Baixe o app para aproveitar ainda mais
Prévia do material em texto
TÉCNICAS E FERRAMENTAS DE AUDITORIA AUDITORIA E SEGURANÇA DA INFORMAÇÃO TÉCNICAS E FERRAMENTAS DE AUDITORIA DE SISTEMA CAPÍTULO I – TÉCNICAS E FERRAMENTAS DE AUDITORIA OBJETIVOS ESPECÍFICOS DO CAPÍTULO No final deste capítulo, o estudante deverá ser capaz de: Compreender as diferentes técnicas de auditoria de sistemas tais como a entrevista, questionário e análise de dados; Descrever as diferentes ferramentas de auditoria de sistemas. 1.1 TÉCNICAS DE AUDITORIA A técnica tem uma aplicação universal, ou seja, pode ser usada em várias áreas da ciência. Sendo assim, a auditoria necessita da técnica para efetivação de suas atividades. A técnica constitui um subsídio extremamente importante no projeto de auditoria numa determinada organização, pois o auditor serve-se da técnica durante o processo de auditoria. Programas de auditoria têm como função realizar o cruzamento das informações de arquivos, analisando o conteúdo dos mesmos. O método que consiste na elaboração de programas de computador para simular as funções da rotina do sistema em operação que está sendo auditado. Utilizam-se os mesmos dados de input, da rotina em produção, como input do programa de simulação. Programas de computador Programas de computador fazem parte de uma categoria de técnicas de auditoria. Esta técnica é baseada em programas de computador (Magalhães, 2011), como veremos a seguir: Simulação paralela Centro Universitário Christus - Unichristus 2 Passos: Análise do fluxo do sistema Identificação do arquivo a ser auditado Entrevista com o analista /utilizador Identificação do código / layout do arquivo Elaboração do programa para auditoria Cópia do arquivo a ser auditado Aplicação do programa de auditoria Análise dos resultados Emissão de relatórios Documentação Seleção de registos (“a” que não está em “b”; “b” que não está em “a” ou que está em “a” e em “b”). Contagem de registos. Soma, cálculo da média, variância, desvio padrão, moda, mediana etc. Confirmação de dados O método que consiste na confirmação dos dados armazenados em um arquivo, através de programas de computador, possibilitando verificar a veracidade dos mesmos. Análise de dados Análise de dados é um método que consiste na análise de arquivos através de programas de computador que poderão realizar, entre outras, as seguintes funções: Seleção de registos; Contagem de registos; Soma, cálculo da média, variância, desvio padrão, moda, mediana, etc; Construção de histogramas; Análise horizontal = comparação entre campos de um mesmo registro; Análise vertical = comparação de campos entre registros. Comparação de dados O método que consiste na comparação entre os registros de dois arquivos “a” e “b”, diferentes, através de programas de computador, com o objetivo de averiguar a existência de possíveis inconsistências que poderão realizar, entre outras, as seguintes funções: Centro Universitário Christus - Unichristus 3 Particularmente, neste caso, deve-se utilizar as técnicas de análise de dados e de comparação de dados, de forma integrada e/ou complementar. Segurança do centro de computação Eficiência no uso dos recursos computacionais A técnica do questionário pode ser aplicada com outras técnicas: entrevistas, “visita in loco” entre outras. O questionário pode ser aplicado à distância, pois não necessita a presença física dos indivíduos envolvidos. Desta forma é possível que ocorra uma auditoria maior com menor número de auditores. A sequência básica de aplicação de questionários à distância é: Analisar o ponto de controle e elaborar o questionário; Questionários Questionário é uma técnica de investigação composta por um número variado de questões com o objetivo de propiciar determinado conhecimento ao pesquisador. No contexto de auditoria informática corresponde à elaboração de um conjunto de perguntas com o objetivo de verificar um determinado ponto de controle do ambiente computacional. Esses aspectos permitem verificar a adequação do ponto de controle aos parâmetros de controle interno (segurança lógica, segurança física, obediência à legislação, eficácia, eficiência etc.). Dois aspectos são críticos na aplicação da técnica de questionário: Características do ponto de controle; Momento histórico empresarial ou objetivos da verificação do ponto de controle. Os objetivos de verificação do ponto de controle vão determinar a ênfase a ser dada ao parâmetro de controle interno. As características do ponto de controle têm agregada a natureza da tecnologia computacional e o correspondente perfil técnico do auditor que irá aplicar o questionário. Dessa forma, podemos ter questionários voltados para pontos de controle cujas perguntas guardarão características intrínsecas referentes a: Segurança em redes computacionais Eficácia de sistemas aplicativos Centro Universitário Christus - Unichristus 4 Selecionar os profissionais auditados que deverão responder ao questionário; Elaborar um conjunto de instruções de como responder às questões; Distribuir/remeter o questionário para os profissionais selecionados; Controlar o recebimento dos questionários respondidos; Analisar as respostas às questões; Formar uma opinião do ponto de controle auditado em decorrência das respostas obtidas; Elaborar relatório de auditoria. Figura 1.1. Etapas de simulação de dados. Fonte: Magalhães (2011). Simulação de dados É a técnica aplicada para teste de processos computacionais. Corresponde à elaboração de um conjunto de dados de teste a ser submetido ao programa de computador ou a determinada rotina que o compõe, que necessita ser verificada em sua lógica de processamento. Evidentemente, uma vez comprovada a inadequação da lógica do processo auditado, podemos decidir pela