Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA CLAUDIO MARCIO SCOLARI - 0592161 PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SISTEMAS DE SEGURANÇA - UNIP PRESIDENTE PRUDENTE 2021 CLAUDIO MARCIO SCOLARI PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SEGURANÇA DA INFORMAÇÃO - UNIP Trabalho para a conclusão do bimestre, requisito parcial na obtenção do título de graduação em segurança da Informação apresentado à Universidade Paulista – UNIP. Orientador: Prof. Ricardo Sewaybriker Presidente Prudente 2021 RESUMO Neste projeto o objetivo principal buscado é entender os diferentes tipos de organização que integram a empresa, adquirir a visão integra do processo de gerenciamento e após o entendimento elaborar o plano de negócio. Apontando os dois sistemas críticos de negócio será descrito todas as suas funcionalidades de uma maneira simplificada, assim será definido e documentado o planejamento junto as ações e o cronograma para a auditoria No cenário atual do projeto torna se necessário propor uma auditoria de sistemas a empresa ficticia, um supermercado. Também será adotado um modelo para o teste de invazão priorizando a estrutura organizacional alinhado ao plano de negócios da organização. O projeto foi desenvolvido com base em todos os fundamentos e conhecimentos adquiridos em disciplinas de Empreendedorismo, Gestão de Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão, sendo o alicerce no desenvolvimento do projeto. Palavras-Chaves:Auditoria de Sistemas, Empreendedorismo, Gestão de Qualidade, Pareceres, Teste de Invasão. ABSTRACT In this project, the main objective sought is to understand the different types of organizations that make up the company, acquire an integrated view of the management process and, after understanding, prepare the business plan. Pointing out the two critical business systems, all their functionalities will be described in a simplified way, thus, the planning will be defined and documented together with the actions and schedule for the audit In the current scenario of the project, it is necessary to propose a systems audit to the fictitious company, a supermarket. A model for intrusion testing will also be adopted, prioritizing the organizational structure aligned with the organization's business plan The project was developed based on all the fundamentals and knowledge acquired in the disciplines of Entrepreneurship, Quality Management, Systems Auditing and Opinions and Penetration Testing, being the foundation in the development of the project. Keywords: Systems Audit, Entrepreneurship, Quality Management, Opinions, Penetration Test. SUMÁRIO 1 INTRODUÇÃO ...................................................................................................... 8 2 METODOLOGIA – Desenvolvimento do Projeto ................................................... 9 3 Estrutura Organizacional – Empresa .................................................................. 10 3.1 Estrutura Organizacional – Setores .............................................................11 4 Plano de Negócios da Empresa .......................................................................... 12 5 Sistema (crítico) 1 da Empresa – Estoque .......................................................... 13 5.1 Sistema (crítico) 2 da Empresa – Segurança ............................................. 14 6 Cronograma para a auditoria de sistemas ............................................................. 15 6.1 Fase Teórica ................................................................................................15 6.1.2 Fase Prática ................................................................................................15 7 Conclusão – Relatório da auditoria interna ................................................ 16 8 Testes de Invasão – Planejamento ............................................................ 17 8.1 Testes de Invasão – Escopo ...................................................................... 17 8.2 Coleta de dados e informações .................................................................. 