Síntese aula 09

Prévia do material em texto

Auditoria - Aula 9: Auditoria no Ambiente Digital – Cuidados com a Engenharia Social
Ao final desta aula, você será capaz de:
1- Reconhecer os pontos de atenção durante os trabalhos de auditoria no que tange aos aspectos digitais;
2- Analisar o que é Auditoria de Sistemas;
3- Analisar o que é engenharia social;
4- Reconhecer as principais práticas dos engenheiros sociais para que se possa evitá-las.
Auditoria de Sistemas Informatizados
Você sabia?
A auditoria de sistemas informatizados é um tipo de Auditoria Operacional, ou seja, analisa a gestão de recursos, focalizando os aspectos de eficiência, eficácia, economia e efetividade.
Dependendo da área de verificação escolhida, este tipo de auditoria pode abranger:
• Todo o ambiente de informática ou;
• A organização do departamento de informática. 
• Os controles sobre banco de dados, redes de comunicação e de computadores e;
• Controles sobre os aplicativos; 
Sendo assim, temos a divisão da concentração dos trabalhos em duas áreas.
Auditoria da Segurança da Informação
Esse tipo de auditoria em ambientes informatizados determina a postura ou situação da corporação em relação à segurança. 
Avalia a política de segurança e os controles relacionados com aspectos de segurança, enfim, controles que influenciam o bom funcionamento dos sistemas de toda a organização.
São estes:
• Avaliação da política de segurança.
• Controles de acesso lógico.
• Controles de acesso físico.
• Controles ambientais.
• Plano de contingência e continuidade de serviços.
• Controles organizacionais.
• Controles de mudanças.
• De operação dos sistemas.
• Controles sobre o banco de dados.
• Controles sobre computadores.
• Controles sobre ambiente cliente-servidor.
Auditoria de Aplicativos
Já no caso da Auditoria de Aplicativos, o foco está voltado para a segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte da área que o aplicativo atende, como:
• Orçamento; 
• Contabilidade;
• Estoque;
• Marketing;
• RH etc. 
A Auditoria de Aplicativos compreende:
• Controles sobre o desenvolvimento de sistemas aplicativos.
• Controles de entrada, processamento e saída de dados.
• Controles sobre o conteúdo e funcionamento do aplicativo com relação à área por ele atendida.
Você sabe por que é importante realizar a Auditoria de Sistemas?
Para proteger as informações da empresa.
Afinal, eles têm inestimável valor não só para sua empresa como para o seu concorrente.
E mesmo no caso das informações não sigilosas, muitas vezes sem estes dados a continuidade da empresa estaria comprometida, pelo simples fato de ausência de backup. 
E imagine o impacto financeiro em uma companhia aérea que tenha seu sistema desativado por algumas horas, sem falar na exposição negativa da sua imagem.
LEITURA
Uma pesquisa realizada pela Módulo Security Solutions aponta os potenciais riscos aos quais a informação está sujeita. A figura mostra que a principal ameaça às organizações é o vírus de computador.
Principais ameaças às informações nas organizações
Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)

Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social. 
Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização. 
Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso à senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição. 
Controle de Acesso – Os mecanismos de controle de acesso têm o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos á organização. 
Vulnerabilidades
Hacker
Nós vimos em uma pesquisa, realizada pela Módulo Security Solutions, um levantamento dos maiores riscos aos quais a informação está sujeita. Ela indica o hacker como uma das principais ameaças às organizações.
Mas você sabe o significado dessa palavra?
Na sua tradução mais literal significa: fuçador. 
Mas em geral, é quem realiza ataques a um sistema de computadores, sistemas, sites. 
Eles utilizam seus conhecimentos de Informática para invadir sistemas, redes, computadores e assim mesmo sem intenção causam danos às vítimas de seus ataques.
SAIBA MAIS
Como o termo hacker se tornou um termo genérico para invasores de rede, criou-se um termo correto para o invasor que tem a intenção de roubar dados e causar danos, neste caso ele é chamado de cracker ou intruder.
Engenharia Social
Afinal o que é isso?
Observe a figura a seguir:
Você conseguiu visualizar a dimensão da exposição ao perigo que a empresa correu, pelo simples fato de um colaborador deixar seu computador desbloqueado?
Engenharia social nada mais é do que uma das mais antigas técnicas de roubo de informações importantes de pessoas descuidadas, através da obtenção da sua confiança ou mesmo através de uma boa conversa.
Engenharia Social
Se por um lado, temos diversos aspectos positivos trazidos pela modernização tecnológica, percebemos que eles nos expõe a novos riscos, antes não previstos.
Os ataques de engenharia social não possuem fórmula nem método definido. 
Eles podem ter aspectos físicos e psicológicos. 
 
