Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI – ANDRE MOURA AUDITORIAS DIRECIONADAS 1 AUDITORIAS DIRECIONADAS 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de redes Auditoria de hardware Controle de acesso 2 AUDITORIAS DIRECIONADAS 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de redes Auditoria de hardware Controle de acesso 3 AUDITORIA DE REDES 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Tais informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. 4 AUDITORIA DE REDES 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 5 AUDITORIA DE REDES 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Considerar também os seguintes processos: Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática Desenho das arquiteturas e da topologia da rede Implementação dos projetos físicos e lógicos Monitoramento dos desempenhos e possíveis interceptações nas redes Replanejamento de capacidade Levantamento dos problemas operacionais e sua resolução 6 AUDITORIA DE REDES 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 1. Segurança física 2. Segurança lógica 3. Segurança de enlace 4. Segurança de aplicação 7 AUDITORIA DE REDES 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 1. Segurança física Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição 8 AUDITORIA DE REDES 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 2. Segurança lógica Customização de recursos de software, desempenho, acompanhamento e rendimento operacional 9 AUDITORIA DE REDES 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 3. Segurança de enlace Que assegure as linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos 10 AUDITORIA DE REDES 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 4. Segurança de aplicação Disponibilidade da rede, isto é, poder confiar que ela estará disponível quando necessária, mesmo em situações adversas 11 AUDITORIA DE REDES 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de auditoria de redes QUESTIONÁRIO PARA VERIFICAÇÃO SIM NÃO NÃO APLICÁVEL Documentados em forma de papéis de trabalho (work papers) e guardados em uma pasta administrativa do projeto Ex: ata seria AT-nn, nota de contato seria NC-nn, documento seria DOC-nn e assim por diante). Esta codificação deve ser preenchida na coluna “Ref.W/P” do questionário. 12 Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais AUDITORIA DE REDES Programa de auditoria de redes 13 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –HáPolíticas empresariais que garantem implementação efetiva dos controles relacionados com o ambiente de rede, que incluem: S/N/NA Ref.W/P OBS Administração de rede 14 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 – .. . S/N/NA Ref.W/P OBS Registro das operações dos controladores, terminais, linhas de comunicação, etc.; vigilância sobre os acontecimentos Vigilância sobre os acontecimentos 15 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 – .. . S/N/NA Ref.W/P OBS Registro dos custos dos usos para facilitar orecharge Soluções dos problemas operacionais Geração de relatóriosgerenciais 16 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2 –Controles sobre o ambiente e informações com relação a definição da plataforma dehardware,software, sistema operacional e mitigação de riscos inerentes S/N/NA Ref.W/P OBS 17 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3 –Controles sobre o software S/N/NA Ref.W/P OBS CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4 –Controles de segurança S/N/NA Ref.W/P OBS 18 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5 – Informações gerais sobre implementações de firewall são consistentescom os padrões e as políticas de segurança de informações da organização S/N/NA Ref.W/P OBS 19 AUDITORIA DE REDES Programa de auditoria de redes CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6 –Procedimentos específicos de controles de operação defirewall S/N/NA Ref.W/P OBS 20 AUDITORIAS DIRECIONADAS 21 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de redes Auditoria de hardware Controle de acesso 21 AUDITORIA DE HARDWARE 22 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A ideia é implantar procedimentos de segurança física sobre os equipamentos instalados no ambiente de informática de uma organização. Tais procedimentos devem controlar os contatos físicos dos usuários com os equipamentos e auxiliar no monitoramento do uso adequado, permitindo agregar valor ao negócio. 22 Funções com mecanismos adequados de restrição de acesso de pessoas ao ambiente de computador são conhecidas como segurança física. AUDITORIA DE HARDWARE 23 AUDITORIA DE HARDWARE 24 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Os mecanismos de controle da segurança física envolvem: Aplicações do próprio equipamento para se proteger de riscos estruturais Proteção da vida de pessoas Proteção contra parada nas operações, evitando desvantagem competitiva e perda financeira 24 AUDITORIA DE HARDWARE 25 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Os controles de hardware podem ser: FÍSICOS AUTOMATIZADOS Procedimentos que orientam o manuseio dos equipamentos Representam os controles construídos junto com os equipamentos pelo fabricante, que ajudam a descobrir e controlar erros que surgem do uso do próprio equipamento 25 AUDITORIA DE HARDWARE 26 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1–Controles de acesso físico ao ambiente de informática S/N/NA Ref.W/P OBS Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de controle. Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo, acesso aos backups e biblioteca externa. 26 AUDITORIA DE HARDWARE 27 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Controles de acionamento e desligamento de máquinas S/N/NA Ref.W/P OBS Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado. 27 AUDITORIA DE HARDWARE 28 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3– Controlede acesso físico a equipamentos dehardware,periféricos e de transporte S/N/NA Ref.W/P OBS Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas. 28 AUDITORIA DE HARDWARE 29 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4–Localização einfraestruturado CPD S/N/NA Ref.W/P OBS Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes e locais potenciais geradores de incêndio . Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração, treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador). 29 AUDITORIA DE HARDWARE 30 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5–Controledebackupeoff-site S/N/NA Ref.W/P OBS Aspectos relacionados a controle de backups (periodicidade, período de retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para serem utilizados em caso de emergência. Também verificar se há plano de contingência abrangendo os 3 sub-planos: emergência, backup e recuperação. 30 AUDITORIA DE HARDWARE 31 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6–Controles de aquisição e disposição do equipamento S/N/NA Ref.W/P OBS Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo está atualizado. 31 AUDITORIA DE HARDWARE 32 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7–Controles sobre o ambiente e informações com relação à definição da plataforma dehw,sw,sistema operacional e os riscos inerentes. S/N/NA Ref.W/P OBS Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros departamentos, necessidade de expansão do parque instalado e facilidades de treinamento. Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. 32 AUDITORIA DE HARDWARE 33 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C8–Controles sobre os recursos instalados S/N/NA Ref.W/P OBS Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos softwares e se elas são seguidas. 33 AUDITORIA DE HARDWARE 34 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de levantamento de controles internos de hardware CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C9–Garantia de integridade de transmissão S/N/NA Ref.W/P OBS Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar somente os acessos autorizados. 34 AUDITORIAS DIRECIONADAS 35 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de redes Auditoria de hardware Controle de acesso 35 CONTROLE DE ACESSO 36 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 FÍSICO LÓGICO Relativo a entrada de indivíduos em determinados recintos Relativo a manuseio de informações em meios magnéticos 36 CONTROLE DE ACESSO Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 FÍSICO (*) Uso de características pessoais como identificador das pessoas. Exemplo: digital, íris, retina, face, etc. Algumas Fomas Crachás com tarja magnética ou chip Botão de identificação Teclado (senha) Biometria (*) Fazer também o controle de porte de metais 37 CONTROLE DE ACESSO Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 LÓGICO Forma mais comum Senha Evitar informações pessoais na formação da senha Gerenciamento de senhas Cuidado com a engenharia social (obter informação através de enganação ou exploração da confiança das pessoas) 38 CONTROLE DE ACESSO Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 LÓGICO Existem softwares próprios para “quebrar” senhas É recomendado que se crie senhas difíceis de serem “quebradas” e fáceis de serem lembradas “Vou viajar para a Europa em dezembro de 2011” “VVpaEeD.11” 39 CONTROLE DE ACESSO Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 LÓGICO O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente (frequências comuns: 45 / 60 / 90 dias) 40 CONTROLE DE ACESSO Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 LÓGICO Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. E ainda, aplicando as funções de callback, torna-se necessário que um usuário remoto chame o computador, forneça sua identificação, desligue e espere pelo computador chamar o número autorizado do usuário de volta. Este controle só assegura aceitação de transmissões de dados de modem autorizado 41 CONTROLE DE ACESSO 42 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de segurança S/N/NA Ref.W/P OBS Segurança, com ênfase em controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico estará sendo executado. 42 CONTROLE DE ACESSO 43 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2– Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso S/N/NA Ref.W/P OBS Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de funções 43 CONTROLE DE ACESSO 44 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3 –Software para controle de acesso S/N/NA Ref.W/P OBS Verifica a existência de software de controle de acesso que regule e controle o nível de acesso a dados, transações, programas, jobs, etc., além de gerenciamento de senhas - Solicitação e alteração de senhas; - Bloqueio / desligamento após n tentativas de acerto da senha ou n minutos sem uso; - Log de tentativas de acesso frustradas; - Atualização de senhas Ex: - Cadastramento, bloqueio e exclusão de usuários do sistema; 44 CONTROLE DE ACESSO 45 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4 –Controle de acesso a transações S/N/NA Ref.W/P OBS Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo funcionários que trocaram de área e funcionários demitidos (confrontar log/rh). Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente revisados pelo administrador de segurança. 45 CONTROLE DE ACESSO 46 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5 –Controlesobreutilizaçãodesoftware S/N/NA Ref.W/P OBS Certifica-se que: Existe inventário de software (de apoio, aplicativos) e se o mesmo está atualizado; Existem normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas; Existem controle e ferramentas adequadas para detecção e eliminação de vírus de computador 46 CONTROLE DE ACESSO 47 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programa de controle de acesso CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6 –Controlesobreutilizaçãoderedeslocais S/N/NA Ref.W/P OBS Verifica se há restrição de acesso físico ao servidor da rede 47 GTI – ANDRE MOURA F I M AUDITORIA DIRECIONADAS 48
Compartilhar