Sala de Aula 6 AUDITORIA DE SISTEMA_ Estacio

Prévia do material em texto

Computação Forense
Aula 6: Auditoria de sistemas
Apresentação
Com o avanço das tecnologias relativas às áreas de informação e comunicação, vastas quantidades de informação
tornaram-se disponíveis. Esta disponibilidade também gera riscos signi�cativos para os sistemas, operações e
infraestruturas críticas que as suportam.
Apesar dos avanços signi�cativos na área de segurança da informação, muitos sistemas ainda são vulneráveis a ataques
internos ou externos. A existência de auditoria interna para segurança dos sistemas aumenta a probabilidade de adoção
de medidas de segurança adequadas para prevenir ataques ou diminuir suas consequências negativas.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Analisar os conceitos gerais sobre a Auditoria de Sistemas;
Descrever o processo de Auditoria, apontando brevemente alguns aspectos relevantes;
Identi�car e traçar alguns tipos de planos que auxiliem na Segurança das Informações.
Auditoria de Sistemas: Conceitos Gerais
A auditoria de sistemas de informação faz parte do processo geral de auditoria, que é um dos facilitadores da boa governança
corporativa.
Embora não haja uma de�nição universal única de auditoria de SI, podemos discorrer como um processo de coleta e avaliação
de evidências para determinar se um sistema de informação tem seus ativos de maneira protegida, mantendo a integridade
dos dados e atingindo as metas organizacionais de forma e�caz, consumindo assim todos os recursos de forma e�ciente.
Os sistemas de informação são a força vital de qualquer grande empresa. Como vem ocorrendo ao longo do tempo, os
sistemas de computação não apenas registram as transações comerciais, mas também conduzem os principais processos
comerciais de uma empresa. Em tal cenário, a alta administração e os gerentes de negócios se preocupam com os sistemas
de informação.
O objetivo da auditoria de SI é revisar e fornecer feedback, garantias e sugestões. Essas preocupações podem ser agrupadas
em três grandes categorias:
Disponibilidade
Os sistemas de informação dos quais o negócio depende fortemente estarão disponíveis para o negócio sempre que
necessário?
Os sistemas estão bem protegidos contra todos os tipos de perdas e desastres?
Con�dencialidade
As informações nos sistemas serão divulgadas apenas para aqueles que precisam vê-las e usá-las e não para mais
ninguém?
Integridade
As informações fornecidas pelos sistemas serão sempre precisas, con�áveis e oportunas?
O que garante que nenhuma modi�cação não autorizada possa ser feita nos dados ou no software dos sistemas?
Elementos de auditoria dos Sistemas de Informação
Um sistema de informação não é apenas um computador. Os sistemas de informação de hoje são bastante complexos e têm
muitos componentes que se juntam para criar uma solução de negócios. As garantias sobre um sistema de informação podem
ser obtidas apenas se todos os componentes forem avaliados e protegidos.
A frase que a�rma que “uma corrente é tão forte quanto seu elo mais fraco” resume tudo. Os principais elementos da auditoria
de SI podem ser classi�cados das seguintes maneiras:
Clique nos botões para ver as informações.
Inclui a análise da segurança física, energia, abastecimento, ar condicionado, controle de umidade e outros fatores
ambientais.
Auditoria física e ambiental 
Inclui a análise de segurança da operação dos sistemas de gerenciamento de banco de dados, todos os procedimentos de
administração do sistema e conformidade.
Auditoria da administração do sistema 
O aplicativo de negócios pode ser folha de pagamento, faturamento, um sistema de processamento de pedidos de cliente
baseado na web ou um sistema de planejamento de recursos empresariais que realmente administra o negócio.
A análise de tal software ou aplicativo inclui controle de acesso e autorizações, validações, tratamento de erros e
exceções, �uxos de processos de negócios dentro do software, e controles e procedimentos manuais complementares.
Além disso, uma revisão do ciclo de vida de desenvolvimento do sistema deve ser concluída.
Auditoria de software ou aplicativo 
Análise das conexões internas e externas ao sistema, segurança do perímetro, revisão do �rewall, listas de controle de
acesso do roteador, varredura de portas e detecção de intrusão são algumas áreas típicas de cobertura.
Auditoria de segurança de rede 
Inclui a existência e manutenção de hardware redundante e tolerante a falhas, procedimentos de backup e
armazenamento, plano de recuperação de desastres e plano de continuidade de negócios documentado e testado.