correção de todos os resultados que forem gerados por aquela rotina irregular. Os dados simulados de teste necessitam prever situações corretas e situações incorretas de natureza: Transações com campos inválidos; Transações com valores ou quantidades nos limites de tabelas de cálculos Transações incompletas; Transações incompatíveis; Transações em duplicidade. Centro Universitário Christus - Unichristus 5 Analisar os papéis de trabalhos obtidos, avaliar respostas e a situação identificada; Emitir opinião via relatório de fraquezas de controle interno. Essa técnica é aplicada em vários pontos de controle clássicos de auditoria de sistemas, como: Inventário de volume de arquivos magnéticos (discos, fitas, disquetes, CDs, DVDs); Inventário de insumos computacionais armazenados em almoxarifado (fitas e/ou cartuchoes de impressora, formulários); Visita à sala de operação/utilização de computadores com o objetivo de verificar problemas de controle de acesso etc.; Algumas características para simulação de dados: O auditor necessita conhecer computação em termos de análise de sistemas; A documentação dos sistemas é deficiente, o que implica o auditor precisar atualizar ou complementar a documentação existente, principalmente no tocante a fluxos de informação e de programas. Muitas vezes a documentação existente compreende somente listagens de programas e fluxos ou sequência de execução de programas de produção; A elaboração do ambiente de teste é complexa, particularmente em programas principais que manipulem grande quantidade de arquivos de entrada, saída e de trabalho. Visita in loco É a visita ao local onde as atividades efetivamente são realizadas para, juntoao pessoal responsável pela operação do sistema, determinar as práticas e rotinas utilizadas. Corresponde à atuação pessoal do auditor junto aos sistemas, procedimentos e instalações do ambiente computorizado. Normalmente, combina com outras técnicas de auditoria de computador, particularmente o questionário. A visita in loco implica o cumprimento dos seguintes procedimentos: Marcar data e hora com o pessoal responsável que irá acompanhar as verificações, ou convocá-la no momento da verificação. Anotar procedimentos e acontecimentos, coletar documentos, caracterizar graficamente a situação via elaboração de fluxo de rotinas e de layout de instalações. Anotar nomes completos das pessoas e data/hora das visitas realizadas; Centro Universitário Christus - Unichristus 6 Acompanhamento da rotina de backup de arquivos magnéticos (se todas as etapas são feitas de forma correta). Mapeamento estatístico Esta técnica de computação que pode ser utilizada pelo auditor para efetuar verificações durante o processamento dos programas: Rotinas não utilizadas; Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. A análise dos relatórios emitidos pela aplicação do mapeamento estatístico permite a constatação de situações: Rotinas existentes em programas já desativadas ou de uso esporádico; Rotinas mais utilizadas, normalmente a cada processamento do programa; Rotinas fraudulentas e de uso em situações irregulares; Rotinas de controle acionadas a cada processamento. Há necessidade de ser processado um software de apoio em conjunto com o processamento do sistema aplicativo, ou rotinas específicas deverão estar embutidas no sistema. Rastreamento de programas Permite seguir a execução do programa determinando todo o caminho que foi seguido por uma transação durante todo o processamento do programa a ser auditado. Seu principal objectivo é identificar as inadequações e ineficiência na lógica de um programa. Técnica que possibilita seguir o caminho de uma transação durante o processamento do programa. Durante a aplicação da técnica, a sequência de instruções executadas é listada. Dessa forma, obtemos os números das instruções segundo sua ordem de execução. Por exemplo 00001-00002-00003-001150-001151-001152- 90190-90191-90192- etc. Quando o teste de alimentação de determinada transação a um programa é realizado, podemos identificar as inadequações e ineficiência na lógica de um programa. Esta abordagem viabiliza a identificação de rotinas fraudulentas pela alimentação de transações particulares. Centro Universitário Christus - Unichristus 7 Análise de relatórios/telas Implica a análise de documentos, relatórios e telas do sistema sob auditoria no tocante a: Nível de utilização pelo utilizador; Esquema de distribuição e número de vias emitido; Grau de confiabilidade do seu conteúdo; Forma de utilização e integração entre relatórios/telas/documentos; Distribuição das informações segundo o layout vigente. Implica no cumprimento das seguintes etapas: Entrevista O método de trabalho que corresponde à realização de reunião entre o auditor e os auditados – profissionais e utilizadores envolvidos com o ambiente ou o sistema de informação sob auditoria. A sequência de procedimentos corresponde a: Analisar o ponto de controle e planejar a reunião com os profissionais envolvidos. Marcar antecipadamente a data, hora e local com os auditados bem como comunicar a natureza do trabalho a ser desenvolvido. Elaborar um questionário para a realização da entrevista. As questões devem ser divididas por parâmetro do controle interno, por área ou por assunto de processamento eletrônico de dados (PED). Realização da reunião com aplicação do questionário e anotação das respostas e comentários dos entrevistados a cada questão efetuada. Dependendo do nível de sensibilidade das questões, as reuniões devem ser individuais; Os níveis hierárquicos das áreas auditadas devem ser respeitados, comunicando aos superiores a natureza das entrevistas com os subordinados. Elaboração de uma ata de reunião com o registro dos principais pontos discutidos