Baixe o app para aproveitar ainda mais
Prévia do material em texto
Investigação - Crimes Cibernéticos e Computação Forense / Aula 4 - Auditoria - A importância da construção da trilha · Introdução Nesta aula, estudaremos o conceito de auditoria e como elaborar suas trilhas para identificar, analisar, avaliar e validar ocorrências que nos levarão ao crime cibernético. Vamos reconhecer a importância da elaboração dos documentos que auxiliam o trabalho da Computação Forense. Além disso, vamos analisar as ações de auditoria que serão realizadas através da trilha. Trata-se de uma importante estratégia para entender os eventos ou ocorrências que levaram à conclusão da prática do crime cibernético. Bons estudos! · Objetivos Descrever conceitos e fundamentos do que é auditoria e como as trilhas de auditoria contribuirão nesse processo. Aplicar estratégias e desenvolver documentação para registro de ocorrências. · Créditos Jarcélen Ribeiro Redator Laís Silva Designer Instrucional Vívian Nunes Web Designer Rostan Luiz Desenvolvedor Nosso estudo está ficando cada vez mais interessante e chegou a hora de estudarmos o conceito de auditoria. Pense um pouco: A auditoria é aplicada apenas na área de gestão e contábil? Corrigir GABARITO É importante desmistificar esse pensamento de que a Auditoria é aplicada apenas na área de gestão e contábil, pois fazemos uso da auditoria também para examinar ações que darão origem a relatórios para esclarecer fatos ocorridos. A auditoria, portanto, é uma prática que identifica se os processos e os controles ocorrem conforme o esperado ou mostra o que ocorreu, dando base ao trabalho de investigação para apurar os fatos. ondemand_videoVídeo. Se a investigação sobre crimes cibernéticos tiver como objeto sistemas, principalmente digitais online ou off-line, a auditoria verificará os pontos importantes para construir o que chamamos de trilha de auditoria. Trilha de auditoria Caminho das ações que ocorreram para chegar a um determinado ponto. Caso ocorra insuficiência de fatos relevantes, é indício de que ainda existe a possibilidade de alguma ação “indevida”. Logo, deve-se começar o monitoramento e a observação dos protocolos de análise e segurança. Fonte: Gorodenkoff / Shutterstock Neste ponto, as perguntas que devem ser feitas são: As políticas de segurança são adequadas? Os controles estão de acordo com a política de segurança? São feitas manutenções efetivas nos controles? São feitas manutenções e implementações na política de segurança? É importante lembrar que a última pergunta deve ser observada com um olhar mais reflexivo, por conta dos cenários que se modificam com a evolução de toda a convergência digital e novas ações. Controle dos nossos acessos Hoje, fora do ambiente corporativo, praticamente não usamos mais e-mail. Em compensação, o número de redes sociais e aplicativos é bem maior. Notamos claramente que a vida virtual evoluiu. Dessa forma, a política e os controles de segurança também precisaram evoluir. Nesse sentido, podemos refletir: Quantos sistemas, aplicativos, e-mails e redes sociais acessamos? Como é feito o controle desses acessos? Hilch / Shutterstock O ideal é que se tenha como protocolo a revisão e a atualização constante ou periódica dos controles e políticas de segurança. Não se esqueça de que, em uma empresa de grande porte, deve haver um departamento denominado, na maioria das vezes, de Governança de TI. Porém, para evitar transtornos, é importante que o usuário comum também crie a cultura de ter sua política de segurança e controle de acessos dentro de padrões seguros. Isso permitirá que eventos inesperados sejam identificados como crimes cibernéticos e não apenas fruto da falta de cuidado. Nesse contexto, analise a seguinte situação: Macrovector / Shutterstock Márcio sempre foi descuidado com os seus acessos. Raramente fecha suas contas em redes sociais ao utilizá-las em um espaço público. Da última vez, descobriu que alguém mal-intencionado, ao encontrar sua conta do Facebook aberta, enviou mensagens para os seus amigos solicitando dinheiro emprestado. Nesta situação, Márcio poderá registrar queixa de crime cibernético? Corrigir GABARITO Seria um crime cibernético devido à ação praticada com má-intenção. Porém, neste caso, o usuário, ao deixar sua conta aberta, acabou sendo o responsável pela invasão. Isso, apesar de não justificar o feito realizado de forma maldosa por terceiro, pode ser entendido apenas como falta de cuidado com o uso da conta. Caso essa ação tenha ocorrido em um lugar público, pode-se verificar se há no local circuito de câmeras. Se houver, pode-se solicitar a filmagem para tentar identificar o invasor. Se não houver câmeras ou aconteça em local privado, é importante monitorar as pessoas e ações. Porém, é essencial alertar que cada usuário é responsável por seus próprios acessos. ondemand_videoVídeo. Padrão do que é ou não aceitável É necessário definir um padrão do que é ou não aceitável, com base nos princípios pessoais ou da filosofia da empresa: Veja os itens que nos ajudarão a compor essa definição: O esquema a seguir nos auxilia na definição do padrão do que é ou não aceitável. Aleksandr Bryliaev / Shutterstock Com base nessas ações aceitáveis e não aceitáveis, vamos sugerir a tomada de decisão conforme o fluxograma. No caso de contratar um profissional específico para investigar o ocorrido, é importante deixar claro que este fará as verificações e encaminhará via relatório. As ações corretivas e preventivas poderão ser sugeridas. Porém, devem estar de acordo com a empresa ou com a pessoa que tomará as decisões. A decisão final se dará com base nos princípios de tomada de decisão das teorias da Computação Forense. Níveis de permissão Para evitar os riscos, os controles precisam estar atualizados e, de forma eficiente e eficaz, estar alinhados com a política de segurança, garantindo