Auditoria de continuidade de negócios 
O objetivo é o escrutínio de dados em tempo real para veri�car a adequação dos controles e o impacto das de�ciências,
conforme observado em qualquer uma das revisões acima.
Esses testes substantivos podem ser feitos usando software de auditoria automatizado (por exemplo, técnicas de
auditoria assistidas por computador).
Auditoria de integridade de dados 
Todos esses elementos precisam ser endereçados de forma a apresentar à administração uma avaliação clara do sistema.
Exemplo
Por exemplo, o software ou aplicativo pode ser bem projetado e implementado com todos os recursos de segurança, mas a senha
de superusuário padrão no sistema operacional que é usado no servidor pode não ter sido alterada, permitindo assim que alguém
acesse os arquivos ou dados diretamente. Tal situação anula qualquer segurança embutida no aplicativo.
Da mesma forma, �rewalls e soluções de segurança podem ter sido muito bem implementados, mas as de�nições de função e
controles de acesso dentro do software do aplicativo podem ter sido tão mal projetados e implementados que, usando seus
IDs de usuário, os funcionários podem ver informações críticas e con�denciais que estão além de suas funções.
É importante entender que cada auditoria pode consistir nesses elementos
em medidas variadas. Algumas auditorias podem examinar minuciosamente
apenas um desses elementos ou eliminar alguns deles. Embora permaneça
o fato de que é necessário fazer todos eles, não é obrigatório fazer todos em
uma única auditoria.
As métricas utilizadas para cada um deles são diferentes. Os resultados de cada auditoria precisam ser vistos em relação aos
outros. Isso permitirá que o auditor e a administração tenham uma visão total das questões e dos problemas. Esta visão geral é
crítica.
Abordagem baseada em risco
Cada organização usa vários sistemas de informação. Pode haver diferentes aplicações para diferentes funções e atividades e
pode haver uma série de computadores instalados em diferentes localizações geográ�cas. O auditor se depara com as
questões do que auditar, quando e com que frequência. A resposta para isso é adotar uma abordagem baseada no risco.
Embora existam riscos inerentes aos sistemas de informação, esses riscos afetam diferentes sistemas de maneiras diferentes.
O risco de indisponibilidade de um sistema de faturamento de uma loja de varejo movimentada, mesmo por um curto espaço
de tempo, poderá ser catastró�co.
O risco de modi�cação não autorizada pode ser uma fonte de fraudes e perdas potenciais para um sistema de banco online.
Um sistema de processamento em lote, ou um sistema de consolidação de dados, pode ser relativamente menos vulnerável a
alguns desses riscos.
Os ambientes técnicos nos quais os sistemas são executados também podem afetar o risco associado aos sistemas. As
etapas que podem ser seguidas para uma abordagem baseada em risco para desenhar um plano de auditoria são:
Faça o inventário dos sistemas de informação em uso na organização e categorize-os.
Determine quais dos sistemas afetam funções ou ativos críticos, como dinheiro, materiais, clientes, tomada de decisões
e quão próximos do tempo real eles operam.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Avalie quais riscos afetam esses sistemas e a gravidade do impacto nos negócios.
Classi�que os sistemas com base na avaliação acima e decida aprioridade, os recursos, o cronograma e a frequência da
auditoria.
Comentário
O auditor, então, pode traçar um plano de auditoria anual que relaciona as auditorias que serão realizadas durante o ano, conforme
um cronograma, bem como os recursos necessários.
Riscos de Segurança
Existem duas categorias de riscos contra os quais um sistema de informação deve ser protegido: Riscos físicos e riscos
lógicos.
Riscos físicos
Relacionam-se mais com o equipamento
do que com o próprio sistema de
informação. Inclui nesse rol desastres
naturais como terremotos, furacões,
tornados, inundações e tempestades, além
de outros perigos como incêndios, picos
de energia, furto e vandalismo.

Riscos lógicos
Referem-se ao acesso não autorizado,
destruição, alteração acidental ou
intencional dos sistemas de informação e
dos dados. Essas ameaças podem ser
mitigadas por meio de controles lógicos de
segurança que restringem as capacidades
de acesso dos usuários ao sistema e
evitam que usuários não autorizados o
acessem.