a cada questão apresentada. Distribuir cópia da ata da reunião para cada participante da entrevista. Análise das respostas e formação de opinião acerca do nível de controle interno do ponto de controle. Emissão do relatório de fraquezas de controle interno. A técnica de entrevistas é frequentemente usada com outras técnicas de auditoria, visita in loco, questionário, entre outros. Centro Universitário Christus - Unichristus 8 Relacionar por utilizador todos os relatórios/telas/documentos que pertençam ao ponto de controle a ser analisado. Poderá ser feita uma classificação desses relatórios para efeito de estabelecimento de prioridades na análise; Obtenção de modelo ou cópia de cada relatório/documento/tela para compor a pasta de papéis de trabalho; Identificação de ineficiência no uso do computador; Apurar o problema de balanceamento da configuração do computador, pela caracterização de dispositivos (unidade de disco, fita magnética, impressora, terminais) que estão com folga ou sobrecarregados; Elaborar um questionário para a realização dos levantamentos acerca dos relatórios/telas/documentos; Marcar antecipadamente a data e hora com as pessoas que fornecerão opinião acerca dos relatórios; Realizar as entrevistas e anotar as observações e comentários dos utilizadores; Analisar as respostas, formar e emitir opinião acerca do nível de controle interno. Principais fraquezas a identificar: a) Relatórios/telas/documentos não mais utilizados; b) Layout inadequado; c) Distribuição indevida de vias; d) Confidencialidade não estabelecida ou não respeitada. Esta técnica é primordial para avaliação do parâmetro eficácia do sistema. As conclusões do trabalho, frequentemente, possibilitam redução de custo com a desativação total ou parcial de relatórios/telas/documentos. Análise de log/accounting O Log/Accounting é um arquivo, gerado por uma rotina componente do sistema operacional, que contém registros de utilização do hardware e do software que compõem um ambiente computacional. A tabulação destes arquivos Log/Accounting permite a verificação da intensidade de uso dos dispositivos componentes de uma configuração ou rede de computadores, bem como o uso do software aplicativo e de apoio. Tanto a rotina quanto o correspondente arquivo de Log/Accounting foram desenvolvidos para serem usados pelo pessoal de computação. Excelente ferramenta para a auditoria de sistema para: Centro Universitário Christus - Unichristus 9 Determinação de erros de programas ou de operação do computador; Descobrir o uso de programas fraudulentos ou utilização indevida do computador; Captar tentativas de acesso indevido a arquivos, ou seja, por senhas não autorizadas. O sistema de monitorização de uso de software e de hardware existente; O layout dos registos gerados no arquivo log/accounting; As opções possíveis de rotina de job/accounting; O tempo de retenção do arquivo log/accounting. b) Decidir que tipos de verificações serão efetuados nos dados do arquivo de log com período de tempo que será contemplado, quando será efetuado o teste etc. O trabalho da área de computação sobre Log/Accounting deve gerar Indicadores de Qualidade (IQ) do monitoramento do computador, bem como estudos de planejamento de capacidade da configuração/rede de equipamentos, com a finalidade de obter maior rendimento do parque computacional dentro de um nívelde segurança adequado. O auditor poderá construir um software para auditoria de Log/Accounting, o qual trabalhará registos de: a) Contabilização Quais utilizadores utilizam quais programas e por quanto tempo; Identificação do utilizador, características do hardware necessário para trabalhar o “Job” (sequência de programas) e como o “Job” foi completado. b) Atividade dos arquivos Quais arquivos de dados foram usados durante o processamento e que utilizador solicitou o uso do arquivo; Registo: nome do arquivo, tamanho do registo, número de série do volume e utilizador do arquivo. Para esta técnica o auditor deverá: a) Entrevistar o pessoal de software básico e do planejamento e controle da produção para entender: Centro Universitário Christus - Unichristus 10 É importante ressaltar que esta técnica exige profundos conhecimentos técnicos por parte do auditor de sistemas. Entretanto, a análise visual do código fonte do programa auditado permite ao auditor: Verificar se o programador cumpriu normas de padronização do código de rotinas, arquivos, programas; Analisar a qualidade da estruturação dos programas; c) Elaborar e aplicar o programa de computador de auditoria de Log, ou utilizar a mecânica de análise do Log praticada pelos profissionais de computação; d) Analisar os resultados da tabulação do Log; e) Emitir opinião acerca da qualidade do uso do hardware e do software em determinado período de tempo. Existem dois tipos de Log: 1. Aqueles que registam o uso da CPU, dos arquivos, da carga e do nível de utilização dos dispositivos computacionais. 