Aula - 04_10 - Auditoria

Prévia do material em texto

Investigação - Crimes Cibernéticos e Computação Forense / Aula 4 - Auditoria - A importância da construção da trilha
· Introdução
Nesta aula, estudaremos o conceito de auditoria e como elaborar suas trilhas para identificar, analisar, avaliar e validar ocorrências que nos levarão ao crime cibernético. Vamos reconhecer a importância da elaboração dos documentos que auxiliam o trabalho da Computação Forense.
Além disso, vamos analisar as ações de auditoria que serão realizadas através da trilha. Trata-se de uma importante estratégia para entender os eventos ou ocorrências que levaram à conclusão da prática do crime cibernético.
Bons estudos!
· Objetivos
Descrever conceitos e fundamentos do que é auditoria e como as trilhas de auditoria contribuirão nesse processo.
Aplicar estratégias e desenvolver documentação para registro de ocorrências.
· Créditos
Jarcélen Ribeiro
Redator
Laís Silva
Designer Instrucional
Vívian Nunes
Web Designer
Rostan Luiz
Desenvolvedor
Nosso estudo está ficando cada vez mais interessante e chegou a hora de estudarmos o conceito de auditoria.
Pense um pouco:
A auditoria é aplicada apenas na área de gestão e contábil?
Corrigir
GABARITO
É importante desmistificar esse pensamento de que a Auditoria é aplicada apenas na área de gestão e contábil, pois fazemos uso da auditoria também para examinar ações que darão origem a relatórios para esclarecer fatos ocorridos.
A auditoria, portanto, é uma prática que identifica se os processos e os controles ocorrem conforme o esperado ou mostra o que ocorreu, dando base ao trabalho de investigação para apurar os fatos.
ondemand_videoVídeo.
Se a investigação sobre crimes cibernéticos tiver como objeto sistemas, principalmente digitais online ou off-line, a auditoria verificará os pontos importantes para construir o que chamamos de trilha de auditoria.
Trilha de auditoria
Caminho das ações que ocorreram para chegar a um determinado ponto.
Caso ocorra insuficiência de fatos relevantes, é indício de que ainda existe a possibilidade de alguma ação “indevida”. Logo, deve-se começar o monitoramento e a observação dos protocolos de análise e segurança.
Fonte: Gorodenkoff / Shutterstock
Neste ponto, as perguntas que devem ser feitas são:
As políticas de segurança são adequadas?
Os controles estão de acordo com a política de segurança?
São feitas manutenções efetivas nos controles?
São feitas manutenções e implementações na política de segurança?
É importante lembrar que a última pergunta deve ser observada com um olhar mais reflexivo, por conta dos cenários que se modificam com a evolução de toda a convergência digital e novas ações.
Controle dos nossos acessos
Hoje, fora do ambiente corporativo, praticamente não usamos mais e-mail. Em compensação, o número de redes sociais e aplicativos é bem maior.
Notamos claramente que a vida virtual evoluiu. Dessa forma, a política e os controles de segurança também precisaram evoluir. Nesse sentido, podemos refletir:
Quantos sistemas, aplicativos, e-mails e redes sociais acessamos?
Como é feito o controle desses acessos?
Hilch / Shutterstock
O ideal é que se tenha como protocolo a revisão e a atualização constante ou periódica dos controles e políticas de segurança.
Não se esqueça de que, em uma empresa de grande porte, deve haver um departamento denominado, na maioria das vezes, de Governança de TI.
Porém, para evitar transtornos, é importante que o usuário comum também crie a cultura de ter sua política de segurança e controle de acessos dentro de padrões seguros. Isso permitirá que eventos inesperados sejam identificados como crimes cibernéticos e não apenas fruto da falta de cuidado.
Nesse contexto, analise a seguinte situação:
Macrovector / Shutterstock
Márcio sempre foi descuidado com os seus acessos. Raramente fecha suas contas em redes sociais ao utilizá-las em um espaço público. Da última vez, descobriu que alguém mal-intencionado, ao encontrar sua conta do Facebook aberta, enviou mensagens para os seus amigos solicitando dinheiro emprestado.
