PIM VII SISTEMA DA INFORMAÇÃO

Prévia do material em texto

UNIVERSIDADE PAULISTA 
 
 
 
 
 
 
 
 
CLAUDIO MARCIO SCOLARI - 0592161 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PIM –PROJETO INTEGRADO MULTIDICIPLINAR: 
 
SISTEMAS DE SEGURANÇA - UNIP 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PRESIDENTE PRUDENTE 2021 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CLAUDIO MARCIO SCOLARI 
 
 
 
PIM –PROJETO INTEGRADO MULTIDICIPLINAR: 
 
SEGURANÇA DA INFORMAÇÃO - UNIP 
 
 
 
 
 
Trabalho para a conclusão do bimestre, requisito parcial na 
obtenção do título de graduação em segurança da Informação 
apresentado à Universidade Paulista – UNIP. 
 
 
 
 
Orientador: Prof. Ricardo Sewaybriker 
 
 
 
 
 
 
 
Presidente Prudente 2021 
 
RESUMO 
 
 
 
 
Neste projeto o objetivo principal buscado é entender os diferentes tipos de 
organização que integram a empresa, adquirir a visão integra do processo de 
gerenciamento e após o entendimento elaborar o plano de negócio. 
 
Apontando os dois sistemas críticos de negócio será descrito todas as suas 
funcionalidades de uma maneira simplificada, assim será definido e documentado o 
planejamento junto as ações e o cronograma para a auditoria 
 
No cenário atual do projeto torna se necessário propor uma auditoria de 
sistemas a empresa ficticia, um supermercado. 
 
Também será adotado um modelo para o teste de invazão priorizando a 
estrutura organizacional alinhado ao plano de negócios da organização. 
 
 
 
O projeto foi desenvolvido com base em todos os fundamentos e 
conhecimentos adquiridos em disciplinas de Empreendedorismo, Gestão de 
Qualidade, Auditoria de Sistemas e Pareceres e Testes de Invasão, sendo o alicerce 
no desenvolvimento do projeto. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Palavras-Chaves:Auditoria de Sistemas, Empreendedorismo, Gestão de 
Qualidade, Pareceres, Teste de Invasão. 
 
ABSTRACT 
 
 
 
 
 
In this project, the main objective sought is to understand the different types 
of organizations that make up the company, acquire an integrated view of the 
management process and, after understanding, prepare the business plan. 
 
Pointing out the two critical business systems, all their functionalities will be 
described in a simplified way, thus, the planning will be defined and documented 
together with the actions and schedule for the audit 
 
In the current scenario of the project, it is necessary to propose a systems 
audit to the fictitious company, a supermarket. 
 
A model for intrusion testing will also be adopted, prioritizing the 
organizational structure aligned with the organization's business plan 
 
The project was developed based on all the fundamentals and knowledge 
acquired in the disciplines of Entrepreneurship, Quality Management, Systems 
Auditing and Opinions and Penetration Testing, being the foundation in the 
development of the project. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Keywords: Systems Audit, Entrepreneurship, Quality Management, Opinions, 
Penetration Test.
 
SUMÁRIO 
 
 
 
1 INTRODUÇÃO ...................................................................................................... 8
2 METODOLOGIA – Desenvolvimento do Projeto ................................................... 9
3 Estrutura Organizacional – Empresa .................................................................. 10
 3.1 Estrutura Organizacional – Setores .............................................................11
4 Plano de Negócios da Empresa .......................................................................... 12
5 Sistema (crítico) 1 da Empresa – Estoque .......................................................... 13
 5.1 Sistema (crítico) 2 da Empresa – Segurança ............................................. 14
6 Cronograma para a auditoria de sistemas ............................................................. 15
6.1 Fase Teórica ................................................................................................15
 6.1.2 Fase Prática ................................................................................................15
7 Conclusão – Relatório da auditoria interna ................................................ 16
8 Testes de Invasão – Planejamento ............................................................ 17
8.1 Testes de Invasão – Escopo ...................................................................... 17
8.2 Coleta de dados e informações .................................................................. 17
8.3 Análise de vulnerabilidades ........................................................................ 18
9 Conclusão – Relatório da auditoria interna ................................................ 19
10 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................... 20
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8 
 
 
 
 
 
1 INTRODUÇÃO 
 
 
 
Neste projeto serão apresentados dois sistemas críticos de negócio e serão 
planejadas ações documentadas com um cronograma para a auditoria desses 
respetivos sistemas também será adotado por base um modelo para testes de 
invasão priorizando a estrutura organizacional alinhado com o plano de negócios da 
organização. 
A empresa escolhida é um supermercado com uma estrutura organizacional 
de médio porte, onde foram encontrado divergencias no sistema financeiro e no 
sistema de entrada e saida de mercadorias. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
9 
 
 
 
2 Metodologia - Desenvolvimento do Projeto 
 
 
Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e 
acadêmica. 
 
