Auditoria Informática

1 1

AUDITORIA INFORMÁTICA

2

2

POLÍTICA DE SEGURANÇA

3

Política de Segurança

• Em um país, temos a legislação que deve ser seguida

para que tenhamos um padrão de conduta considerado

adequado às necessidades da nação para garantia de seu

progresso e harmonia. Não havia como ser diferente em

uma empresa. Nesta precisamos definir padrões de

conduta para garantir o sucesso do negócio. (ABREU,

2002)

• Uma política de segurança consiste num conjunto

formal de regras que devem ser seguidas pelos

utilizadores dos recursos de uma organização

4


Segundo Wadlow (2000, p.40) uma política de segurança atende a

vários propósitos:

• Descreve o que está sendo protegido e por quê;

• Define prioridades sobre o que precisa ser protegido em primeiro

lugar e com qual custo;

• Permite estabelecer um acordo explícito com várias partes da

empresa em relação ao valor da segurança;

• Fornece ao departamento de segurança um motivo válido para dizer

“não” quando necessário;

• Proporciona ao departamento de segurança a autoridade

necessária para sustentar o “não”;

• Impede que o departamento de segurança tenha um desempenho

fútil.

5


• Sua criação e sua definição envolvem conhecimentos abrangentes

de segurança, ambiente de rede, organização, cultura, pessoas e

tecnologias, sendo uma tarefa complexa e trabalhosa.

• Porém a dificuldade maior será na implementação desta política

criada, quando todos os funcionários devem conhecer a política,

compreender para que as normas e procedimentos estabelecidos

realmente sejam seguidos por todos os funcionários.

• A implementação pode ser considerada a parte mais difícil da

política de segurança.

6


• As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.

• As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

• O documento que define a política de segurança deve ser um documento de fácil leitura e compreensão, além de resumido.

• Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

7


• Existem duas filosofias por trás de qualquer política de segurança: a proibitiva

(tudo que não é expressamente permitido é proibido) e a permissiva (tudo

que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

• A Disponibilidade: O sistema deve estar disponível de forma que quando o

usuário necessitar, possa usar. Dados críticos devem estar disponíveis

ininterruptamente.

• A Utilização: O sistema deve ser utilizado apenas para os determinados

objetivos.

• A Integridade: O sistema deve estar sempre íntegro e em condições de ser

usado.

• A Autenticidade: o sistema deve ter condições de verificar a identidade dos

usuários, e este ter condições de analisar a identidade do sistema.

• A Confidencialidade: dados privados devem ser apresentados somente aos

donos dos dados ou ao grupo por ele liberado.

8


• A segurança deve ser considerada um dos assuntos mais

importantes dentre as preocupações das organizações. Deve-se

entender que segurança da informação não é uma tecnologia. Não

é possível comprar um dispositivo que torne a rede segura ou um

software capaz de tornar seu computador seguro. Segurança da

informação não é um estado que se pode alcançar.

• ….. A Segurança não é uma questão técnica, mas uma questão

gerencial e humana. Não adianta adquirir uma série de dispositivos

de hardware e software sem treinar e conscientizar o nível gerencial

da empresa e todos os seus funcionários. (OLIVEIRA, 2001, p.43)

9


• A segurança é a direção em que se pretende chegar,

mas a empresa deve saber que nunca chegará de

facto ao destino. O que é possível fazer é administrar

um nível aceitável de risco. Segurança é um processo,

pode-se aplicar o processo à rede ou à empresa

visando melhorar a segurança dos sistemas.

(WADLOW, 2000, p.25]

• “A segurança é a direção em que se pretende chegar!”

10

CLASSIFICAÇÃO DA INFORMAÇÃO

• O objetivo da Classificação da Informação é assegurar que os

activos da informação recebam um nível adequado de

proteção. A informação deve ser classificada para indicar a

importância, a prioridade e o nível de proteção. A informação

possui vários níveis de sensibilidade e criticidade.

• Alguns itens podem necessitar um nível adicional de protecção

ou tratamento especial. Um sistema de classificação da

informação deve ser usado para definir um conjunto apropriado

de níveis de proteção e determinar a necessidade de medidas

especiais de tratamento.

• “Not all information has the same value or importance to

Organization. Information exists in many forms, and different

types of information have different values to the Organization

and therefore information requires different levels of protection”.