E como no Brasil ainda não temos uma legislação específica que puna estes tipos de crimes, então, além da conscientização e treinamentos constantes, as empresas devem possuir um plano de contingência para eventuais ataques e assim garantir a continuidade dos negócios.  
Após recentes ataques de hackers a sites governamentais é notável a crescente  preocupação com o tema, visto que isso compromete a confiança dos internautas e afeta o desenvolvimento da utilização dos serviços públicos de forma virtual.
Até mesmo as empresas privadas que ainda não tinham percebido a fragilidade deste novo ambiente, despertaram a consciência diante desse risco. Elas precisam prezar tanto pela credibilidade da informação interna quanto externa, afinal hoje em dia muitas pessoas compram pela internet e precisam confiar na segurança deste ambiente digital provido pela empresa.
É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. 
Dentre essas características, pode-se destacar:
Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
Busca por novas amizades: O ser humano costuma se agradar e se sentir bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.
Você deve estar se perguntando se é possível evitar a engenharia social...
Evitando a engenharia social
Isso não é tarefa fácil, algumas empresas não investem tempo e recursos na prevenção de crimes decorrentes da engenharia social. E algumas somente irão investir quando tiverem prejuízos decorrentes disso.
 Para amenizar esses riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações queestão em seu poder.
SAIBA MAIS
Estratégias de Prevenção aos Ataques
Nesta aula, você:
Visualizou os pontos de atenção durante os trabalhos de auditoria no que tange aos aspectos digitais; 
Soube da importância da Auditoria de Sistemas; 
Aprendeu o que é engenharia social; 
Conheceu as principais práticas dos engenheiros sociais; 
Aprendeu formas de evitar ataques da engenharia social
1.No que tange a engenharia social, podemos dizer que:
Parte superior do formulário
1) O elemento mais vulnerável é o software 
2) O elemento mais vulnerável é o hardware 
3) O elemento mais vulnerável é o ser humano 
4) O elemento mais vulnerável é o gerente de TI 
5) O elemento mais vulnerável é o Auditor Externo 
Parte inferior do formulário
2.Qual das características listadas abaixo NÃO deixa o elemento humano vulnerável:
Parte superior do formulário
1) Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário 
2) Busca por novas amizades – O ser humano costuma se agradar e se sentir bem quando elogiado, ficando mais vulnerável e aberto a dar informações 
3) Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades 
4) Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação 
5) Conhecimento, aptidão e atualização em questões de tecnologia da informação 
Parte inferior do formulário
3. Dentre os controles que influenciam o bom funcionamento dos sistemas de dados de toda a organização. Qual não faz parte?
Parte superior do formulário
1) Avaliação da política de segurança de informação 
2) Controles de acesso lógico 
3) Controles de acesso físico 
4) Controle de qualidade dos serviços prestados 
5) Controles de computadores 
Parte inferior do formulário
4. Várias medidas para prevenir a engenharia social, tem como foco atenuar a participação do elemento humano, NÃO está compreendido nestas medidas:
Parte superior do formulário
1) Educação e Treinamento 
2) Segurança Física 
3) Políticas de Segurança da Informação 
4) Controles de Acesso 
5) Concessão de privilégios 
Parte inferior do formulário