Saiba mais
Existe uma grande lista de controles que protegem os sistemas de informação contra essas ameaças físicas. Esses controles
são: Bloqueios de acesso, seguro sobre hardware, recuperação de dados, procedimentos para realizar backups diários do sistema
de informações e dados, armazenamento externo e rotação da mídia de backup para um local seguro.
Todas essas medidas são ainda mais importantes no caso de
sistemas de informação críticos.
As organizações hoje devem lidar com quatro tipos principais de riscos de TI: Riscos de segurança, riscos de disponibilidade,
riscos de desempenho e riscos de conformidade.
Os riscos de segurança:
Representam o acesso não autorizado às informações, vazamento de dados, privacidade relativa aos dados, fraude e
segurança de endpoint.
Incluem também ameaças externas amplas, como vírus e ataques direcionados a ativos especí�cos, usuários especí�cos
e informações especí�cas.
Saiba mais
Uma pesquisa desenvolvida pela IBM mostrou que os incidentes de segurança podem custar às empresas em média 3,86
milhões de dólares para cada ocorrência, sendo o país mais caro os Estados Unidos, com a média de 8,64 milhões de dólares,
sendo a indústria mais cara a de saúde, com valor médio de 7,13 milhões de dólares.
Outra pesquisa feita pelo CERT.br no ano de 2020 mostrou que os incidentes relativos a scan ocorreram com mais frequência
(em 58,81% das organizações). O segundo incidente mais frequente foi a disseminação de worms (17,46%), seguido de fraudes
(5,66%).
 Tipos de incidentes
 Clique no botão acima.
A Figura 1 apresenta os tipos incidentes que mais ocorreram.
Legenda:
Worm: Noti�cações de atividades maliciosas relacionadas ao processo automatizado de propagação de códigos
maliciosos na rede.
DoS (DoS -- Denial of Service): Noti�cações de ataques de negação de serviço, em que o atacante utiliza um
computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
Invasão: Ataque bem-sucedido que resulte no acesso não autorizado a um computador ou rede.
Web: Caso particular de ataque visando especi�camente o comprometimento de servidores web ou des�gurações de
páginas na Internet.
 Fonte: CERT.br. Disponível em: https://www.cert.br/stats/incidentes/2020-jan-jun/tipos-ataque.html
Scan: Noti�cações de varreduras em redes de computadores, com o intuito de identi�car computadores ativos e
serviços disponibilizados por eles. Amplamente utilizado por atacantes para identi�car potenciais alvos, pois permite
associar possíveis vulnerabilidades aos serviços habilitados em um computador.
Fraude: Segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de
não cumprir determinado dever; logro". Engloba as noti�cações de tentativas de fraudes, ou seja, de incidentes em que
ocorre uma tentativa de obter vantagem.
Outros: Noti�cações de incidentes que não se enquadram nas categorias anteriores.
Não confundir scan com scam. Scams (com "m") são esquemas para enganar um usuário, geralmente, com �nalidade
de obter vantagens �nanceiras. Ataques deste tipo são enquadrados na categoria fraude.
Auditoria de segurança de Sistemas de Informação
Apesar dos avanços signi�cativos na área de segurança da informação, como modelo de matriz de acesso, listas de controle
de acesso, segurança multinível usando �uxo de informação, criptogra�a de chave pública com protocolo criptográ�co e duplo
fator de autenticação, muitos sistemas de informação continuam vulneráveis a ataques internos ou externos.
Comentário
Essas medidas apenas di�cultam um possível ataque. Uma con�guração de segurança robusta leva tempo e não permite regras
frouxas; portanto, se a con�guração for muito permissiva, ninguém perceberá, a menos que haja uma auditoria ou um ataque.
E qual é o papel da auditoria interna?
Uma auditoria interna visa ao fortalecimento da segurança do sistema de informação de cada organização. Considera-se que
três áreas da atividade do computador devem ser monitoradas regularmente:
Controle de acesso do
usuário
Monitoramento da
atividade do sistema
Trilha de auditoria
Essas atividades estão relacionadas aos mecanismos básicos de implementação de segurança:
Autenticação
Quem acessou o ativo? Quem está recebendo
essa informação?
Autorização
Quem é con�ável para realizar operações
neste ativo?
Auditoria
O que aconteceu e por quê?
O objetivo da segurança no controle de acesso do usuário é:
1
Otimizar o tempo produtivo no computador.
2
Mitigar o risco de erro e fraude.
3
Eliminar o acesso não autorizado.
4
Garantir a con�dencialidade das informações.



