos

Princípio da abertura de projecto:

A segurança do sistema não deve basear-se no secretismo do seu projecto ou implementação (negação de security through obscurity...)

Princípio da separação de privilégios:

Dever-se-á conceder autorizações apenas quando se verificar mais de uma condição

Princípio do mínimo mecanismo comum:

Dever-se-á evitar a partilha de mecanismos de acesso a recursos

Princípio da aceitabilidade psicológica:

Os mecanismos de segurança não deverão dificultar o uso normal do sistema

Programação: classificação de qualidade

correcta:

operação esperada, de acordo com os algoritmos certificados utilizados

robusta:

operação correcta e com resistência a entradas, acções ou resultados intermédios improváveis não maliciosos; em caso de impossibilidade de conclusão da forma planeada, terminação elegante e esclarecedora.

segura:

operação robusta e com resistência a uma utilização fraudulenta ou maliciosa

Auditoria e Segurança Informática (Tag. 29 Jun. 2010) · e operações para as quais foram...

Documents

Transcript of Auditoria e Segurança Informática (Tag. 29 Jun. 2010) · e operações para as quais foram...