11


• Secreta

• Confidencial

• Interna

• Pública

12


Secreta

• Estas informações devem ser acessadas por um número

restrito de pessoas e o controle sobre o uso destas

informações deve ser total, são informações essenciais

para a empresa, portanto, sua integridade deve ser

preservada. O acesso interno ou externo por pessoas não

autorizadas a esse tipo de informação é extremamente

crítico para a instituição.

13


Confidencial

• Estas informações devem ficar restritas ao ambiente

da empresa, o acesso a essessistemas e informações

é feito de acordo com a sua estrita necessidade, ou

seja, os usuários só podem acessá-las se estes forem

fundamentais para o desempenho satisfatório de suas

funções na instituição. O acesso não autorizado à

estas informações podem causar danos financeiros ou

perdas de fatia de mercado para o concorrente.

14


Interna

• Essas informações não devem sair do âmbito da

instituição. Porém, se isto ocorrer as conseqüências

não serão críticas, no entanto, podem denegrir a

imagem da instituição ou causar prejuízos indiretos

não desejáveis.

Pública

• Informações que podem ser divulgadas para o público

em geral, incluindo clientes,fornecedores, imprensa,

não possuem restrições para divulgação.

15

Segurança da Informação

• A Segurança da Informação se refere à proteção

existente sobre as informações de uma determinada

empresa ou pessoa, isto é, aplica-se tanto as

informações corporativas quanto às pessoais.

Entende-se por informação todo e qualquer conteúdo

ou dado que tenha valor para alguma organização ou

pessoa. Ela pode estar guardada para uso restrito ou

exposta ao público para consulta ou aquisição

16

Segurança da Informação

• Podem ser estabelecidas métricas para a definição do

nível de segurança existente e, com isto, serem

estabelecidas as bases para análise da melhoria ou não

da situação de segurança existente.

• A segurança de uma determinada informação pode ser

afectada por factores comportamentais e de uso de

quem se utiliza dela, pelo ambiente ou infra-estrutura

que a cerca ou por pessoas mal intencionadas que têm

o objetivo de furtar, destruir ou modificar tal informação.

17

Mecanismos de segurança

O suporte para as recomendações de segurança pode ser

encontrado em:

• Controles físicos: são barreiras que limitam o contato ou

acesso direto a informação ou a infra-estrutura (que garante

a existência da informação) que a suporta.

Existem mecanismos de segurança que apóiam os

controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

• Controles lógicos: são barreiras que impedem ou limitam

o acesso a informação, que está em ambiente controlado,

geralmente eletrônico, e que, de outro modo, ficaria exposta

a alteração não autorizada por elemento mal intencionado.

18

Segurança Física e Segurança

lógica

Segurança física Objectivos

Do pessoal Reduzir os riscos devido a erros humanos, roubo, fraudes e/ou má utilização dos recursos existentes

Das instalações Requisitos da localização e estrutura dos edifícios destinados aos centros de informática de forma a garantir um nível de segurança adequado

Segurança lógica Objectivos

Gestão e controlo de acessos

O acesso ao SI informatizado deve ser condicionado pelo uso de passwords

Gestao do SI informatizado e da rede

Assegurar uma segura e adequada gestão de todos os computadores existentes na rede

Segurança dos sistemas aplicativos

Manutenção da segurança dos sistemas aplicacionais

19


• Existem mecanismos de segurança que apóiam os controles lógicos:

• Mecanismos de criptografia. Permitem a transformação reversível

da informação de forma a torná-la ininteligível a terceiros. Utiliza-se

para tal, algoritmos determinados e uma chave secreta para, a partir

de um conjunto de dados não criptografados, produzir uma sequência

de dados criptografados. A operação inversa é a decifração.

• Assinaturas digital, Um conjunto de dados criptografados,

associados a um documento do qual são função, garantindo a

integridade e autenticidade do documento associado, mas não a sua

confidencialidade.

• Mecanismos de garantia da integridade da informação. Usando

funções de "Hashing" ou de checagem, consistindo na adição.

20


• Mecanismos de controle de acesso,Palavras-chave, sistemas

biométricos, firewalls, cartões inteligentes.

• Mecanismos de certificação, Atesta a validade de um documento.