Também é óbvia a necessidade de mitigar os atos maliciosos ou
fraudes mais prováveis de ocorrer, se houver poucas chances de
detecção.
Devemos atentar para quatro questões primordiais sobre as áreas prováveis de risco:
 Fonte: O autor.
Vejamos algumas formas de reduzir a ocorrência de incidentes:
Sistemas de segurança e Logs detalhados
Outra ação de segurança importante é
manter logs detalhados de quem o fez,
quando fez e também se houve alguma
tentativa de violação de segurança. Todas
essas informações são muito importantes
para o auditor do sistema.
controle
A utilização de sistemas de segurança e
controles e�cazes pode reduzir
consideravelmente a ocorrência de
incidentes e consequências negativas,
aumentando a possibilidade de prevenção
e detecção.
O Processo de Auditoria
A preparação antes de iniciar uma auditoria envolve os seguintes aspectos:
coleta de informações básicas;
avaliação dos recursos e habilidades necessárias para realização da auditoria.
Isso permite que a equipe com o tipo certo de habilidades seja designada para a tarefa certa.
É sempre uma boa prática ter uma reunião formal de início de auditoria com a alta administração responsável pela área que
será auditada para �nalizar o escopo, entender as preocupações especiais, se houver, agendar as datas e explicar a
metodologia da auditoria.
1
Da mesma forma, depois que o escrutínio da auditoria for concluído, é
melhor comunicar os resultados da auditoria e as sugestões de ação
corretiva para a alta administração em uma reunião formal usando uma
apresentação. Isso irá garantir uma melhor compreensão e aumentará a
aceitação da auditoria.
Dará também aos auditados a oportunidade de expressar seus pontos de vista sobre as questões levantadas. A redação de um
relatório após a reunião em que todos os pontos foram batidos pode aumentar bastante a e�cácia da auditoria.
Plano de Auditoria
Uma auditoria de segurança tem como principais objetivos:
Veri�car a existência de política, normas, diretrizes e procedimentos de segurança.
Identi�car as inadequações e examinar a e�cácia da política, padrões existentes, diretrizes e procedimentos.
Identi�car e compreender as vulnerabilidades e riscos existentes.
https://stecine.azureedge.net/webaula/estacio/go0687/aula6.html
Rever os controles de segurançaexistentes sobre questões operacionais, administrativas e gerenciais, e garantir a
conformidade com os padrões mínimos de segurança.
Fornecer recomendações e ações corretivas para melhorias.
A �m de garantir o cumprimento da política de segurança e determinar o conjunto mínimo de controles necessários para
reduzir os riscos a um nível aceitável, as auditorias de segurança devem ser realizadas periodicamente, pois vulnerabilidades e
ameaças mudam com tempo e ambiente.
Comentário
As auditorias podem ser novas auditorias de instalação ou aprimoramento, auditorias regulares ou auditorias aleatórias.
As técnicas utilizadas para o processo de auditoria podem incluir ferramentas de auditoria automatizadas (sistemas de
auditoria de segurança prontos ou desenvolvidas pelos próprios auditores de segurança) ou pode haver utilização de técnicas
manuais como, por exemplo, ataques de engenharia social e listas de veri�cação de auditoria.
Um processo de auditoria pode ser realizado em sete etapas:
1. Veri�cação de vulnerabilidade e veri�cação da infraestrutura;
2. Veri�cação dos relatórios de Auditoria contendo logs, relatórios de sistemas de detecção de intrusão etc.;
3. Veri�cação da arquitetura de segurança existente;
4. Veri�cação de linha de base visando auditar a con�guração de segurança de modo a certi�car se está de acordo com as
diretrizes da organização;
5. Controle interno e veri�cação de �uxo de trabalho;
�. Veri�cação de política de segurança para garantir que está alinhada com o objetivo dos negócios;
7. Avaliação de ameaça/risco visando a avaliação dos vários riscos e ameaças enfrentados pelos sistemas de informação
da empresa.
Durante e no �nal do processo de auditoria uma série de relatórios pode ser elaborada:
1
Relatório de vulnerabilidades
Apresenta as vulnerabilidades identi�cadas na organização.
2
Relatório de ameaças e riscos
Expõe ameaças e riscos que a organização enfrenta
decorrentes das vulnerabilidades encontradas, incluindo
política frágil, arquitetura etc.
3
Relatório de auditoria
Fornece a visão geral da segurança e os resultados de todas
as auditorias.