17 8.3 Análise de vulnerabilidades ........................................................................ 18 9 Conclusão – Relatório da auditoria interna ................................................ 19 10 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................... 20 8 1 INTRODUÇÃO Neste projeto serão apresentados dois sistemas críticos de negócio e serão planejadas ações documentadas com um cronograma para a auditoria desses respetivos sistemas também será adotado por base um modelo para testes de invasão priorizando a estrutura organizacional alinhado com o plano de negócios da organização. A empresa escolhida é um supermercado com uma estrutura organizacional de médio porte, onde foram encontrado divergencias no sistema financeiro e no sistema de entrada e saida de mercadorias. 9 2 Metodologia - Desenvolvimento do Projeto Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e acadêmica. Dados a serem obtidos: Baseado no conhecimento adquirido na disciplina de Empreendedorismo, será elaborando e demonstrando a estrutura organizacional da empresa ficticia. Baseado no conhecimento adquirido na disciplina de Gestão de Qualidade, será descrito e elaborado o plano de negócio da empresa. Baseado no conhecimento adquirido na disciplina Auditoria de Sistemas, Será estabelecido conforme planejamento as ações nescessárias e o cronograma para a realização da auditoria nos dois sistemas criticos. Baseado no conhecimento adquirido na disciplina Pareceres e testes de invasão será utilizado um modelo de teste de invasão e documentado as atividades Limitações da pesquisa: Tendo em vista a realidade da pesquisa ser apenas teórica, ou seja, não ser apresentado traços práticos, nos impede de termos os reais resultados na prática do projeto abordado. Outra limitação será o teste prático em campo, que não será realizado. Tratamento e análise dos dados: Separação por assunto, leitura e resumo dos artigos e matérias, para que seja realizado o trabalho. Forma de pesquisa: Serão realizadas pesquisas através de sites da internet e e-boks. 10 3 Estrutura Organizacional - Empresa A empresa apresentada é um Supermercado com várias lojas pela cidade, porém o alvo deste projeto será a loja matriz, onde se encontra concentrado a diretoria e o controle geral de todas as filiais. A estrutura da empresa é composta pelo diretor executivo (proprietário), descendo a hierarquia sua composição segue pela gerencia geral composta além do gerente uma equipe que auxilia em pontos do setor financeiro, amparados pelo setor de recursos humanos e a central de processamento de dados. A distribuição de setores da loja é dividada por líderes que gerencia esses determinados setores para garantir que a qualidade dos serviçoes e normas e diretrizes da empresa sejam empregados de maneira fiel e uniforme. Figura 1: Fluxograma da estrutura organizacional da empresa.11 3.1 Estrutura Organizacional – Setores CPD onde fica a equipe responsável pelo suporte de T.I., entrada e saída de notas fiscais, cadastro de mercadorias, controle de estoque, este mesmo setor se encontram os servidores e onde se concentra todos os demais serviçoes de tecnologia. O setor de recursos humanos responavel or diversos processos que envolve a empresa e seus colaboradores, ajuda no funcionamento dos processos da empresa, realiza toda a burocracia que envolve a admissão e manutenção de um colaborador Gerência geral toma as decições, realiza planejamentos, organização, controles , definições de estratégias entre outras atividades administrativas com base nas informações em conjunto geradas pelo setor de T.I. e o setor de recursos humanos. Também responsável pelo controle da execução dos trabalhos de seus subordinados no dia a dia. 12 4 Plano de Negócios da Empresa O plano de negócios da empresa foi definido e será documentado na seguinte ordem abaixo: Descrição da Empresa: quais os tipos de produtos são comercializados e quais os serviços prestados aos clientes. Diferencial da Empresa: como a empresa se destaca da concorrência no setor supermercadista. Missão da Empresa: o motivo pelo qual a empresa existe, qual o seu papel desempenhado no nicho de mercado que ocupa atualmente. Perfil dos envolvidos: sócios, empreendedores e demais colaboradores terão seus perfis estabelecidos. Isso fornecerá um direcionamento para contratação de pessoas e na busca de novos parceiros. Perfil dos clientes: definição de qual é o público alvo do supermercado. Investimento: quanto dinheiro será disponibilizado para os gastos que envolvem todas melhorias do projeto para melhorar a qualidade. 