2. Log de transações, ou seja, um arquivo que regista todos os dados que foram processados/transmitidos. Este tipo de arquivos de Log é comum em ambiente “online” no qual todas as transações processadas ficam registradas em um arquivo - log de transações - para posterior uso ou análise. Análise do programa fonte Implica a análise visual do código fonte do programa de computador do sistema sob auditoria. O auditor de sistemas necessita assegurar-se de que está testando a versão correta do programa. O auditor pode verificar as instruções que efetivamente compõem o programa em linguagem de máquina executando os seguintes procedimentos: Preencher uma ordem de serviço determinando à produção que compile o módulo fonte que está na biblioteca fonte; Executar um programa (software específico) que compare o código objeto gerado com código objeto do programa que está em produção; Fazer as devidas verificações no caso de divergência dos códigos comparados. Centro Universitário Christus - Unichristus 11 Detectar vícios de programação e o nível de atendimento às características da linguagem de programação utilizada. Exibição parcial da memória “snapshot” Snapshot é o estado do sistema em um determinado ponto no tempo. Esta técnica fornece uma listagem ou gravação do conteúdo das variáveis do programa (acumuladores, chaves, áreas de armazenamento) quando determinado registo está sendo processado. A quantidade de situações a serem extraídas é pré determinada. Corresponde na realidade a um “dump” parcial de memória das áreas de dados. É uma técnica usada como auxílio à depuração de programas, quando há problemas e exige fortes conhecimentos de processamento eletrônico de dados por parte do auditor de sistemas. Ciclo PDCA (Plan DO Check and Action) É um ciclo de gestão a ser seguido para que seja feita a auditoria de forma mais organizada. Como podemos ver na figura 1.2, o ciclo PDCA abrange as seguintes etapas: Planear - Plan (P), Executar - Do (D), Verificar – Check (C) e Actuar – Action (A). Figura 1.2. Ciclo PDCA. Fonte: Cannon (2008). Apresenta as seguintes características: Definir as metas (Planejar – P); Definir os métodos que permitirão atingir as metas propostas (Planejar – P); Educar e treinar (Executar – D); Executar a tarefa – coletar dados (Executar – D); Verificar os resultados da tarefa executada (Verificar – C); Atuar corretivamente (Atuar – A). Centro Universitário Christus - Unichristus 12 1.2 FERRAMENTAS DE AUDITORIA DE SISTEMAS No processo de auditoria de sistemas é importante termos ferramentas que auxiliam o auditor de sistemas a alcançar os seus objetivos. Estas auxiliam na extração, sorteio, seleção de dados e transações, para a análise de discrepâncias e desvios. As ferramentas de auditoria podem ser classificadas em generalistas, especializadas e de uso geral (Teruel, 2010). Como o processamento das aplicações envolve gravação de dados (arquivos) em separado para serem analisados, poucas aplicações podem ser feitas em ambiente on-line; O software não consegue processar cálculos complexos, pois como se trata de um sistema generalista, não aprofunda na lógica e na matemática muito complexas. A seguir apresentamos as principais ferramentas generalistas: Softwares generalista de auditoria de tecnologia da informação Envolve o uso de software aplicativo em ambiente “batch”, que pode processar, além de simulação paralela, uma variedade de funções de auditoria e nos formatos que o auditor desejar. As vantagens de uso deste tipo de ferramentas são: Pode processar vários arquivos ao mesmo tempo; Pode processar vários tipos de arquivos com formatos diferentes, por exemplo EBCDIC (Extended Binary Coded Decimal Interchange Code) ou ASCII (American Standard Code for Information Interchange); Poderá também fazer uma integração sistémica com vários tipos de softwares e hardwares; Reduz a dependência do auditor do especialista de informática para desenvolver aplicativos específicos para todas as auditorias de sistemas de informação. As desvantagens são: Centro Universitário Christus - Unichristus 13 Data Extraction & Analysis) software para extração e análise de dados também desenvolvido no . a amostra ou extrato de praticamente qualquer fonte – desde um (Personal Computer), incluindo relatórios impressos em o sítio Web de IDEA, podem ser citadas: Não há limite para o número de registos que a IDEA pode processar; Compara, junta, acrescenta, e conecta diferentes arquivos de diversas fontes. Audimation É a versão norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte para o produto. O Audimation ajuda profissionais de contabilidade e da área financeira a aumentar suas capacidades analíticas de auditoria, detectar fraudes e atender aos padrões de documentação. Permite importar rapidamente, juntar, analisar, a amostra e extrair dados de quase qualquer fonte, incluindo relatórios impressos ACL (Audit Command Language) É um software de extração e análise de dados desenvolvido no Canadá; O sistema foi criado e é fornecido pela empresa canadense ACL Business Assurance. É uma das ferramentas mais modernas para extração de informações de banco de dados, tratamento e análise, visando detectar erros e riscos gerais do negócio associados a dados transacionais incompletos, imprecisos e inconsistentes. O diferencial em relação a softwares como Excel e Access é que a ACL pode trabalhar com grandes volumes de transações distribuídas em diversas operações e em sistemas diferentes. IDEA (Interactive É um Canadá O IDEA pode ler, exibir, analisar e manipular arquivos de dados a partir de mainframe até um PC um arquivo. Dentre as vantagens, segundo Cria um registo de todas as alterações feitas em um arquivo (banco de dados) e mantém uma trilha de auditoria ou registo de todas as operações, incluindo a importação e todos os testes de auditoria, realizadas na basede dados; Cada entrada é identificada com o ID de utilizador a partir do login do Windows; Permite importar e exportar dados em uma variedade de formatos, incluindo formatos para computadores de grande porte e software de contabilidade; Pode ler e processar milhões de discos em poucos segundos; Centro Universitário Christus - Unichristus 14 Apresenta resultados em gráficos coloridos com alta resolução; Produz relatórios sensíveis ao contexto e popula automaticamente documentos MS Office com base em relatórios de auditoria e formulários; em um arquivo. Este possui recursos para detectar fraudes, avaliar riscos, testar controles internos em conformidade com as políticas internas e regulamentações. Segundo