Outra perspectiva sobre o processo de auditoria de segurança seria dividir a auditoria em seis etapas:
Planejamento: Para determinar e selecionar métodos e�cazes e e�cientes para a realização da auditoria, obtendo todas
as informações necessárias;
Coleta de dados: Para determinar quanto e que tipo de informação deverá ser capturada, bem como �ltrar, armazenar,
acessar e revisar a auditoria de dados e logs;
Realização de testes: Revisão geral das políticas ou padrões de segurança, con�gurações de segurança e investigação
das técnicas existentes;
Relatório de auditoria: Apresentar o panorama de segurança atual;
Proteção dos dados e ferramentas de auditoria: Salvaguardar os dados de auditoria e ferramentas para a próxima
auditoria ou uso futuro;
Realização de melhorias e acompanhamento: Corrigir ações, se necessário.
O processo de auditoria de segurança está cada vez mais difícil de se realizar em virtude da complexidade crescente dos
sistemas de informação. Existem ferramentas de auditoria automatizadas que facilitam signi�cativamente este processo.
Vários padrões de auditoria de segurança especi�cam os procedimentos que devem ser seguidos para garantir que os recursos
de TI sejam protegidos de forma adequada. Com perdas ainda elevadas devido à segurança de infraestrutura de TI inadequada,
uma auditoria de segurança deve ser considerada por qualquer organização.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. São fases do processo de investigação de uma cena de crime, exceto:
a) Disponibilidade, Confidencialidade e Integridade.
b) A parte estática dos sistemas, partes lógicas e os softwares.
c) O compartilhamento de recursos de computação, revisão física e ambiental.
d) Incrementação da eficiência operacional, promoção da obediência às diretrizes e análise de sistemas.
e) Armazenamento, Preservação e Usabilidade.
2. Acerca do conceito de auditoria na segurança da informação, assinale a alternativa correta.
a) Consiste em técnicas e métodos para que o remetente da mensagem não possa negar, no futuro, seu envio.
b) Consiste em proteger a informação em sistemas, recursos e processos para que eles não possam ser acessados por pessoas não
autorizadas.
c) Consiste na capacidade de verificação das atividades do sistema e de determinação do que, por quem e quando foi feito e o que foi
afetado.
d) Consiste na garantia de que a informação não sofra nenhuma espécie de modificação durante sua transmissão ou seu armazenamento.
e) Consiste em definir como uma organização vai se proteger de incidentes de segurança.
3. Para assegurar que as medidas de controle estabelecidas estejam funcionando como prescrito de maneira consistente e
contínua, e para concluir sobre a adequação do ambiente de controle, os passos de auditoria são estabelecidos, em uma guia de
auditoria, na etapa:
a) Obtendo um entendimento.
b) Avaliando os controles.
c) Elaborando o relatório.
d) Avaliando a conformidade.
e) Evidenciando o risco.
Notas
Reunião formal1
Essas reuniões envolvem a alta administração, permitindo que as pessoas se encontrem, esclareçam questões e
preocupações subjacentes, ajudando a auditoria a ser conduzida sem problemas.
Referências
ABNT. ABNT NBR ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC
27002 para gestão da privacidade da informação. Associação Brasileira de Normas Técnicas, Rio de Janeiro, dez. 2019.
GESPUBLICA/MPOG. Guia de Orientação para o Gerenciamento de Riscos. Disponível em:
http://www.gespublica.gov.br/sites/default/�les/documentos/p_vii_risco_oportunidade.pdf. Acesso em: 07 dez. 2020.
IBM. How much would a data breach cost your business? Disponível em: https://www.ibm.com/security/data-breach. Acesso
em 07 dez. 2020.
NIST. National Institute of Standards and Technology (2020) Privacy Framework. Disponível em: https://www.nist.gov/privacy-
framework/privacy-framework. Acessado em: 08 dez. 2020.
Próxima aula
Perícia Forense.
Explore mais
As organizações devem conduzir auditorias internas do SGSI a intervalos determinados pela sua direção visando determinar se
os objetivos de controle, processos e procedimentos do seu SGSI atendem aos requisitos da organização e de seus parceiros.
Qual deveria ser o tempo mínimo adequado entre as auditorias? Uma boa fonte de consulta é a própria norma que rege as
auditorias (ABNT NBR ISO/IEC 27001).
javascript:void(0);
javascript:void(0);
javascript:void(0);