• Integridade, Medida em que um serviço/informação é genuíno, isto

é, está protegido contra a personificação por intrusos.

• Honeypot, É o nome dado a um software, cuja função é detectar ou

de impedir a ação de um cracker, de um spammer, ou de qualquer

agente externo estranho ao sistema, enganando-o, fazendo-o

pensar que esteja de fato explorando uma vulnerabilidade daquele

sistema.

• Existe hoje em dia um elevado número de ferramentas e

sistemas que pretendem fornecer segurança. Alguns exemplos

são os detectores de intrusões, os anti-vírus, firewalls,, filtros

anti-spam, analisadores de código, etc

21

AUDITORIA INFORMÁTICA E A

SEGURANÇA

• Os tipos de controlos proporcionam à gestão empresarial e

também aos auditores um dado nível de segurança

quando à fiabilidade da informação e quando ao

funcionamento de todo um SI

• É necessário concentrar a atenção das organizações nos

aspectos que vão condicionando o meio profissional

como, por exemplo, a segurança em TI, os requisitos

legais, as medidas de segurança para a protecção de

dados pessoais e a protecção da privacidade no sector

das telecomunicações.

22


SEGURANÇA

• Em relação a segurança da TI importa dizer que se

assiste há alguns anos a configuração de um novo

modelo cuja orientação é a construção da confiança. Um

dos objectivos básicos do mencionado modelo é

contribuir para a actual sociedade da informação, com a

requerida confiança nos seus SI e nas possíveis

interações dos mesmos.

• Trata-se de um domínio vasto e complexo, que afecta a

legislação vigente, a administração, a formação, a

consciência ética e, obviamente, a TI;

• Apresenta uma dimensão internacional

23


SEGURANÇA

É importante continuar a pensar em temas como:

• Os contributos da tecnologia de detecção e de respostas a ataques que perturbem a segurança dos SI;

• Os mecanismos e técnicas de segurança, nomeadamente a criptografia, esteganografia e os critérios de avaliação dessa segurança;

• Diferença entre o domínio da segurança e o da tecnologia, o que dirige as considerações para os campos da ética e da dimensão sociológica das tecnologias;

• A projeção social do que deve ser ainda realizado e decidido, até a nível governamental, relativamente a proteção de dados pessoais e as medidas de segurança dos ficheiros automatizados que contenham dados de carácter pessoal;

• Os aspectos jurídicos relevantes em matéria de comércio electrónico;

• E, finalmente, os contributos provenientes da auditoria dos SI informatizados.

24


SEGURANÇA

• A Esteganografia é o estudo das técnicas de

ocultação de mensagens dentro de outras,

diferentemente da Criptografia, que a altera de

forma a tornar seu significado original

ininteligível.

25


SEGURANÇA

Segurança Física

• É importante a segurança física dos computadores. Deve-se avaliar o grau de segurança proporcionado aos recursos envolvidos no ambiente de sistemas em relação às ameaças externas existentes, como é o caso de um sinistro ou de um incêndio.

• O ambiente onde os servidores ficam deve ter restrição de acesso físico, limpeza e organização, dispositivos para monitoramento vinte e quatro horas por dia e equipamentos de combate a sinistros.

• A infra-estrutura para os servidores deve contar com rede elétrica estabilizada e cabeamento estruturado. As estações de trabalho devem ter mobília adequada, equipamentos protegidos com lacres ou cadeados, limpeza e configuração compatível com a carga de trabalho.

26


SEGURANÇA

Segurança de Redes

• Quanto à segurança de redes as seguintes medidas de segurança

devem ser tomadas: uso da criptografia no envio de dados,

monitoramento do sistema, cuidados com a criação de novos usuários e

uso de firewall, pois o firewall é um sistema desenvolvido para prevenir

acessos não autorizados a uma rede local de computadores.

• Os firewalls são implementados através de programas de computador e

dispositivos eletrônicos. Através dele, os dados que entram ou saem da

rede são examinados com a finalidade de bloquear os dados que não

estão de acordo com os critérios de segurança.

• Apenas usuários autorizados podem ter acesso à rede e dentro da rede,

eles só podem ter acesso aos recursos realmente necessários para a

execução de suas tarefas. Sendo que os recursos críticos devem ser

monitorados e seu acesso restrito a poucas pessoas..