o sítio Web da AUDIMATION, essa ferramenta disponibiliza uma interface com o utilizador projetada com assistentes para funções-chave. É baseada em características do padrão Windows, o que significa que não precisa ser um técnico especializado para obter resultados. Galileo É um software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna; É um gestor de auditoria integrada, desenvolvido pela Risk & Assurance, uma empresa prestadora de serviços de auditoria interna. O Galileo disponibiliza um sistema de documentação e informação que pode ser adaptado às necessidades específicas de uma auditoria interna, investigações, conformidade com as leis etc. O Teruel (2010) citando o sítio Web da GALILEO, afirma que essa ferramenta oferece uma metodologia baseada em auditoria completa dos riscos e cobre: O planejamento estratégico anual, que garante orientação das áreas de alto risco, mantendo a cobertura; Atividade de monitoramento e garantia de que problemas sejam identificados e atendidos com a maior brevidade; Levantamentos de auditoria para obter um feedback sobre o processo de auditoria, indicadores de desempenho e gestão de informações para todas as atividades realizadas pelo departamento. Pentana É um software de planejamento estratégico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gestão de plano de ação. O sítio Web da PENTANA, afirma que as principais características dessa ferramenta são: Centro Universitário Christus - Unichristus 15 Programas utilitários Segundo Magalhães (2011) existem softwares, embora não específicos para atividade de auditoria, que também são utilizados com esse propósito, sendo possível citar como exemplos as planilhas electrónicas, como excel, softwares de gestão de base dados, como Acess e MySQL, ferramentas de Business Intelligence, como Business Objects, softwares estatísticos entre outros. Nesta caso, o auditor utiliza softwares utilitários para executar funções muito comuns de processamento, como ordenar arquivo, sumarizar, concatenar, gerar relatórios. Gera relatórios em tempo real em todas as linhas de negócios; Proporciona acesso simultâneo a todos os trabalhos de auditoria para revisão do auditor líder para que ele possa gerir e aprovar sem a necessidade de transferência do documento; Possui conformidade com padrões internacionais de análise de riscos e auditoria; incluindo Sarbanes-Oxley, AS/NZS 4360, Basiléia II e COSO; Substitui planilhas pesadas por um robusto e flexível sistema de banco de dados, escalável e facilmente acessível. Softwares especialistas de auditoria Consistem em programas desenvolvidos especificamente para certas tarefas em certas circunstâncias. As vantagens de uso destas ferramentas são: Pode atender sistemas ou transações não contempladas por softwares generalistas; O auditor, quando consegue desenvolver softwares específicos numa área muito complexa, pode utilizar isso como vantagem competitiva. As desvantagens são: Pode ser muito caro, pois terá uso limitado e normalmente restrito a determinado cliente; Atualização pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias. Centro Universitário Christus - Unichristus 16 Acesso a relatórios que mostram o nível de acesso aos computadores, tais como horários de logins e logouts. A seguir são apresentados alguns desses softwares: Suíte Trauma Zer0 O Suíte Trauma Zer0, desenvolvido pela empresa gaucha iVirtua Solutions, é uma solução para gestão de redes. Possui recursos para realizar descoberta de software e tipos de arquivos, A principal vantagem dessa ferramenta é: pode ser utilizado como alternativa na ausência de outros recursos. A desvantagem é: sempre necessitará do auxílio do funcionário da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados). Softwares de controle de atividades de funcionários Enquanto os softwares apresentados anteriormente são utilizados principalmente na auditoria financeira, contábil e fiscal, há softwares específicos para auxiliar na auditoria, principalmente no que diz respeito à segurança da informação. Esses softwares são utilizados para controlar as atividades dos funcionários e permitem a gestão da rede e comunicações. Eles ajudam a evitar que a empresa seja lesada através de espionagem industrial, da engenharia social, de colaboradores enviando currículos e mantendo contato com a concorrência, ou mesmo com envio displicente de informações estratégicas da empresa, que nas mãos da concorrência podem causar prejuízos irreparáveis. Os principais serviços oferecidos por esses softwares são: Rastreamento e registo automático tanto de mudanças de localização como de configuração para dispositivos como alertas de mudanças, criando um rastro preciso; Auditoria das máquinas de utilizadores remotos através de qualquer conexão IP; Base de dados aberto compatível com ODBC (Open Database Connectivity) que permite fácil exportação dos dados de auditoria para outras soluções complementares; Criação de regras de notificação para quando o sistema de um computador com agente for alterado, tanto na parte de Hardware quanto de software; Centro Universitário Christus - Unichristus 17 rastreamento de localização física de recursos, categorização de utilização de software, auditoria remota, comunicação e acesso seguros, bloqueio de aplicações e URL etc. Dentre os recursos dessa ferramenta destaca-se o que permite auditar a máquina de utilizadores remotos através de qualquer conexão IP (conexão remota à rede, VPN (Virtual Private Network), Internet discada etc.). De forma imperceptível ao utilizador, o Tz0 E-mail Sondas, um módulo do Suite Trauma Zer0, monitora todas as mensagens que circulam pela rede da empresa. Através de condições ligadas às ações, é possível filtrar, por exemplo: assuntos, textos, pessoas, e