 
Dados a serem obtidos: 
 Baseado no conhecimento adquirido na disciplina de 
Empreendedorismo, será elaborando e demonstrando a estrutura 
organizacional da empresa ficticia. 
 
 Baseado no conhecimento adquirido na disciplina de 
Gestão de Qualidade, será descrito e elaborado o plano de negócio da 
empresa. 
 
 Baseado no conhecimento adquirido na disciplina Auditoria de Sistemas, 
Será estabelecido conforme planejamento as ações nescessárias e o 
cronograma para a realização da auditoria nos dois sistemas criticos. 
 
 Baseado no conhecimento adquirido na disciplina Pareceres e testes de 
invasão será utilizado um modelo de teste de invasão e documentado as 
atividades 
 
Limitações da pesquisa: Tendo em vista a realidade da pesquisa ser apenas 
teórica, ou seja, não ser apresentado traços práticos, nos impede de termos os reais 
resultados na prática do projeto abordado. Outra limitação será o teste prático em 
campo, que não será realizado. 
 
 
Tratamento e análise dos dados: Separação por assunto, leitura e resumo 
dos artigos e matérias, para que seja realizado o trabalho. 
 
 
Forma de pesquisa: Serão realizadas pesquisas através de sites da internet 
e e-boks. 
10 
 
 
 
 
 
3 Estrutura Organizacional - Empresa 
 
 
A empresa apresentada é um Supermercado com várias lojas pela cidade, 
porém o alvo deste projeto será a loja matriz, onde se encontra concentrado a 
diretoria e o controle geral de todas as filiais. 
A estrutura da empresa é composta pelo diretor executivo (proprietário), 
descendo a hierarquia sua composição segue pela gerencia geral composta além do 
gerente uma equipe que auxilia em pontos do setor financeiro, amparados pelo setor 
de recursos humanos e a central de processamento de dados. 
A distribuição de setores da loja é dividada por líderes que gerencia esses 
determinados setores para garantir que a qualidade dos serviçoes e normas e 
diretrizes da empresa sejam empregados de maneira fiel e uniforme. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 1: Fluxograma da estrutura organizacional da empresa.11 
 
 
 
 
 
 
 
 
 
 
3.1 Estrutura Organizacional – Setores 
 
 
 
 
 
 CPD onde fica a equipe responsável pelo suporte de T.I., entrada e saída de 
notas fiscais, cadastro de mercadorias, controle de estoque, este mesmo 
setor se encontram os servidores e onde se concentra todos os demais 
serviçoes de tecnologia. 
 
 O setor de recursos humanos responavel or diversos processos que envolve 
a empresa e seus colaboradores, ajuda no funcionamento dos processos da 
empresa, realiza toda a burocracia que envolve a admissão e manutenção de 
um colaborador 
 
 Gerência geral toma as decições, realiza planejamentos, organização, 
controles , definições de estratégias entre outras atividades administrativas 
com base nas informações em conjunto geradas pelo setor de T.I. e o setor 
de recursos humanos. Também responsável pelo controle da execução dos 
trabalhos de seus subordinados no dia a dia. 
 
 
 
 
 
 
 
12 
 
 
 
 
4 Plano de Negócios da Empresa 
 
 
O plano de negócios da empresa foi definido e será documentado na 
seguinte ordem abaixo: 
 
 Descrição da Empresa: quais os tipos de produtos são comercializados e 
quais os serviços prestados aos clientes. 
 
 Diferencial da Empresa: como a empresa se destaca da concorrência no 
setor supermercadista. 
 
 Missão da Empresa: o motivo pelo qual a empresa existe, qual o seu papel 
desempenhado no nicho de mercado que ocupa atualmente. 
 
 Perfil dos envolvidos: sócios, empreendedores e demais colaboradores 
terão seus perfis estabelecidos. Isso fornecerá um direcionamento para 
contratação de pessoas e na busca de novos parceiros. 
 
 Perfil dos clientes: definição de qual é o público alvo do supermercado. 
 