27


SEGURANÇA

Segurança do Banco de Dados

• Especial atenção deve ser dada ao banco de dados para o qual

devem existir dispositivos de segurança, procedimentos de

autorização de acesso aos dados, atualização das novas versões

e procedimentos de cópias para possíveis restaurações.

• A segurança das informações processadas pelo sistema de

informática deve ser sempre monitorada para verificar se os

relatórios gerados estão corretos, se estão protegidas contra

fraudes, se as instalações e os equipamentos também estão

protegidos.

28

VULNERABILIDADES

• A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um

ataque, ou seja, é uma condição encontrada em determinados recursos,

processos, configurações, etc. Condição causada muitas vezes pela

ausência ou ineficiência das medidas de proteção utilizadas de

salvaguardar os bem da empresa. (Moreira, 2001, p.22)

• Qualquer grande empresa precisa tomar providencias especiais para

evitar as vulnerabilidades. Para tanto, planos de recuperação pós-

desastre incluem procedimentos e instalações para restaurar os serviços

de comunicação após terem sofrido algum tipo de problema. Quando a

empresa utiliza intranet ou Internet, firewalls e sistemas de detecção de

invasão ajudam a salvaguardar redes internas contra o acesso não

autorizado.

29

VULNERABILIDADES

• A auditoria em segurança da informação tem o papel de assegurar a

qualidade da informação e participar do processo de garantia quanto a

possíveis e indesejáveis problemas de falha humana.

• Com dados concentrados em formato digital e procedimentos invisíveis

devido à automação, os sistemas de informação são vulneráveis a destruição,

abuso, alteração, erro, fraude e a falhas de programas e equipamentos.

• Os sistemas on-line e os que utilizam a Internet são os mais vulneráveis,

pois seus dados e arquivos podem ser acessados imediata e diretamente em

terminais de computador ou em muitos pontos de rede. Hackers podem

invadir redes e causar sérios danos ao sistema e às informações

armazenadas, sem deixar qualquer rastro. Vírus de computador podem se

propagar rapidamente entupindo a memória de computadores e destruindo

arquivos. Os softwares em si também apresentam problemas e a má

qualidade dos dados também pode causar sérios impactos sobre o

desenvolvimento do sistema.

30

VULNERABILIDADES

• Assegurar que existe uma preocupação efectiva com a segurança e se os custos em segurança estão proporcionalmente distribuídos pelos recursos a proteger

• Assegurar que os recursos aplicados no SI estão sujeitos a um risco reduzido no que concerne à sua integridade física e capacidade energética e que os recursos do SI estão devidamente acondicionados e climatizados.

• Assegurar que os recursos do SI estão protegidos contra modificação, destruição, perdas, danos ou depreciação e se o acesso aos recursos do SI é limitado apenas aos funcionários que efectivamente necessitam de lhes aceder.

31

VULNERABILIDADES

• Uma vulnerabilidade pode partir das próprias medidas de

segurança implantadas na empresa, se existir estas

medidas, porém configuradas de maneira incorreta, então

a empresa possuirá uma vulnerabilidade e não uma

medida de segurança.

• Quando pretende-se garantir a segurança da informação

da empresa deve-se identificar os processos vulneráveis,

se estes processos forem de grande importância para

garantir a segurança da informação, as medidas e

controles de segurança adequados são implementados.

32

VULNERABILIDADES

• As vulnerabilidades podem ser físicas, naturais, humanas, de software ou hardware, entre outras. Pode-se citar alguns exemplos de vulnerabilidades:

• Físicas: Falta de extintores, salas mal projetadas, instalações elétricas antigas e em conjunto com as instalações da rede de computadores.

• Naturais: Acumulo de poeira, umidade, possibilidade de desastre naturais, como enchente, tempestade, terremotos, etc.

• Humana: Falta de treinamento, compartilhamento de informações confidenciais por parte dos funcionários da empresa, falta de comprometimento dos funcionários.

33

Impacto dos incidentes de segurança nos

negócios

34 34

Bibliografia

• Oliveira,2006. Metodo de auditoria a sistemas de informacao

• Santos,P. Auditoria a Sistemas de informacao

• www.ifac.com

http://www.ifac.com/

Auditoria Informática

Documents

Transcript of Auditoria Informática