13 5 Sistema (crítico) 1 da Empresa - Estoque A empresa conta com um softwware que integra o administrativo com o estoque e gerenciamento da loja incluindo o setor de compras, separado por permissões de usuários definidos pelo administrador do sistema. Este sistema a ser detalhado é o sistema responsável pela entrada e saída de mercadorias, como a cada seis meses é definido a conferência de estoque da loja tem sido notado uma enorme divergência no término da conferência do estoque, o que tem trazido grande prejuizo e perdas para a empresa defido a resultados inconsistentes e sem exatidão. Nota se que no início do recebimento de um determinado produto no estoque, da conferência do engarregado pelo setor até a entrada no sistema pelo analista responsável o sistema tem todo o registro do produto de maneira correta, porém o registro de saída de determinados protutos estão divergindo em números grandes o quem tem impactado na contagem do estoque. A falha pode ser no sistema ou em quem opera o sistema, o que vai apontar essa falha neste sistema é a auditoria aplicada em cima disso. 14 5.1 Sistema (crítico) 2 da Empresa - Segurança O sistema de segurança da empresa conta com uma rede interna estruturado por um proxy onde o administrador libera ou não acesso a determinados links, garantindo que seus colaboradores acessem apenas links pré-definidos pela diretoria isso tem ajudado na segurança da rede. Porém o fator que tem gerado falhas é o servidor firewall que tem a finalidade de monitorar o tráfego do que entra e do que sai da rede ele autoriza e também bloqueia tráfegos especificos de acordo com um conjunto definido de regras de segurança da empresa. O sertor de T.I. da empresa tem fortes indícios de que o sistema contém falhas que pode estar ocasionando acessos indevidos ou mesmo a falta de confiabilidade na troca de informaçõe gerada entre matriz e filiais. O firewall da empresa é gerenciado por software e no cronograma de audutoria será definido um modelo teste de invasão para comprovar a verdadeira integridade do software. 15 6 Cronograma para a auditoria de sistemas A primeira etapa da auditoria deve ser avaliada periodicamente os processos de forma a atestar que eles são realizados adequadamente em relação aos critérios de referência. Durante o processo uma sequência planejada de eventos é utilizada com o objetivo de constatar se os sistemas da empresa Funciona corretamente E se é eficiente 6.1 Fase Teórica Podendo ser chamada também de fase 1, o foco desta fase é analisar a adequação de todos os documentos analizados neste processo do sistema de gestão. O primeiro passo será de fazer a auditoria de documentação que tem a finalidade de determinar se o sistema documentado e os procedimentos informados atendem adequadamente os requisitos da norma aplicável e do sistema em si implantado, assim como eventuais requisitos regulamentares. 6.1.2 Fase Prática A fase 2 da auditoria, terá o foco diferente da auditoria documentada, nessa fase a equipe de auditores estarão em campo, estarão atuando fisicamente na empresa para realização dos processos, garantir se as atividades são realmente realizadas, se o que foi “falado” está sendo de fato “realizado” conforme a documentação realizada na primeira fase. A execução dessa fase é a auditoria real, consiste em coletar as evidências, entrevistar pessoas, observar e analisar os processos acontecendo e compara-los a documentação da organização já analizadas, e também as normativas e regulamentações. Envolverá planejamento, realização