 Investimento: quanto dinheiro será disponibilizado para os gastos que 
envolvem todas melhorias do projeto para melhorar a qualidade. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
13 
 
 
5 Sistema (crítico) 1 da Empresa - Estoque 
 
A empresa conta com um softwware que integra o administrativo com o 
estoque e gerenciamento da loja incluindo o setor de compras, separado por 
permissões de usuários definidos pelo administrador do sistema. 
Este sistema a ser detalhado é o sistema responsável pela entrada e saída 
de mercadorias, como a cada seis meses é definido a conferência de estoque da loja 
tem sido notado uma enorme divergência no término da conferência do estoque, o 
que tem trazido grande prejuizo e perdas para a empresa defido a resultados 
inconsistentes e sem exatidão. 
Nota se que no início do recebimento de um determinado produto no 
estoque, da conferência do engarregado pelo setor até a entrada no sistema pelo 
analista responsável o sistema tem todo o registro do produto de maneira correta, 
porém o registro de saída de determinados protutos estão divergindo em números 
grandes o quem tem impactado na contagem do estoque. 
A falha pode ser no sistema ou em quem opera o sistema, o que vai apontar 
essa falha neste sistema é a auditoria aplicada em cima disso. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
14 
 
 
 
5.1 Sistema (crítico) 2 da Empresa - Segurança 
 
O sistema de segurança da empresa conta com uma rede interna 
estruturado por um proxy onde o administrador libera ou não acesso a determinados 
links, garantindo que seus colaboradores acessem apenas links pré-definidos pela 
diretoria isso tem ajudado na segurança da rede. 
Porém o fator que tem gerado falhas é o servidor firewall que tem a 
finalidade de monitorar o tráfego do que entra e do que sai da rede ele autoriza e 
também bloqueia tráfegos especificos de acordo com um conjunto definido de regras 
de segurança da empresa. 
O sertor de T.I. da empresa tem fortes indícios de que o sistema contém 
falhas que pode estar ocasionando acessos indevidos ou mesmo a falta de 
confiabilidade na troca de informaçõe gerada entre matriz e filiais. 
O firewall da empresa é gerenciado por software e no cronograma de 
audutoria será definido um modelo teste de invasão para comprovar a verdadeira 
integridade do software. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15 
 
 
6 Cronograma para a auditoria de sistemas 
 
A primeira etapa da auditoria deve ser avaliada periodicamente os processos 
de forma a atestar que eles são realizados adequadamente em relação aos critérios 
de referência. 
Durante o processo uma sequência planejada de eventos é utilizada com o 
objetivo de constatar se os sistemas da empresa 
 Funciona corretamente 
 E se é eficiente 
6.1 Fase Teórica 
 
Podendo ser chamada também de fase 1, o foco desta fase é analisar a 
adequação de todos os documentos analizados neste processo do sistema de 
gestão. O primeiro passo será de fazer a auditoria de documentação que tem a 
finalidade de determinar se o sistema documentado e os procedimentos informados 
atendem adequadamente os requisitos da norma aplicável e do sistema em si 
implantado, assim como eventuais requisitos regulamentares. 
 
6.1.2 Fase Prática 
 
A fase 2 da auditoria, terá o foco diferente da auditoria documentada, nessa 
fase a equipe de auditores estarão em campo, estarão atuando fisicamente na 
empresa para realização dos processos, garantir se as atividades são realmente 
realizadas, se o que foi “falado” está sendo de fato “realizado” conforme a 
documentação realizada na primeira fase. 
A execução dessa fase é a auditoria real, consiste em coletar as evidências, 
entrevistar pessoas, observar e analisar os processos acontecendo e compara-los a 
documentação da organização já analizadas, e também as normativas e 
regulamentações. 
Envolverá planejamento, realização da atividade, relatório com as 
constatações da auditoria e o acompanhamento, ou seja, auditorias periódicas que 
visam assegurar que o sistema implementado permaneça em conformidade com os 
requisitos definidos pela norma. 
Essa sequência de etapas é definida pelo PDCA da auditoria 
 
 
 
 
 
 
 
 
 
 
16 
 
 
7 Conclusão – Relatório da auditoria interna 
 
Após a conclusão será gerado o relatório, o principal documento da 
auditoria, nele estara contido diversas informações, como ; objetivos da auditoria, 
auditados, auditores, escopo, processos auditados, evidencias de conformidade e de 
não conformidade e quando aplicavél a sua classificação, as oportunidades de 
melhorias os resultados e conclusão dos auditores:relatório de conclusão abaixo: 
 