Nesta situação, Márcio poderá registrar queixa de crime cibernético?
Corrigir
GABARITO
Seria um crime cibernético devido à ação praticada com má-intenção. Porém, neste caso, o usuário, ao deixar sua conta aberta, acabou sendo o responsável pela invasão.
Isso, apesar de não justificar o feito realizado de forma maldosa por terceiro, pode ser entendido apenas como falta de cuidado com o uso da conta.
Caso essa ação tenha ocorrido em um lugar público, pode-se verificar se há no local circuito de câmeras. Se houver, pode-se solicitar a filmagem para tentar identificar o invasor.
Se não houver câmeras ou aconteça em local privado, é importante monitorar as pessoas e ações. Porém, é essencial alertar que cada usuário é responsável por seus próprios acessos.
ondemand_videoVídeo.
Padrão do que é ou não aceitável
É necessário definir um padrão do que é ou não aceitável, com base nos princípios pessoais ou da filosofia da empresa:
Veja os itens que nos ajudarão a compor essa definição:
O esquema a seguir nos auxilia na definição do padrão do que é ou não aceitável.
Aleksandr Bryliaev / Shutterstock
Com base nessas ações aceitáveis e não aceitáveis, vamos sugerir a tomada de decisão conforme o fluxograma.
No caso de contratar um profissional específico para investigar o ocorrido, é importante deixar claro que este fará as verificações e encaminhará via relatório.
As ações corretivas e preventivas poderão ser sugeridas. Porém, devem estar de acordo com a empresa ou com a pessoa que tomará as decisões.
A decisão final se dará com base nos princípios de tomada de decisão das teorias da Computação Forense.
Níveis de permissão
Para evitar os riscos, os controles precisam estar atualizados e, de forma eficiente e eficaz, estar alinhados com a política de segurança, garantindo um bom trabalho do profissional de investigação que executará o processo de auditoria.
Existem níveis de permissão que estão combinados com a estrutura de segurança. Eles são observados antes de se qualificar o ocorrido como crime cibernético.
Esses níveis estão de acordo com os controles que serão permitidos e autorizados para determinado usuário. São eles:
A auditoria pode ser de um espaço delimitado ou abrangente, dependendo do que ocorreu e do impacto causado.
É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Afinal, a auditoria irá rever todos os riscos e se estes poderiam ser evitados.
Veja como verificar os controles:
· APROPRIADOS
O controle é adequado para o risco que ele poderá sofrer ou enfrentar?
· INSTALADOS CORRETAMENTE
• O controle está no local correto?
• O controle foi testado e funciona bem?
· FINALIDADE
Os controles são efetivos ao risco que poderá sofrer ou enfrentar?
Padrão de referência (benchmark)
A auditoria deverá seguir um padrão de referência (benchmark), que verificará, antes de qualquer processo, se a configuração está segura.
Isso significa que as instruções indicadas devem evitar eventos inesperados, inclusive os que poderão ser qualificados como crimes cibernéticos.
Os principais padrões de referências são:
ISO 27002;
ITIL;
COBIT;
NIST SP 800;
COSO.
ondemand_videoVídeo.
Coleta de dados e informações
Será necessário identificar e coletar dados e informações. Isso é feito de diversas maneiras, mas os principais métodos são:
Verificação de controle e gerenciamento de identidade
Outro ponto que o auditor especializado não poderá deixar de observar é a verificação de controle e gerenciamento de identidade.
Veja os principais pontos:
Processo de aprovação;
Mecanismo de autenticação;
Política e imposição de senha;
Monitoramento;
Sistemas de acesso remoto.
Relatórios
São os relatórios que nos darão as informações necessárias para fazer a análise de todo o cenário e estudar a melhor estratégia para a solução.
Os relatórios de auditoria devem ter, pelo menos, a seguinte estrutura:
1
Descobertas
2
Recomendações
3
Linha de tempo para implementação
Implementação
Em caso de recomendações de mudanças
4Nível de risco
5
Resposta ao auditado
Auditado
Todo auditado e/ou investigado tem direito a resposta.