da atividade, relatório com as constatações da auditoria e o acompanhamento, ou seja, auditorias periódicas que visam assegurar que o sistema implementado permaneça em conformidade com os requisitos definidos pela norma. Essa sequência de etapas é definida pelo PDCA da auditoria 16 7 Conclusão – Relatório da auditoria interna Após a conclusão será gerado o relatório, o principal documento da auditoria, nele estara contido diversas informações, como ; objetivos da auditoria, auditados, auditores, escopo, processos auditados, evidencias de conformidade e de não conformidade e quando aplicavél a sua classificação, as oportunidades de melhorias os resultados e conclusão dos auditores:relatório de conclusão abaixo: RELATÓRIO DE AUDITORIA Tipo de Auditoria: INTERNO Data da auditoria: 15 de Outubro de 2021 Norma de referência: ABNT NBR ISO/IEC 27005 Auditor líder: João da Silva Auditor: José Souza Pessoas contatadas: Joaquim de Abreu / Marcia Oliveira / Moacir Pereira RESUMO DA AUDITORIA A empresa Supermercados Econômico Ltda. Foi visitada em 13 e 14 de outubro de 2021 para a realização de uma auditoria em campo, de acordo com os requisitos das normas ABNT NBR ISO/IEC 27005. Antes da visita uma analise critica da documentação foi realizada e considerada satisfatória. A empresa se destina ao comércio de secos e molhados. Na opinião do auditor a empresa é um modelo de organização porém a segurança deve ser priorizada. Contudo durante a auditoria, duas não conformidades menores foram encontradas, uma no setor de CPD e outra no setor operacional (frente de caixa). Além disso foram colocadas duas observações quanto a liberação do firewall pelo setor de T.I. esses tópicos foram discutidos na reunião de fechamento. No corpo principal do relatório serão encontrados maiores detalhes em relação a auditoria. Conclusão: É recomendado a certificação para a norma de referencia ABNT NBR ISO/IEC 27005. 17 8 Testes de Invasão – Planejamento Após ser definido e assinado o documento com o termo de confiabilidade assegurando ambas as partes, informações coletadas e discutidas, o escopod do projeto e reportagem e descartes seguro das evidências nele geradas. Alinhandoambas expecativas de maneira formal no contrato, onde consta definido todos os aspectos como, cronograma com as datas e horários, as atividades que serão executadas inclusive as regras para aplicação dos testes. Baseado na informações anteriores o critério para escolha dos testes se definiu no Withe Box por ser um teste amplo e com mais chances de encontrar falhas e brechas no sistema crítico. 8.1 Testes de Invasão – Escopo O objetivo principal do teste de invasão é encontrar a falha no sistema se segurança já relatado no firewall e no sistema de estoque, aproveitando para obter uma avaliação mais ampla nos sistemas por completo. A organização avaliada será responsável pela definição do CDE e de qualquer sistemas críticos. Recomendamos a organização que trabalhe com o testador e, quando aplicável, o avaliador, para garantir que nenhum componente foi esquecido e também determinar se algum sistema adicional deve ser adicionado no escopo. Definido quais os endereços de IP serão inclusos no teste, quais os tipo de ações o cliente dará permissão para ser realizado durante o teste, permissões para desativar potencialmente determinado serviço, limitar a avaliação a simplesmente uma análise de vulnerabilidade. O cliente também poderá solicitar que os testes sejam realizados apenas em dias pré determinados e em horários específios, também necessita se definir e avaliar o tempo gasto para realização de tais atividades, estabelecendo o prazo junto ao cliente. 8.2 Coleta de dados e informações Nesta fase se analisará livremente as fontes de informações disponíveis, um processo conhecido como coleta de OSINT (Open Source Intelligence, ou dados de fontes abertas). Essa pesquisa será realizada através de motores de busca, como o Google, Bing e Yahoo. O DNS é um sistema de gerenciamento de nomes hierárquico e distribuido para computadores, serviços ou qualquer recurso conectado a internet ou em uma rede privada. Através do DNS será possível descobrir a topologia da rede, endereços de IP e a quantidade de computadores conectados na rede interna da empresa. 