documentos referenciados no título, no corpo da mensagem, e até mesmo dentro de anexos, dentre diversos outros cenários. O Tz0 E-mail Sondas age integrado com o sistema operacional, permitindo que e- mails assinados e encriptados (com qualquer tecnologia) sejam monitorados como os demais, em um processo impossível de ser burlado. MailDetective Segundo o sito Web da HENIQ, o MailDetective é um software desenvolvido pela empresa russa AdvSoft e comercializado no Brasil pela empresa HENIQ NET. É uma ferramenta utilizada para o monitoramento do uso do correio eletrônico na organização. Ele analisa os registos de utilização (arquivos log) do servidor de correio eletrônico, fornecendo relatórios de utilização, mensagens enviadas e recebidas e volume de tráfego (inclusive por utilizadores e endereços de destinatários). OMailDetective permite controlar o percentual de e-mails pessoais e profissionais, identificar quem são os interlocutores dos funcionários, estimar o tráfego de e-mails gerado por cada utilizador e criar relatórios para intervalos de tempo específicos. A HENIQ.NET também comercializa o WebSpy, uma solução que oferece análises detalhadas, monitoramento e relatórios a respeito da utilização da Internet e e-mail, individualmente, por departamentos ou toda organização. WebSpy oferece também soluções para captura de dados completos e alerta em tempo real. Velop Escudo A Inova desenvolve e fornece sistemas de e-mail e colaboração, auditoria no tráfego de e-mails e produtos que agregam valor a conectividade para empresas, provedores, e operadoras de celular. Possui uma ferramenta para realizar auditoria no tráfego de e-mails que permite auditar, controlar, proteger e monitorar em tempo real os utilizadores de e-mail. Centro Universitário Christus - Unichristus 18 EXERCÍCIOS 1) Diga para que servem os programas de auditoria e em que consiste a simulação paralela 2) Em que consiste o questionário de uma auditoria informática? 3) O que entende por simulação de dados? 4) Liste quatro técnicas de auditoria informática. 5) O que é e para que serve o ciclo PDCA? Permite um monitoramento on-line, dando uma melhor visibilidade na utilização dos e-mails. Segundo o sítio Web da INOVA, essa ferramenta é importante para evitar perda de produtividade, bloquear as malas diretas (spam), prevenir ataques de vírus, prevenir interrupções nos negócios e congestões na rede, racionalizar recursos de computação, minimizar o risco potencial de infrações legais e de ações judiciais no trabalho, acompanhar e quantificar os resultados em tempo real, controlar e fazer cumprir a política de e-mail da empresa e limitar o abuso do e- mail (por exemplo, arquivos de áudio, vídeo, executáveis etc.). MailMarshal Exchange e IQ.Suite for Domino O MailMarshal Exchange é uma solução comercializada pela Gaia Informática, que monitora e controla a troca de mensagens interna de corporações que utilizam o Microsoft Exchange 2003/2000, auxiliando na garantia de um ambiente de trabalho seguro e produtivo, na implementação de Políticas de Uso Aceitável (AUP), e na proteção contra spams e vírus. A Gaia comercializa também o Q.Suite for Domino, uma solução que disponibiliza a funcionalidade de segurança e gestão para uma implementação de estratégias de ciclo de vida de e-mails. Desde criptografia, proteção contra vírus, e filtro de conteúdo, até classificação e armazenamento, os e-mails são submetidos a todos estes processos em uma única plataforma, sem alterar o seu ciclo de vida. Outra solução comercializada pela Gaia Informática é o WebMarshal, um software para controlar o acesso dos funcionários à Internet: combinando filtro de URL, antivírus, antispyware, controle de conteúdo e gestão de produtividade em uma única solução, de fácil gestão. Segundo o sítio Web da GAIA, WebMarshal permite a implementação de políticas de segurança, e uso aceitável da Internet a partir do gateway corporativo, provendo um ambiente de trabalho seguro e eficiente. WebMarshal permite controlar o acesso dos funcionários ao conteúdo inapropriado, gerir o uso pessoal da Internet por parte dos funcionários e proteger a organização contra vírus, spyware e outras formas de código malicioso. 6) Classifique as ferramentas de auditoria e liste as vantagens de uma delas Centro Universitário Christus - Unichristus 19 CAPÍTULO II – TÉCNICAS DE AUDITORIA DE SISTEMAS OBJETIVOS ESPECÍFICOS DO CAPÍTULO No final deste capítulo o estudante deverá ser capaz de: Compreender os mecanismos de controle ao nível da entidade auditada; Compreender a anatomia de um desastre e formas de sua recuperação; Compreender as técnicas de auditoria de várias categorias de sistemas; CONTROLE AO NÍVEL DA ENTIDADE Analisar a estrutura organizacional para compreender se esta fornece uma clara distribuição de poderes e responsabilidades nas operações efetuadas. A 2.1. Para garantir a uniformidade de controle interno, é necessário estabelecer e promover uma visão generalizada dos elementos envolvidos na organização. Avalia-se detalhadamente as atividades ao nível de processos, neste caso é necessário também levar em consideração as aplicações menos tangíveis, mas indispensáveis no processo em geral. Segundo Santos e tal. (2008), os controles de entidade podem/devem estender- se a todas as áreas da organização de forma a obter um melhor resultado. Um dos constrangimentos que o auditor se depara neste item é a definição do que deve ou não ser considerado uma entidade, isso depende de organização para organização. Uma estrutura organizacional mal definida pode levar a uma indefinição das responsabilidades e/ou das funções causando falhas em algumas atividades que poderão ser executadas de forma redundante ou suprimida. Para melhor definir quais