6
Acompanhamento
· 
SAIBA MAIS
Leia o texto “Política de Segurança da Informação: como desenvolver?”.
Monitoramento
É importante verificar os monitoramentos e averiguar se estes não impedem um trabalho adequado.
Em alguns casos, os monitoramentos dificultam a investigação por permitir excluir históricos ou possuir métodos de bloqueios agressivos como, por exemplo, a criptografia.
Fonte: SkillUp / Shutterstock
Isso encarece o trabalho e cria dificuldade por conta da necessidade de usar outros tipos de recursos e estratégias. Em alguns casos, precisam ser contratados profissionais especializados e estender o tempo.
Observar o histórico de “anomalias” é primordial para determinar se realmente os eventos são ataques reais qualificados como crimes cibernéticos ou apenas atividades que geraram ruídos ou eventos secundários.
SAIBA MAIS
Leia os textos:
 Brasileiros descobrem falha em sistemas de criptografia;
 Afinal o que é criptografia?
Atividade
1 - Antes de realizar qualquer atividade de auditoria é importante fazer a escolha de um dos muitos métodos para identificar e coletar dados.
Sobre isso, analise a situação abaixo:
A empresa vem passando por algumas situações e será necessário contratar um profissional de investigação. Afinal, a suspeita são crimes cibernéticos que estão deixando a empresa em risco.
Por indicação do profissional especializado, serão aplicados os princípios da auditoria e um método para cada ação.
A coleta dos dados será um processo que vai abranger todas as áreas.
Com base nesse contexto, veja os métodos abaixo e escolha o mais apropriado para tratar o problema:
1. Questionários;
2. Entrevistas;
3. Observações;
4. Listas de Verificação;
5. Documentação de Revisão;
6. Configurações de Revisão;
7. Política de Revisão;
8. Testes de Segurança.
Corrigir
GABARITO
Para este cenário, o método indicado chama-se listas de verificação, em que os documentos preparados garantem que o processo de coleta de informações abranja todas as áreas.
2 - Em alguns casos, os monitoramentos dificultam por permitir excluir históricos ou por possuir métodos de bloqueios agressivos. Marque a opção do PRINCIPAL EXEMPLO deste método:
Entrevista
Processo
Criptografia
Controle
Relatório
Corrigir
3 - A auditoria, para ser melhor trabalhada, deverá seguir um padrão de referência que verificará, antes de qualquer processo, se a configuração está segura. Marque a opção que possui o NOME TÉCNICO deste padrão de referência:
Criptografia
Benchmark
Protocolo
Normas
Processo
Corrigir
4 - Dependendo do que ocorreu e do impacto causado, o que será auditado pode ser um espaço delimitado ou abrangente. É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Marque a opção que apresenta o MAIOR NÍVEL DE VULNERABILIDADE:
Paranoico
Promíscuo
Prudente
Autorizado
Permissivo
Corrigir
Referências
desta aula
Próximos
passos
Explore +
Referências desta aula
· CLARKE, Richard A. Guerra Cibernética: a próxima ameaça à segurança e o que fazer a respeito. 1. ed. Rio de Janeiro: Brasport, 2015.
· KIM, David. Fundamentos de Segurança de Sistemas de Informação. 1. ed. Rio de Janeiro: Gen-LTC, 2014.
· SCUDERE, Leonardo. Risco digital na web 3.0: Criando estratégias de defesas cibernéticas. 1. ed. Rio de Janeiro: Campus, 2016.
Próximos passos
· Segurança da Informação;
· Padrões de segurança;
· Estratégias de segurança.
Explore +
· • Assista aos vídeos:
·    - Bate-papo - Auditoria no processo de fraudes;
·    - Checklist - Lista de Verificação;
·    - Auditoria Informática.
· • Leia o texto:
·    - Como definir o escopo do projeto? 4 processos de entrada fundamentais!