Buscar

Auditoria de Redes e Segurança

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

GTI – ANDRE MOURA 
AUDITORIAS DIRECIONADAS
1
AUDITORIAS DIRECIONADAS
2
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Auditoria de redes
Auditoria de hardware
Controle de acesso
2
AUDITORIAS DIRECIONADAS
3
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Auditoria de redes
Auditoria de hardware
Controle de acesso
3
AUDITORIA DE REDES
4
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela possui. 
Tais informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. 
4
AUDITORIA DE REDES
5
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 
5
AUDITORIA DE REDES
6
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Considerar também os 
seguintes processos:
Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática
Desenho das arquiteturas e da topologia da rede
Implementação dos projetos físicos e lógicos
Monitoramento dos desempenhos e possíveis interceptações nas redes
Replanejamento de capacidade 
Levantamento dos problemas operacionais e sua resolução
6
AUDITORIA DE REDES
7
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
1. Segurança física
2. Segurança lógica
3. Segurança de enlace
4. Segurança de aplicação
7
AUDITORIA DE REDES
8
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
1. Segurança física
Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição
8
AUDITORIA DE REDES
9
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
2. Segurança lógica
Customização de recursos de software, desempenho, acompanhamento e rendimento operacional
9
AUDITORIA DE REDES
10
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
3. Segurança de enlace
Que assegure as linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos
10
AUDITORIA DE REDES
11
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
4. Segurança de aplicação
Disponibilidade da rede, isto é, poder confiar que ela estará disponível quando necessária, mesmo em situações adversas
11
AUDITORIA DE REDES
12
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de auditoria de redes
QUESTIONÁRIO PARA VERIFICAÇÃO
 SIM
 NÃO
NÃO APLICÁVEL
Documentados em forma de papéis de trabalho (work papers) e guardados em uma pasta administrativa do projeto 
Ex: ata seria AT-nn, nota de contato seria NC-nn, documento seria DOC-nn e assim por diante). Esta codificação deve ser preenchida na coluna “Ref.W/P” do questionário.
12
Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais
AUDITORIA DE REDES
Programa de auditoria de redes
13
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C1 –HáPolíticas empresariais que garantem implementação efetiva dos controles relacionados com o ambiente de rede, que incluem:
S/N/NA
Ref.W/P
OBS
Administração de rede
14
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C1 – .. .
S/N/NA
Ref.W/P
OBS
Registro das operações dos controladores, terminais, linhas de comunicação, etc.; vigilância sobre os acontecimentos
Vigilância sobre os acontecimentos
15
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C1 – .. .
S/N/NA
Ref.W/P
OBS
Registro dos custos dos usos para facilitar orecharge
Soluções dos problemas operacionais
Geração de relatóriosgerenciais
16
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C2 –Controles sobre o ambiente e informações com relação a definição da plataforma dehardware,software, sistema operacional e mitigação de riscos inerentes
S/N/NA
Ref.W/P
OBS
17
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C3 –Controles sobre o software
S/N/NA
Ref.W/P
OBS
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C4 –Controles de segurança
S/N/NA
Ref.W/P
OBS
18
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C5 – Informações gerais sobre implementações de firewall são consistentescom os padrões e as políticas de segurança de informações da organização
S/N/NA
Ref.W/P
OBS
19
AUDITORIA DE REDES
Programa de auditoria de redes
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C6 –Procedimentos específicos de controles de operação defirewall
S/N/NA
Ref.W/P
OBS
20
AUDITORIAS DIRECIONADAS
21
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Auditoria de redes
Auditoria de hardware
Controle de acesso
21
AUDITORIA DE HARDWARE
22
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
A ideia é implantar procedimentos de segurança física sobre os equipamentos instalados no ambiente de informática de uma organização.
 Tais procedimentos devem controlar os contatos físicos dos usuários com os equipamentos e auxiliar no monitoramento do uso adequado, permitindo agregar valor ao negócio. 
22
Funções com mecanismos adequados de restrição de acesso de pessoas ao ambiente de computador são conhecidas como segurança física. 
AUDITORIA DE HARDWARE
23
AUDITORIA DE HARDWARE
24
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Os mecanismos de controle da segurança física envolvem:
Aplicações do próprio equipamento para se proteger de riscos estruturais 
Proteção da vida de pessoas
Proteção contra parada nas operações, evitando desvantagem competitiva e perda financeira
24
AUDITORIA DE HARDWARE
25
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Os controles de hardware podem ser:
FÍSICOS
AUTOMATIZADOS
Procedimentos que orientam o manuseio dos equipamentos
Representam os controles construídos junto com os equipamentos pelo fabricante, que ajudam a descobrir e controlar erros que surgem do uso do próprio equipamento
25
AUDITORIA DE HARDWARE
26
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C1–Controles de acesso físico ao ambiente de informática
S/N/NA
Ref.W/P
OBS
Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de controle. Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo, acesso aos backups e biblioteca externa. 
26
AUDITORIA DE HARDWARE
27
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C2–Controles de acionamento e desligamento de máquinas
S/N/NA
Ref.W/P
OBS
Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado.
27
AUDITORIA DE HARDWARE
28
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento
de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C3– Controlede acesso físico a equipamentos dehardware,periféricos e de transporte
S/N/NA
Ref.W/P
OBS
Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas.
28