RELATÓRIO DE AUDITORIA 
 
Tipo de Auditoria: INTERNO 
Data da auditoria: 15 de Outubro de 2021 
Norma de referência: ABNT NBR ISO/IEC 27005 
Auditor líder: João da Silva 
Auditor: José Souza 
Pessoas contatadas: Joaquim de Abreu / Marcia Oliveira / Moacir Pereira 
 
RESUMO DA AUDITORIA 
 
A empresa Supermercados Econômico Ltda. Foi visitada em 13 e 14 de 
outubro de 2021 para a realização de uma auditoria em campo, de acordo com os 
requisitos das normas ABNT NBR ISO/IEC 27005. 
Antes da visita uma analise critica da documentação foi realizada e 
considerada satisfatória. 
A empresa se destina ao comércio de secos e molhados. Na opinião do 
auditor a empresa é um modelo de organização porém a segurança deve ser 
priorizada. 
Contudo durante a auditoria, duas não conformidades menores foram 
encontradas, uma no setor de CPD e outra no setor operacional (frente de caixa). 
Além disso foram colocadas duas observações quanto a liberação do firewall pelo 
setor de T.I. esses tópicos foram discutidos na reunião de fechamento. 
 No corpo principal do relatório serão encontrados maiores detalhes em 
relação a auditoria. 
 
Conclusão: É recomendado a certificação para a norma de referencia ABNT 
NBR ISO/IEC 27005. 
 
 
 
 
 
 
 
 
 
17 
 
 
 
8 Testes de Invasão – Planejamento 
 
Após ser definido e assinado o documento com o termo de confiabilidade 
assegurando ambas as partes, informações coletadas e discutidas, o escopod do 
projeto e reportagem e descartes seguro das evidências nele geradas. 
Alinhandoambas expecativas de maneira formal no contrato, onde consta 
definido todos os aspectos como, cronograma com as datas e horários, as atividades 
que serão executadas inclusive as regras para aplicação dos testes. 
Baseado na informações anteriores o critério para escolha dos testes se 
definiu no Withe Box por ser um teste amplo e com mais chances de encontrar 
falhas e brechas no sistema crítico. 
 
 
8.1 Testes de Invasão – Escopo 
O objetivo principal do teste de invasão é encontrar a falha no sistema se 
segurança já relatado no firewall e no sistema de estoque, aproveitando para obter 
uma avaliação mais ampla nos sistemas por completo. 
A organização avaliada será responsável pela definição do CDE e de 
qualquer sistemas críticos. 
Recomendamos a organização que trabalhe com o testador e, quando 
aplicável, o avaliador, para garantir que nenhum componente foi esquecido e 
também determinar se algum sistema adicional deve ser adicionado no escopo. 
Definido quais os endereços de IP serão inclusos no teste, quais os tipo de 
ações o cliente dará permissão para ser realizado durante o teste, permissões para 
desativar potencialmente determinado serviço, limitar a avaliação a simplesmente 
uma análise de vulnerabilidade. 
O cliente também poderá solicitar que os testes sejam realizados apenas em 
dias pré determinados e em horários específios, também necessita se definir e 
avaliar o tempo gasto para realização de tais atividades, estabelecendo o prazo junto 
ao cliente. 
 
8.2 Coleta de dados e informações 
Nesta fase se analisará livremente as fontes de informações disponíveis, um 
processo conhecido como coleta de OSINT (Open Source Intelligence, ou dados de 
fontes abertas). Essa pesquisa será realizada através de motores de busca, como o 
Google, Bing e Yahoo. O DNS é um sistema de gerenciamento de nomes 
hierárquico e distribuido para computadores, serviços ou qualquer recurso conectado 
a internet ou em uma rede privada. Através do DNS será possível descobrir a 
topologia da rede, endereços de IP e a quantidade de computadores conectados na 
rede interna da empresa. 
 
