Prévia do material em texto
Ana kesia SEGURANÇA E AUDITORIA DE SISTEMAS SEGURANÇA Segurança de sistemas de Informação é um conjunto de estratégias cujo objetivo é gerenciar ferramentas, processos e políticas necessárias para prevenir, detectar, documentar e agir contra ameaças à informação. Em resumo: Segurança da Informação é pensar na prevenção, ou seja, em estratégias para prevenir que algum dano seja causado aos dados da organização. A definição de Segurança da Informação baseia-se no conceito de que um negócio sofrerá sérios danos se os dados perderem um de seus atributos: confidencialidade, integridade e disponibilidade. Sendo que: -Confidencialidade: está relacionada à inacessibilidade da informação para pessoas ou entidades não autorizadas, -Integridade: a informação só pode ser alterada e excluída com autorização, -Disponibilidade: somente usuários ou entidades autorizadas podem ter acessão ao sistema e/ou à máquina. Auditoria Segurança da Informação é uma avaliação sistemática da segurança do sistema de informação de uma empresa. Por meio de um processo multidisciplinar, a auditoria de sistemas de informação tem o objetivo de avaliar a conformidade do ambiente informatizado da empresa. Assim, estabelece-se um meio íntegro de compilação, uso e manipulação de dados em cada computador e nos sistemas. Tudo isso, de acordo com a legislação vigente, as melhores práticas e checagem dos protocolos de segurança e qualidade. É, assim, uma metodologia similar aplicada em auditorias convencionais. A grande diferença está na sua aplicação dedicada ao ambiente digital. Basicamente, ela busca medir o quanto o sistema está em conformidade com um conjunto de critérios estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da Informação conduz uma avaliação com o objetivo de garantir que processos e infraestrutura estejam atualizados. Durante o processo de auditoria, auditores realizam entrevistas pessoais, varredura de vulnerabilidades, análise de configurações do sistema operacional, análises de compartilhamentos de rede e análise de dados históricos. A preocupação está em como as políticas de segurança estão sendo aplicadas. Pontos verificados por uma Auditoria Algumas questões que as Auditorias em Segurança da Informação devem tentar responder: · As senhas são difíceis de quebrar? · Há listas de Controle de Acesso (ACL) instaladas em dispositivos de rede para controlar quem tem acesso a dados compartilhados? · Há logs de auditoria para registrar quem acessa os dados? · Os registros de auditoria são revisados? · As configurações de segurança para sistemas operacionais estão de acordo com as práticas de segurança da indústria? · Todas as aplicações desnecessárias foram eliminadas para cada sistema? · São aplicados patches de sistemas operacionais e de softwares? Eles estão atualizados? · Como é armazenada a mídia de backup? Quem tem acesso a ela? É atualizada? · Existe um plano de recuperação de desastres? · Existem ferramentas de criptografia adequadas para criptografar banco de dados? As ferramentas foram configuradas corretamente? · As aplicações customizadas foram escritas com segurança? Como foram testadas? · Como as mudanças de configuração e código são documentadas? Como os registros são revisados e quem conduz a revisão? · Claro que essas são apenas algumas das questões avaliadas em uma Auditoria em Segurança da Informação. Após a condução do processo a empresa poderá avaliar, de maneira realística, se a circulação dos dados e seu armazenamento ocorrem com toda a segurança necessária. A partir dessa avaliação a empresa estará apta a tomar atitudes mais certeiras quanto à proteção de um de seus preciosos ativos: a informação. LGPD LGPD é a Lei Geral de Proteção de Dados, aprovada em agosto de 2018 no Brasil que impôs regras sobre o tratamento de dados pessoais e que tem como finalidade proteger o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos. As regras dessa lei vale para pessoas físicas e jurídicas (publicas ou privadas), principalmente para que empresas e órgãos públicos sejam mais transparentes e responsáveis no manejo de dados alheios. SEGURANÇA DE DADOS DO USUÁRIO A segurança de dados, ou ainda de informações, corresponde a toda e qualquer ação tomada— sejam elas preventivas ou reativas— com o propósito de resguardar os dados que as empresas e os usuários disponibilizam online. A saber, ela tem como objetivo mantê-los seguros contra furtos, alterações sem consentimento e acessos maliciosos de pessoas mal-intencionadas. Se essas informações forem violadas ou ocorrerem falhas no cumprimento de requisitos regulatórios, certamente podem gerar consequências à reputação das organizações, além da perda de valor da marca, comprometimento da propriedade intelectual, bem como em multas por não conformidade com a legislação. Por isso, a segurança de dados é tão importante hoje em dia. E para que seja bem-sucedida, a implementação da segurança de dados deve se pautar nos seguintes aspectos: Confidencialidade: somente pessoas autorizadas podem ter acesso às informações; Integridade e autenticidade: garantia de que os dados sejam verdadeiros e preservem sua originalidade, impedindo alterações; Conformidade: assegura que os dados sejam coletados e armazenados da forma correta, de acordo com as regras, leis e normas estabelecidas; Disponibilidade: acesso aos dados pelos usuários autorizados sempre que preciso; Irretratabilidade: tornar impossível negar a autoria de uma operação. IMPORTÂNCIA DE UMA AUDITORIA Auditoria de TI é determinante para melhorar a relação das organizações e seus gestores com as novas tecnologias. E, é claro, também com relação ao papel do auditor nisso tudo. Trata-se de uma evolução natural da profissão e da forma com a qual nós recebemos, computamos, registramos e manipulamos a informação digital. E isso tende a se traduzir em benefícios internos e externos. Afinal, passamos a compreender melhor como promover a segurança da empresa contra invasões e também contra a violação de dados. Sem falar que usamos com ética e responsabilidade os dados obtidos de usuários na internet. Algo que agrega mais qualidade aos processos aplicados, na empresa, e confere uma reputação mais positiva, em geral. Mas veja o que isso tudo significa e o que mais a auditoria de sistemas de informação pode trazer para o seu empreendimento: · Eficiência operacional; · Redução de custos; · Redução de riscos associados à auditoria; · Alinhamento com as tendências e as futuras necessidades e características do mercado tecnológico. Afinal, toda auditoria traz, em sua transparência, resultados que só têm a proporcionar uma rotina de trabalho mais produtiva e eficiente para as organizações. TIPOS DE AUDITORIA EM SISTEMAS DE INFORMAÇÃO No geral, temos dois tipos de auditoria de sistemas: interna e externa. A primeira é realizada dentro da própria empresa, por meio de auditores que realizam os procedimentos estipulados para avaliar seus sistemas e procedimentos. E a auditoria externa não ocorre por profissionais da empresa, mas por um auditor independente. Um meio de ter visões e perspectivas de fora (literalmente) da empresa e averiguar se os processos estão de acordo com normas, diretrizes e leis em vigor. Referências DA SILVEIRA, Kamilla Dória. Segurança em Banco de Dados para Adequação a LGPD. In: Anais do XXII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais. SBC, 2022. p. 278-287. DA SILVA, Adriano Pereira. AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES. Revista Valore, v. 7, n. 1, p. 165-175, 2022. LIMA, Rafael Antonio Gonçalves. Segurança e Auditoria de Sistemas. 2016. SILVA, Mónica Filipa Marques da. Auditoria de sistemas de informação e a utilização de CAATs. 2021. Tese de Doutorado. WASCHBURGER, Lucas Rafael. Segurança da informação: conhecimentos necessários para as empresas atuais. 2015.