os controles de entidade a aplicar às entidades da organização, são indicados a seguir alguns controles que o auditor deverá ter em conta (Champlain, 2003): Centro Universitário Christus - Unichristus 20 Analisar os processos de avaliação de riscos inerentes às TIs. Sem esta avaliação a organização desconhece os riscos que corre para atingir os seus objetivos. A tomada de consciência destes riscos deverá influenciar a tomada de decisões para atenuar esses mesmos riscos. Avaliar processos para se assegurar que os colaboradores da organização têm as competências e o conhecimento necessários à execução das suas funções. Colaboradores indevidamente preparados e qualificados vão ter uma influência negativa sobre o desempenho das TIs na organização. indefinição destas funções pode levar ao aparecimento de atividades fraudulentas. Analisar o planejamento de processos para ter a certeza de que estes vão ao encontro dos objetivos da organização. Ao reavaliar estes processos o auditor está a monitorar se estes convergem de acordo com o plano estratégico da organização. Avaliar se as tecnologias e as aplicações existentes assim como o manuseamento das mesmas estão a evoluir de acordo com um plano estratégico de longo prazo. A área das tecnologias de informação é uma área em rápida e constante evolução, pelo que é necessário que as organizações tenham planos de mudança para compreender antecipadamente as suas necessidades. Avaliar indicadores de desempenho e comparar com os Service Level Agreements (SLAs) (em português pode traduzir-se para níveis de aceitação do serviço) existentes para cada processo na área das TI (Tecnologia de Informação). As TIs são a base de muitos processos existentes nas organizações e se não existirem medidores de desempenho e SLAs adequados é difícil determinar se a infraestrutura de TI está a dar uma boa resposta às necessidades impostas. Verificar os processos existentes de forma a estabelecer necessidades e prioridades para novos projetos. Esta verificação e atribuição de prioridades devem ser feitas de uma forma estruturada para que os recursos sejam disponibilizados de forma eficiente satisfazendo as necessidades e objetivos estabelecidos. Avaliar normas de decisão da execução de projetos na área das TIs garantido a boa qualidade dos produtos adquiridos pela organização. Garantir que as políticas de segurança existentes são eficazes e aplicadas corretamente, para isso é importante definir mecanismos que garantam o conhecimento e o cumprimento das mesmas dentro da organização. Centro Universitário Christus - Unichristus 21 Analisar e avaliar os processos de controle sobre os acessos remotos efetuados à organização.Ao disponibilizar este tipo de acessos, a rede da organização alarga-se para além do perímetro normal de funcionamento. Este tipo de acessos deve ser alvo de uma especial atenção, porque o uso indevido dos mesmos pode levar ao comprometimento da segurança na rede. Analisar as políticas e processos de atribuição de responsabilidades sobre os dados da empresa com os quais cada colaborador vai lidar. A classificação correta dos dados, a sua proteção de acordo com a importância e ainda a definição do seu ciclo de vida, leva a uma racionalização dos custos necessários à manutenção e à prevenção de extravio. Assegurar que existem processos eficazes que obrigam ao cumprimento das regras existentes para a área das TIs. Analisar, avaliar e criar processos que garantam que os utilizadores tenham a capacidade de reportar os problemas encontrados na execução das suas tarefas de interação com as TIs. Estes utilizadores devem estar em consonância com as decisões tomadas nesta área e satisfeitos com o serviço prestado pela mesma. Avaliar processos de gestão de serviços prestados por outras organizações na área das TIs, garantido que as suas funções e responsabilidades estão claramente definidas. Analisar e avaliar acessos efetuados por organizações externas ao SI (Sistema de Informação). Estes acessos estão normalmente associados ao suporte de alguns serviços na área das TIs. Tratando-se de entidades externas à organização estas podem não conhecer ou não compactuar com as políticas da organização colocando em risco o seu bom funcionamento. Avaliar os processos que garantam que a organização tenha as licenças de software regularizadas. A facilidade com que um colaborador pode copiar um software a partir da Internet ou de qualquer tipo de suporte de armazenamento de dados é imensa. Para prevenir é necessário que exista uma listagem das licenças válidas na organização e efetuar uma procura de software não listado numa amostra de computadores permitindo assim avaliar todo o universo da empresa. Em caso de falha os processos devem ser novamente revistos. Centro Universitário Christus - Unichristus 22 ERAÇÃO DE Tipos de Desastre Os desastres podem ter as mais diversas origens, embora estas se enquadrem Assegurar que os processos de contratação e cessação de serviços são claros e estão de acordo com o objecivo dos mesmos. A falha num destes processos pode levar a que a organização seja alvo de acessos indevidos e abuso de privilégios que podem comprometer a segurança da informação. Avaliar as políticas de gestão que controlam as mudanças e aquisições de hardware. Esta gestão deve monitorar os movimentos do hardware e também prevenir a acumulação de recursos desnecessários e alocação ou aquisição de novos onde estes são mais necessários. Assegurar o controle e a gestão de configurações de todos os SIs de acordo com as mudanças efetuadas na estrutura de forma a evitar indisponibilidades. Garantir que os meios de transporte, armazenamento e reutilização e eliminação de dados sejam efetuados de acordo com as políticas da organização. Os dados de uma Organização são vitais para a sua sobrevivência, a sua perda ou extravio pode ter graves consequências. Verificar se os processos de monitorização e planeamento de mudanças dos processos na área das TIs vão ao encontro das políticas e necessidades da organização. 