18 8.3 Análise de vulnerabilidades Tendo assim o conhecimento de portas, softwares instalados e sistemas ativos, se inicia o processo de análise de vulnerabilidade utilizando scanners e banco de dados de vulnerabilidades no auxílio em detectar falha nos ativos da empresa que podem vir, através da execução de exploits, permitindo o acesso a rede de computadores. Esta fase onde será executada os exploits nas vulnerabilidades detectadas na fase anterior, como exemplo: aessar remotamente um micro sem ter a necessidade de se autentiar através do login e da senha ou pelo método de tentativas de autenticação com senhas padrões em especificos sistemas. Será mantido o acesso pós exploração, pois certamente não devemos apenas ganhar o acesso, há a necessidade de manter o acesso persistente na rede, no sistema ou software vulnerável, no entanto, após o ganho de aesso serão utilizadas as técnicas para manter a porta de entrada aberta para acesso posterior. Exatamente como acontece em um ataque cibernético real, onde crackers realizam a instalação de backdoors para acesso posterior. A importancia de se manter o acesso durante o teste de invasão é para se demonstrar o impacto da vulnerabilidade para o cliente. No geral, além de ser mantido o acesso é realizado o procedimento de pós exploração, onde é feito um levantamento dos dados que estão sendo expostos por aquela falha conforme descrito em contrato. Caso haja arquivos sensíveis os mesmos não serão acessados, apenas serão descritos a título de informação. Outro ponto de importância durante essa etapa de teste será a escalação de privilégios para alcançar o maior numero de computadores, servidores e softwares possíveis. Assim sendo, cobrirá toda a rede analisando todas as possíveis brechas. 19 9 Conclusão do teste de Invasão Conclui-se deste trabalho acadêmico que a implantação dos testes são reportados as evidências geradas e as mesmas passam a ser integradas como um ativo importante da empresa. No caso de vazamento de informações esse documento oferece dados precisos e valiosos. Seguindo conforme a norma ABNT NBR ISO/IEC 27000 e aplicado os testes de invasão, encontrando as possíveis ameaças e oferecemos as correções, tudo de acordo com o orçamento apresentado préviamente e aprovado pela gerência, todo o processo foi alinhado de acordo com o plano de negócios da empresa. Finalizando deixa se claro que a necessidade dos gastos com o projeto e padronização de acordo com as normas ABNT é visto como um investimento com retorno a curto prazo, pois eu uma empresa com vários setores gerenciáveis e sistemas críticos torna se indispensável para a gestão e melhoria de qualidade na entrega dos resultados. 20 10 REFERÊNCIAS BIBLIOGRÁFICAS Ténicas de Invasão - Thtompson Vangller: <https://plataforma.bvirtual.com.br/Leitor/Publicacao/178088/pdf/0?code=yw Lx+AtIU4ZwCB//b51/TQ5uv4FuTuwvRgksGJxaIeXvYeuF89nLQRpie5db7lQ4U5qLG uEoqPN8gNVwW6ADWQ==>. Acesso em: 14 de Outubro de 2021. Auditoria de Sistema de Gestão Integrada - Afonso Cardoso: <https://plataforma.bvirtual.com.br/Leitor/Publicacao/35511/pdf/0?code=1/6J 2HyBdT03s5ddXfHbnFZzjOxQZNOR6Z5iAylJbtlV+hWD4oIEx+ToW/lsexXKJqvG6w7 kYbMiviGROsP5gQ==>. Acesso em: 14 de Outubro de 2021. Gestão da Qualidade - Academia Pearson <https://plataforma.bvirtual.com.br/Leitor/Publicacao/1797/pdf/0?code=L5Gf wpAmvLIU63+aOAKiIuUI39OQ1F41UFwvl6B2rwUu/smSs4m+HN/FrX6ZXWVcg6LO Obnd5CYOhLEQkkXtSg==> Acesso em: 15 de Outubro de 2021 Gerenciamento Estratégico e Administração por Projetos - Makron Books <https://plataforma.bvirtual.com.br/Leitor/Publicacao/31/pdf/0?code=R8FWP d/ZBQMgRtUSbTghpfx8j2TMTFgV7unWsacuqEs5dDHjVaqZAu3hLd9WKDSwLaXZ Hu1TXIUyQ2bvkFYzRw==> Acesso em: 15 de Outubro de 2021 Norma ABNT NBR ISO/IEC 27007, Tecnologia da informação - Técnicas de segurança - Gestão de risco da segurança da informação - não dispõe de esquema de certificação acreditada.
Compartilhar