07AS_doc01
2 pág.

07AS_doc01


DisciplinaAuditoria de Sistemas2.897 materiais11.670 seguidores
Pré-visualização1 página
Auditoria de acesso lógico 
 
 
Existem regras de criação de senhas e uma delas diz para nunca utilizar palavras que 
façam parte de dicionário. Existem softwares que tentam descobrir senhas combinando 
letras e tentam formar palavras, em vários idiomas. Costumo sugerir uma regra fácil e 
eficiente: pensem em uma frase, fácil de lembrar. Usem as inicias da frase como senha 
e acrescentem pelo menos dois números antes ou depois da senha. Exemplo: \u201cVou viajar 
para a Europa em dezembro\u201d. Acrescentando o número 96, teríamos a senha: 
VvpaEed96 
 
Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve 
ser fácil de digitar e mais importante: fácil de lembrar. 
 
As senhas devem ser trocadas periodicamente, evitando períodos muito longos. O ideal é 
que a senha seja trocada a cada 3 meses, no mínimo. 
 
Caso vocês não possam escolher sua senha ao contratar um serviço, façam isso no 
primeiro acesso ao sistema. 
 
Quando lidamos com teleatendimento como o que ocorre com bancos e cartões de 
crédito, após acessarmos o sistema e nos identificarmos através de senha, o atendente 
diz que fará algumas perguntas para nossa segurança. E é verdade. As respostas poderão 
confirmar que realmente quem ligou é quem diz ser. Portanto, as perguntas constantes 
dos scripts dos call centers deverão ser inteligentes, nunca perguntando número de 
documentos, nome dos pais ou dados que facilmente podem ser encontrados em nossos 
documentos. Considero perguntas inteligentes aquelas que somente o titular da conta 
saberia a resposta como por exemplo: Nome dos dependentes do cartão (não afirmar 
que há dependentes, pode inclusive não te-los), estabelecimento onde fez compra nos 
últimos 30 dias, onde fez compras parceladas, etc.. 
 
As corporações costumam implementar softwares de segurança de informações para 
controle de acesso lógico, tais como Access Control Facility (ACF2), Top Secret, 
 
 
Resource Access Control Facility (RACF) entre outros. Eles devem ser customizados para 
atender às políticas de segurança da empresa. 
 
Para a execução de auditoria de acesso lógico, várias perguntas devem ser feitas, 
incluindo as seguintes: 
\uf0b7 A empresa possui rotinas de aprovação e autorização automática que podem 
causar a movimentação de grande quantidade de ativos, incluindo caixa, 
investimentos ou estoque? 
\uf0b7 Um número significativo de procedimentos de controle programados 
depende da existência de controles de acesso adequados, isto é, de 
conhecimento dos proprietários dos sistemas? 
\uf0b7 As competências exigidas dos funcionários são disponíveis no ambiente que o 
sistema opera? 
 
 No ambiente de sistemas de informações contábeis há frequentemente chamadas para 
testes de compatibilidade de funções antes da liberação de acessos, pois a permissão de 
acessos para funções incompatíveis abre uma brecha para desfalque ou possibilidades de 
desvios materiais. Um usuário pode ser autorizado para entrar em certos tipos de 
aplicativos e funções, só ter acesso a certa informação sem poder atualizá-la ou só usar 
o sistema em determinado período do dia, sendo vetado seu acesso de noite ou em dias 
não úteis. 
 
Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando 
lidamos com dados sensíveis. Ao aplicar as funções de callback, é necessário que um 
usuário remoto chame o computador, forneça sua identificação, desligue e espere pelo 
computador chamar o número autorizado do usuário de volta. Este controle só assegura 
aceitação de transmissões de dados de modem autorizado.