AUDITORIA DE HARDWARE
29
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C4–Localização einfraestruturado CPD
S/N/NA
Ref.W/P
OBS
Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes e locais potenciais geradores de incêndio . Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração, treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador).
29
AUDITORIA DE HARDWARE
30
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C5–Controledebackupeoff-site
S/N/NA
Ref.W/P
OBS
Aspectos relacionados a controle de backups (periodicidade, período de retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para serem utilizados em caso de emergência. Também verificar se há plano de contingência abrangendo os 3 sub-planos: emergência, backup e recuperação.
30
AUDITORIA DE HARDWARE
31
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C6–Controles de aquisição e disposição do equipamento
S/N/NA
Ref.W/P
OBS
Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo está atualizado.
31
AUDITORIA DE HARDWARE
32
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C7–Controles sobre o ambiente e informações com relação à definição da plataforma dehw,sw,sistema operacional e os riscos inerentes.
S/N/NA
Ref.W/P
OBS
Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros departamentos, necessidade de expansão do parque instalado e facilidades de treinamento. Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área.
32
AUDITORIA DE HARDWARE
33
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C8–Controles sobre os recursos instalados
S/N/NA
Ref.W/P
OBS
Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos softwares e se elas são seguidas.
33
AUDITORIA DE HARDWARE
34
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de levantamento de controles internos de hardware
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C9–Garantia de integridade de transmissão
S/N/NA
Ref.W/P
OBS
Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar somente os acessos autorizados. 
34
AUDITORIAS DIRECIONADAS
35
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Auditoria de redes
Auditoria de hardware
Controle de acesso
35
CONTROLE DE ACESSO
36
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
FÍSICO
LÓGICO
Relativo a entrada de indivíduos em determinados recintos
Relativo a manuseio de informações em meios magnéticos
36
CONTROLE DE ACESSO
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
FÍSICO
(*) Uso de características pessoais como identificador das pessoas. Exemplo: digital, íris, retina, face, etc. 
Algumas Fomas
Crachás com tarja magnética ou chip 
Botão de identificação
Teclado (senha)
Biometria (*) 
Fazer também o controle de porte de metais
37
CONTROLE DE ACESSO
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
LÓGICO
Forma mais comum
Senha 
Evitar informações pessoais na formação da senha
Gerenciamento de senhas
Cuidado com a engenharia social (obter informação através de enganação ou exploração da confiança das pessoas)
38
CONTROLE DE ACESSO
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
LÓGICO
Existem softwares próprios para “quebrar” senhas
É recomendado que se crie senhas difíceis de serem “quebradas” e fáceis de serem lembradas
“Vou viajar para a Europa em dezembro de 2011” 
“VVpaEeD.11” 
39
CONTROLE DE ACESSO
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
LÓGICO
O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente
O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente 
(frequências comuns: 45 / 60 / 90 dias)
40
CONTROLE DE ACESSO
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
LÓGICO
Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. 
E ainda, aplicando as funções de callback, torna-se necessário que um usuário remoto chame o computador, forneça sua identificação, desligue e espere pelo computador chamar o número autorizado do usuário de volta. Este controle só assegura aceitação de transmissões de dados de modem autorizado 
41
CONTROLE DE ACESSO
42
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C1 –Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de segurança
S/N/NA
Ref.W/P
OBS
Segurança, com ênfase em controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois
asseguram que as pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico estará sendo executado. 
42
CONTROLE DE ACESSO
43
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C2– Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso
S/N/NA
Ref.W/P
OBS
Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de funções
43
CONTROLE DE ACESSO
44
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C3 –Software para controle de acesso
S/N/NA
Ref.W/P
OBS
Verifica a existência de software de controle de acesso que regule e controle o nível de acesso a dados, transações, programas, jobs, etc., além de gerenciamento de senhas
 - Solicitação e alteração de senhas; - Bloqueio / desligamento após n tentativas de acerto da senha ou n minutos sem uso; -
Log de tentativas de acesso frustradas; - Atualização de senhas
Ex: - Cadastramento, bloqueio e exclusão de usuários do sistema;
44
CONTROLE DE ACESSO
45
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C4 –Controle de acesso a transações
S/N/NA
Ref.W/P
OBS
Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo funcionários que trocaram de área e funcionários demitidos (confrontar log/rh). 
Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente revisados pelo administrador de
segurança.
45
CONTROLE DE ACESSO
46
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C5 –Controlesobreutilizaçãodesoftware
S/N/NA
Ref.W/P
OBS
Certifica-se que:
 Existe inventário de software (de apoio, aplicativos) e se o mesmo está atualizado;
 Existem normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas;
 Existem controle e ferramentas adequadas para detecção e eliminação de vírus de computador 
46
CONTROLE DE ACESSO
47
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07
Programa de controle de acesso
CLIENTE:
Feito Por:
DATA:___/___/___
REVISADO POR:
C6 –Controlesobreutilizaçãoderedeslocais
S/N/NA
Ref.W/P
OBS
Verifica se há restrição de acesso físico ao servidor da rede
47
GTI – ANDRE MOURA 
F I M
AUDITORIA DIRECIONADAS
48

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

Outros materiais