Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas AUTORIA Marcel Santos Silva Quando o assunto é segurança da informação em sistemas, há obrigatoriamente a necessidade de se identi�car os usuários que realizaram as ações e em que momento essas ações foram executadas. Portanto, é de extrema necessidade a criação de um mecanismo para gravação e recuperação de todas as ações ou eventos que foram realizados no sistema. Uma característica importante neste mecanismo é a precisão das informações geradas, pois comporão as trilhas de auditoria. O trabalho em rede e o compartilhamento de recursos tornam a auditoria um processo complexo, além de aumentar a sua aplicabilidade nos sistemas de informações. As conhecidas trilhas de auditoria proveem um ferramental de aperfeiçoamento e proteção contra as principais vulnerabilidades e ameaças, nas tentativas de acesso, violação do sistema e na correção de riscos identi�cados. Para se planejar um sistema de auditoria, são necessários alguns pontos básicos, como a geração de trilhas de auditoria, análise e forma de armazenamento que são de�nidas conforme a necessidade da aplicação. Princípios de Auditoria A ABNT NBR ISO 19011 (2018) apresenta os princípios relacionados aos auditores, de forma a possibilitar uma conclusão de auditoria relevante, independente com conclusões mais próprias da realidade. Os princípios apresentados pela norma são: Integridade: o fundamento do pro�ssionalismo. Espera-se o desempenho do trabalhado de forma ética, honesta, imparcial e com responsabilidade; Apresentação justa: a obrigação de reportar com veracidade e exatidão. O resultado da auditoria deve se pautar na veracidade e precisão das atividades de auditoria. A comunicação deve ser verdadeira, objetiva, clara e completa. Devido cuidado pro�ssional: aplicação de diligência e julgamento em auditoria. Ser pro�ssional e exercer com o cuidado conforme a importância da tarefa que está sendo executada. Ter a capacidade de realizar julgamentos ponderados em todas as situações de auditoria. Con�dencialidade: segurança da informação. Importante que haja total discrição das informações obtidas e não ocorra o uso inapropriado para ganhos pessoais. Deve se manusear de forma apropriada a informação sensível ou con�dencial. Independência: a base para a imparcialidade da auditoria e objetividade das conclusões de auditoria. A independência do auditor é imprescindível para o sucesso da auditoria, de forma a não ocorrer con�itos de interesse e tendenciosidade. Abordagem baseada em evidência: método racional para alcançar conclusões de auditoria con�áveis e reprodutíveis em um processo sistemática de auditoria. A evidência deve ser veri�cável, uma vez que o uso apropriado de amostras está diretamente ligado à con�ança que se deposita nas conclusões de auditoria. Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades. Tem por objetivo in�uenciar o planejamento, a execução e o relato de auditorias, de forma a assegurar que aa auditorias tenham como foco assuntos efetivamente relevantes para o cliente. Ferreira e Araújo (2008) destacam a di�culdade em se transformar a considerável quantidade de informações disponibilizadas por meio dos logs registrados nos mais diversos sistemas, sejam servidores, aplicativos, �rewalls, roteadores entre outros, que, geralmente, são formatos distintos e nem sempre compatíveis entre si. Importante ressaltar que há alguns tipos de categorias de logs especí�cas para usuários, sistemas, redes, aplicações, processos e sistemas de arquivos. As organizações são amparadas por processos que possuem uma relação de dependência de ativos físicos, humanos e tecnológicos, que naturalmente estão sujeitos a falhas de segurança em algum nível. Estas vulnerabilidades são exploradas por ameaças, que se efetivadas, geram impacto nos ativos, afetando os processos e, por consequência, o negócio. Já tratamos a necessidade de se ter uma visão completa dos riscos dentro das organizações, uma vez que é necessária a continuidade do negócio para aqueles que dependem de infraestrutura operacional e riscos controlados. Um dos maiores problemas em segurança da informação é a identi�cação do causador do evento. No entanto, por meio da gravação e guarda da trilha de ações realizadas no sistema, essa identi�cação é possível. Qualquer sistema que precise de um nível mais alto de segurança, principalmente no que tange a controles de acesso, necessita também de auditoria. É imprescindível o acompanhamento do desempenho do sistema segurança e corrigir possíveis falhas, além da detecção de usuários maliciosos. O planejamento de um processo de auditoria requer alguns pontos que antecedem a auditoria em si. Que são: Ações É preciso analisar quais ações precisam efetivamente ser registradas, pois o fato de registrar tudo pode ocasionar problemas de espaço para armazenamento, lentidão no sistema e di�culdade na recuperação da informação desejada. Ao se registrar poucas ações pode ainda não conseguir encontrar a informação desejada, por não estar armazenada. Privacidade Veri�car até que ponto o registro de ações não invada a privacidade dos usuários, podendo ocasionar outros problemas. Análise da trilha Só há necessidade de análise de trilha quando da ocorrência de um problema de segurança. Armazenamento Veri�car as formas de armazenamento que impeçam o acesso de usuários maliciosos, que poderão utilizar o acesso às trilhas com forma de ação ilícita e exclusão de históricos, entre outros. Programa de Auditoria A auditoria consegue validar o atendimento dos requisitos para segurança da informação, garantindo assim a segurança nos dados organizacionais. No entanto, para que se atinja os objetivos, há um �uxo de processos de gerenciamento de uma auditoria, de�nido pela ABNT NBR ISO 19011 (2018), conforme apresentado pela Figura 1. Figura 1 – Fluxo do processo de gerenciamento de um programa de auditoria Fonte: adaptada de ABNT NBR/ISO 19011 (2018). O programa de auditoria deve incluir informação e identi�car recursos para permitir que elas sejam conduzidas de forma e�ciente e e�caz, cumprindo os prazos estabelecidos. Conforme de�nido pela ABNT NBR ISO 19011 (2018), a informação deve incluir: Objetivos para o programa de auditoria; Riscos e oportunidades relacionados ao programa de auditoria; Escopo de cada auditoria no programa; Agendamento de auditorias; Tipos de auditoria, podem ser interna ou externa; Critérios de auditoria; Métodos de auditoria a serem empregados; Critérios para seleção de membros de equipe de auditoria e Informação documentada pertinente. Etapas da Auditoria A auditoria de tecnologia da informação não é baseada somente na segurança, mas dispõe à organização inovar, intermediar, controlar e gerir processos, produtos ou serviços de forma contínua, objetivando a construção de diferenciais competitivos. Esta deve ser dividida em etapas, apresentando claramente os objetivos, o escopo e os critérios estabelecidos. As etapas, conforme ilustrado pela Figura 2, compõem o alinhamento das expectativas da organização, o planejamento e levantamento das informações, análise dos negócios e tecnologia da informação, apresentação dos relatórios das análises e testes de controles e, por �m, a comunicação dos resultados e do plano formal de ações. Figura 2 – Etapas da auditoria Fonte: elaborada pelo autor (2020). Todas as etapas do processo de auditora devem produzir documentos para a organização, pois possuem informações sobre os processos, os riscos encontrados e a avaliação destes riscos, os controles em conformidade ou não com as normativas, além de recomendações de melhoria.
Compartilhar