Auditoria de Sistemas

Prévia do material em texto

Auditoria de Sistemas
AUTORIA
Marcel Santos Silva
Quando o assunto é segurança da informação em sistemas, há obrigatoriamente a
necessidade de se identi�car os usuários que realizaram as ações e em que
momento essas ações foram executadas. Portanto, é de extrema necessidade a
criação de um mecanismo para gravação e recuperação de todas as ações ou
eventos que foram realizados no sistema. Uma característica importante neste
mecanismo é a precisão das informações geradas, pois comporão as trilhas de
auditoria.
O trabalho em rede e o compartilhamento de recursos tornam a auditoria um
processo complexo, além de aumentar a sua aplicabilidade nos sistemas de
informações. As conhecidas trilhas de auditoria proveem um ferramental de
aperfeiçoamento e proteção contra as principais vulnerabilidades e ameaças, nas
tentativas de acesso, violação do sistema e na correção de riscos identi�cados.
Para se planejar um sistema de auditoria, são necessários alguns pontos básicos,
como a geração de trilhas de auditoria, análise e forma de armazenamento que são
de�nidas conforme a necessidade da aplicação.
Princípios de Auditoria
A ABNT NBR ISO 19011 (2018) apresenta os princípios relacionados aos auditores, de
forma a possibilitar uma conclusão de auditoria relevante, independente com
conclusões mais próprias da realidade. Os princípios apresentados pela norma são:
Integridade: o fundamento do pro�ssionalismo. Espera-se o desempenho do
trabalhado de forma ética, honesta, imparcial e com responsabilidade;
Apresentação justa: a obrigação de reportar com veracidade e exatidão. O
resultado da auditoria deve se pautar na veracidade e precisão das atividades
de auditoria. A comunicação deve ser verdadeira, objetiva, clara e completa.
Devido cuidado pro�ssional: aplicação de diligência e julgamento em
auditoria. Ser pro�ssional e exercer com o cuidado conforme a importância da
tarefa que está sendo executada. Ter a capacidade de realizar julgamentos
ponderados em todas as situações de auditoria.
Con�dencialidade: segurança da informação. Importante que haja total
discrição das informações obtidas e não ocorra o uso inapropriado para ganhos
pessoais. Deve se manusear de forma apropriada a informação sensível ou
con�dencial.
Independência: a base para a imparcialidade da auditoria e objetividade das
conclusões de auditoria. A independência do auditor é imprescindível para o
sucesso da auditoria, de forma a não ocorrer con�itos de interesse e
tendenciosidade.
Abordagem baseada em evidência: método racional para alcançar conclusões
de auditoria con�áveis e reprodutíveis em um processo sistemática de
auditoria. A evidência deve ser veri�cável, uma vez que o uso apropriado de
amostras está diretamente ligado à con�ança que se deposita nas conclusões
de auditoria.
Abordagem baseada em risco: uma abordagem de auditoria que considera
riscos e oportunidades. Tem por objetivo in�uenciar o planejamento, a
execução e o relato de auditorias, de forma a assegurar que aa auditorias
tenham como foco assuntos efetivamente relevantes para o cliente.
Ferreira e Araújo (2008) destacam a di�culdade em se transformar a considerável
quantidade de informações disponibilizadas por meio dos logs registrados nos mais
diversos sistemas, sejam servidores, aplicativos, �rewalls, roteadores entre outros,
que, geralmente, são formatos distintos e nem sempre compatíveis entre si.
Importante ressaltar que há alguns tipos de categorias de logs especí�cas para
usuários, sistemas, redes, aplicações, processos e sistemas de arquivos.
As organizações são amparadas por processos que possuem uma relação de
dependência de ativos físicos, humanos e tecnológicos, que naturalmente estão
sujeitos a falhas de segurança em algum nível. Estas vulnerabilidades são exploradas
por ameaças, que se efetivadas, geram impacto nos ativos, afetando os processos e,
por consequência, o negócio.
Já tratamos a necessidade de se ter uma visão completa dos riscos dentro das
organizações, uma vez que é necessária a continuidade do negócio para aqueles
que dependem de infraestrutura operacional e riscos controlados. Um dos maiores
problemas em segurança da informação é a identi�cação do causador do evento. No
entanto, por meio da gravação e guarda da trilha de ações realizadas no sistema,
essa identi�cação é possível.
Qualquer sistema que precise de um nível mais alto de segurança, principalmente
no que tange a controles de acesso, necessita também de auditoria. É
imprescindível o acompanhamento do desempenho do sistema segurança e corrigir
possíveis falhas, além da detecção de usuários maliciosos. O planejamento de um
processo de auditoria requer alguns pontos que antecedem a auditoria em si. Que
são:
Ações
É preciso analisar quais ações precisam efetivamente ser registradas, pois o fato de
registrar tudo pode ocasionar problemas de espaço para armazenamento, lentidão
no sistema e di�culdade na recuperação da informação desejada. Ao se registrar
poucas ações pode ainda não conseguir encontrar a informação desejada, por não
estar armazenada.
Privacidade
Veri�car até que ponto o registro de ações não invada a privacidade dos usuários,
podendo ocasionar outros problemas.
Análise da trilha
Só há necessidade de análise de trilha quando da ocorrência de um problema de
segurança.
Armazenamento
Veri�car as formas de armazenamento que impeçam o acesso de usuários
maliciosos, que poderão utilizar o acesso às trilhas com forma de ação ilícita e
exclusão de históricos, entre outros.
Programa de Auditoria
A auditoria consegue validar o atendimento dos requisitos para segurança da
informação, garantindo assim a segurança nos dados organizacionais. No entanto,
para que se atinja os objetivos, há um �uxo de processos de gerenciamento de uma
auditoria, de�nido pela ABNT NBR ISO 19011 (2018), conforme apresentado pela
Figura 1.
Figura 1 – Fluxo do processo de gerenciamento de um programa de auditoria
Fonte: adaptada de ABNT NBR/ISO 19011 (2018).
O programa de auditoria deve incluir informação e identi�car recursos para permitir
que elas sejam conduzidas de forma e�ciente e e�caz, cumprindo os prazos
estabelecidos. Conforme de�nido pela ABNT NBR ISO 19011 (2018), a informação deve
incluir:
Objetivos para o programa de auditoria;
Riscos e oportunidades relacionados ao programa de auditoria;
Escopo de cada auditoria no programa;
Agendamento de auditorias;
Tipos de auditoria, podem ser interna ou externa;
Critérios de auditoria;
Métodos de auditoria a serem empregados;
Critérios para seleção de membros de equipe de auditoria e
Informação documentada pertinente.
Etapas da Auditoria
A auditoria de tecnologia da informação não é baseada somente na segurança, mas
dispõe à organização inovar, intermediar, controlar e gerir processos, produtos ou
serviços de forma contínua, objetivando a construção de diferenciais competitivos.
Esta deve ser dividida em etapas, apresentando claramente os objetivos, o escopo e
os critérios estabelecidos.
As etapas, conforme ilustrado pela Figura 2, compõem o alinhamento das
expectativas da organização, o planejamento e levantamento das informações,
análise dos negócios e tecnologia da informação, apresentação dos relatórios das
análises e testes de controles e, por �m, a comunicação dos resultados e do plano
formal de ações.
Figura 2 – Etapas da auditoria
Fonte: elaborada pelo autor (2020).
Todas as etapas do processo de auditora devem produzir documentos para a
organização, pois possuem informações sobre os processos, os riscos encontrados e
a avaliação destes riscos, os controles em conformidade ou não com as normativas,
além de recomendações de melhoria.