um bom trabalho do profissional de investigação que executará o processo de auditoria. Existem níveis de permissão que estão combinados com a estrutura de segurança. Eles são observados antes de se qualificar o ocorrido como crime cibernético. Esses níveis estão de acordo com os controles que serão permitidos e autorizados para determinado usuário. São eles: A auditoria pode ser de um espaço delimitado ou abrangente, dependendo do que ocorreu e do impacto causado. É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Afinal, a auditoria irá rever todos os riscos e se estes poderiam ser evitados. Veja como verificar os controles: · APROPRIADOS O controle é adequado para o risco que ele poderá sofrer ou enfrentar? · INSTALADOS CORRETAMENTE • O controle está no local correto? • O controle foi testado e funciona bem? · FINALIDADE Os controles são efetivos ao risco que poderá sofrer ou enfrentar? Padrão de referência (benchmark) A auditoria deverá seguir um padrão de referência (benchmark), que verificará, antes de qualquer processo, se a configuração está segura. Isso significa que as instruções indicadas devem evitar eventos inesperados, inclusive os que poderão ser qualificados como crimes cibernéticos. Os principais padrões de referências são: ISO 27002; ITIL; COBIT; NIST SP 800; COSO. ondemand_videoVídeo. Coleta de dados e informações Será necessário identificar e coletar dados e informações. Isso é feito de diversas maneiras, mas os principais métodos são: Verificação de controle e gerenciamento de identidade Outro ponto que o auditor especializado não poderá deixar de observar é a verificação de controle e gerenciamento de identidade. Veja os principais pontos: Processo de aprovação; Mecanismo de autenticação; Política e imposição de senha; Monitoramento; Sistemas de acesso remoto. Relatórios São os relatórios que nos darão as informações necessárias para fazer a análise de todo o cenário e estudar a melhor estratégia para a solução. Os relatórios de auditoria devem ter, pelo menos, a seguinte estrutura: 1 Descobertas 2 Recomendações 3 Linha de tempo para implementação Implementação Em caso de recomendações de mudanças 4Nível de risco 5 Resposta ao auditado Auditado Todo auditado e/ou investigado tem direito a resposta. 6 Acompanhamento · SAIBA MAIS Leia o texto “Política de Segurança da Informação: como desenvolver?”. Monitoramento É importante verificar os monitoramentos e averiguar se estes não impedem um trabalho adequado. Em alguns casos, os monitoramentos dificultam a investigação por permitir excluir históricos ou possuir métodos de bloqueios agressivos como, por exemplo, a criptografia. Fonte: SkillUp / Shutterstock Isso encarece o trabalho e cria dificuldade por conta da necessidade de usar outros tipos de recursos e estratégias. Em alguns casos, precisam ser contratados profissionais especializados e estender o tempo. Observar o histórico de “anomalias” é primordial para determinar se realmente os eventos são ataques reais qualificados como crimes cibernéticos ou apenas atividades que geraram ruídos ou eventos secundários. SAIBA MAIS Leia os textos: Brasileiros descobrem falha em sistemas de criptografia; Afinal o que é criptografia? Atividade 1 - Antes de realizar qualquer atividade de auditoria é importante fazer a escolha de um dos muitos métodos para identificar e coletar dados. Sobre isso, analise a situação abaixo: A empresa vem passando por algumas situações e será necessário contratar um profissional de investigação. Afinal, a suspeita são crimes cibernéticos que estão deixando a empresa em risco. Por indicação do profissional especializado, serão aplicados os princípios da auditoria e um método para cada ação. A coleta dos dados será um processo que vai abranger todas as áreas. Com base nesse contexto, veja os métodos abaixo e escolha o mais apropriado para tratar o problema: 1. Questionários; 2. Entrevistas; 3. Observações; 4. Listas de Verificação; 5. Documentação de Revisão; 6. Configurações de Revisão; 7. Política de Revisão; 8. Testes de Segurança. Corrigir GABARITO Para este cenário, o método indicado chama-se listas de verificação, em que os documentos preparados garantem que o processo de coleta de informações abranja todas as áreas. 2 - Em alguns casos, os monitoramentos dificultam por permitir excluir históricos ou por possuir métodos de bloqueios agressivos. Marque a opção do PRINCIPAL EXEMPLO deste método: Entrevista Processo Criptografia Controle Relatório Corrigir 3 - A auditoria, para ser melhor trabalhada, deverá seguir um padrão de referência que verificará, antes de qualquer processo, se a configuração está segura. Marque a opção que possui o NOME TÉCNICO deste padrão de referência: Criptografia Benchmark Protocolo Normas Processo Corrigir 4 - Dependendo do que ocorreu e do impacto causado, o que será auditado pode ser um espaço delimitado ou abrangente. É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Marque a opção que apresenta o MAIOR NÍVEL DE VULNERABILIDADE: Paranoico Promíscuo Prudente Autorizado Permissivo Corrigir Referências desta aula Próximos passos Explore + Referências desta aula · CLARKE, Richard A. Guerra Cibernética: a próxima ameaça à segurança e o que fazer a respeito. 1. ed. Rio de Janeiro: Brasport, 2015. · KIM, David. Fundamentos de Segurança de Sistemas de Informação. 1. ed. Rio de Janeiro: Gen-LTC, 2014. · SCUDERE, Leonardo. Risco digital na web 3.0: Criando estratégias de defesas cibernéticas. 1. ed. Rio de Janeiro: Campus, 2016. Próximos passos · Segurança da Informação; · Padrões de segurança; · Estratégias de segurança. Explore + · • Assista aos vídeos: · - Bate-papo - Auditoria no processo de fraudes; · - Checklist - Lista de Verificação; · - Auditoria Informática. · • Leia o texto: · - Como definir o escopo do projeto? 4 processos de entrada fundamentais!
Compartilhar