 
 
 
 
18 
 
 
8.3 Análise de vulnerabilidades 
Tendo assim o conhecimento de portas, softwares instalados e sistemas 
ativos, se inicia o processo de análise de vulnerabilidade utilizando scanners e 
banco de dados de vulnerabilidades no auxílio em detectar falha nos ativos da 
empresa que podem vir, através da execução de exploits, permitindo o acesso a 
rede de computadores. 
Esta fase onde será executada os exploits nas vulnerabilidades detectadas 
na fase anterior, como exemplo: aessar remotamente um micro sem ter a 
necessidade de se autentiar através do login e da senha ou pelo método de 
tentativas de autenticação com senhas padrões em especificos sistemas. 
Será mantido o acesso pós exploração, pois certamente não devemos 
apenas ganhar o acesso, há a necessidade de manter o acesso persistente na rede, 
no sistema ou software vulnerável, no entanto, após o ganho de aesso serão 
utilizadas as técnicas para manter a porta de entrada aberta para acesso posterior. 
Exatamente como acontece em um ataque cibernético real, onde crackers realizam 
a instalação de backdoors para acesso posterior. 
A importancia de se manter o acesso durante o teste de invasão é para se 
demonstrar o impacto da vulnerabilidade para o cliente. 
No geral, além de ser mantido o acesso é realizado o procedimento de pós 
exploração, onde é feito um levantamento dos dados que estão sendo expostos por 
aquela falha conforme descrito em contrato. Caso haja arquivos sensíveis os 
mesmos não serão acessados, apenas serão descritos a título de informação. 
Outro ponto de importância durante essa etapa de teste será a escalação de 
privilégios para alcançar o maior numero de computadores, servidores e softwares 
possíveis. Assim sendo, cobrirá toda a rede analisando todas as possíveis brechas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
19 
 
 
9 Conclusão do teste de Invasão 
 
 
 
Conclui-se deste trabalho acadêmico que a implantação dos testes são 
reportados as evidências geradas e as mesmas passam a ser integradas como um 
ativo importante da empresa. No caso de vazamento de informações esse 
documento oferece dados precisos e valiosos. 
 
Seguindo conforme a norma ABNT NBR ISO/IEC 27000 e aplicado os testes 
de invasão, encontrando as possíveis ameaças e oferecemos as correções, tudo de 
acordo com o orçamento apresentado préviamente e aprovado pela gerência, todo o 
processo foi alinhado de acordo com o plano de negócios da empresa. 
 
Finalizando deixa se claro que a necessidade dos gastos com o projeto e 
padronização de acordo com as normas ABNT é visto como um investimento com 
retorno a curto prazo, pois eu uma empresa com vários setores gerenciáveis e 
sistemas críticos torna se indispensável para a gestão e melhoria de qualidade na 
entrega dos resultados. 
20 
 
 
 
10 REFERÊNCIAS BIBLIOGRÁFICAS 
 
 
 
 
 
 
Ténicas de Invasão - Thtompson Vangller: 
<https://plataforma.bvirtual.com.br/Leitor/Publicacao/178088/pdf/0?code=yw
Lx+AtIU4ZwCB//b51/TQ5uv4FuTuwvRgksGJxaIeXvYeuF89nLQRpie5db7lQ4U5qLG
uEoqPN8gNVwW6ADWQ==>. Acesso em: 14 de Outubro de 2021. 
 
Auditoria de Sistema de Gestão Integrada - Afonso Cardoso: 
<https://plataforma.bvirtual.com.br/Leitor/Publicacao/35511/pdf/0?code=1/6J
2HyBdT03s5ddXfHbnFZzjOxQZNOR6Z5iAylJbtlV+hWD4oIEx+ToW/lsexXKJqvG6w7
kYbMiviGROsP5gQ==>. 
Acesso em: 14 de Outubro de 2021. 
 
Gestão da Qualidade - Academia Pearson 
<https://plataforma.bvirtual.com.br/Leitor/Publicacao/1797/pdf/0?code=L5Gf
wpAmvLIU63+aOAKiIuUI39OQ1F41UFwvl6B2rwUu/smSs4m+HN/FrX6ZXWVcg6LO
Obnd5CYOhLEQkkXtSg==> 
Acesso em: 15 de Outubro de 2021 
 
Gerenciamento Estratégico e Administração por Projetos - Makron Books 
<https://plataforma.bvirtual.com.br/Leitor/Publicacao/31/pdf/0?code=R8FWP
d/ZBQMgRtUSbTghpfx8j2TMTFgV7unWsacuqEs5dDHjVaqZAu3hLd9WKDSwLaXZ
Hu1TXIUyQ2bvkFYzRw==> 
Acesso em: 15 de Outubro de 2021 
 
Norma ABNT NBR ISO/IEC 27007, Tecnologia da informação - Técnicas de 
segurança - Gestão de risco da segurança da informação - não dispõe de esquema 
de certificação acreditada.