2.2. CENTROS DE DADOS E RECUP DESASTRES Anatomia de um Desastre Todo cuidado é pouco no que diz respeito às tecnologias de informação envolvidas numa organização. Nas organizações podemos encontrar servidores de base dados, de aplicações, de ficheiros entre outros. Para um pleno funcionamento desses servidores é imprescindível a segurança dos mesmos, ou seja, deve-se garantir a segurança lógica e física. Neste caso, o não cumprimento da segurança pode originar desastres. Tavares et al. (2003), afirma que um desastre consiste num acontecimento imprevisto que origina perdas e dificuldades à organização, afetando significativamente, de forma negativa, a sua capacidade para executar serviços essenciais. A quantidade de possibilidades de concretização destes acontecimentos encontra-se em paralelo na variedade das formas como os danos são produzidos. Centro Universitário Christus - Unichristus 23 tipicamente no seguinte conjunto (Tavares et al., 2003): Fenômenos ou outras causas naturais (ventos ciclónicos, terremotos, inundações, etc.); Incêndios; Explosões; Falhas de energia; Falhas mecânicas; Falhas infraestruturais; Distúrbios sociais (tumultos, manifestações, guerras, etc.); Erros humanos; Crimes; Acidentes biológicos ou químicos; Impactos de veículos terrestres/aéreos/navais. O objetivo da criação de um plano de recuperação ou continuidade do negócio é, então, o de garantir que a recuperação das funções críticas da organização ocorra de forma suficientemente rápida, de modo a garantir que a sua Cronologia Um incidente não resulta automaticamente ao desastre, é preciso avaliar as consequências do tal incidente. Muitos dos casos provocam apenas um pequeno período de indisponibilidade, ou seja uma emergência. Por exemplo, a indisponibilidade de sistema por motivo de manutenção do mesmo, trata-se de emergência. Um desastre resulta de um incidente que afete a capacidade da organização em realizar as atividades de suporte aos seus processos críticos, durante um período superior ao limite máximo tolerado pelas funções do negócio (Tavares et al., 2003): O ideal é termos um sistema que funciona 24 horas por dia, mas por inércia pode ocorrer um desastre. Neste processo, vários sistemas da organização ficam inoperacionais. Por exemplo, quando há falhas de sistema de um servidor de endereços IP, ou simplesmente servidor DHCP, nesta situação não há comunicação na organização. Uma vez ocorrido o desastre, o principal objetivo do negócio será, então, o de retomar todas as suas atividades críticas o mais rapidamente possível, o que acontecerá no período de recuperação. A figura 2.1. apresenta o esquema do desenrolar cronológico de um acidente, representando as várias fases: perda de funções críticas, declaração de desastre, recuperação das funções críticas e regresso à normalidade. Centro Universitário Christus - Unichristus 24 viabilidade não seja comprometida. Naturais: acontecimentos meteorológicos, inundações, sismos ou incêndio; Causadas pelo homem: tais como atos terroristas, roubo, sabotagem; Causadas devido ao ambiente que rodeia o centro de dados, tais como temperaturas extremas ou umidade; Falha de utilitários como a eletricidade ou telecomunicações. O auditor deve analisar o ambiente do centro de dados ou seja a vizinhança do Figura 2.1. Fases de um desastre. Fonte: Tavares et al. (2003). É extremamente importante manter a disponibilidade dos sistemas de informação, podendo funcionar 24 horas por dia e 7 dias por semana. Além de manter os serviços sempre a funcionar, a segurança da informação também é uma preocupação. Segundo Santos et al. (2008), centros de dados representam uma boa resposta, uma vez que estes garantem um ambiente seguro o que minimiza as possibilidades de surgir uma quebra de segurança. Um centro de dados deve, portanto, seguir e manter altos padrões de segurança de forma a garantir a integridade e a funcionalidade dos seus servidores e dos serviços mantidos por estes. O objetivo de um centro de dados é hospedar os sistemas de informação que são críticos para a organização. Estes sistemas são constituídos pelo hardware e software (sistema operacionais e aplicações) e estes podem ser afetados por todo o ambiente que os rodeiam (rede, edifícioetc). As maiores ameaças que podem surgir são (Champlain, 2003): Centro Universitário Christus - Unichristus 25 centro de dados. A meta a atingir será identificar as ameaças mais críticas que poderão surgir; para conseguir o auditor deverá seguir as seguintes recomendações (Santos et al., 2008): A orientação do edifício, sinalização, vizinhança, iluminação externa, perigos ambientais e a proximidade com serviços de emergência. Verificar se existem limites e controle na proximidade de veículos e entrada de pessoas no edifício, o recinto externo deverá ter barreiras para os veículos. As barreiras deverão também limitar os acidentes ou ataques com carros bomba. A sinalização não deverá existir, pois os centros de dados devem ser anônimos, longe das vias de comunicação principais e sem serem (ou evitarem ser) visíveis, i.e., passarem despercebidos. Vizinhança, aqui a questão é, que entidades estão localizadas na zona do edifício. Estão perto do edifício? A que tipo de serviços/produtos estão associados? O fato de estar perto de uma fábrica ou armazém, por exemplo, pode aumentar o risco do centro de dados ser afetado por fugas de materiais venenosos ou incêndios. O ideal seria um edifício só para esse efeito e isolado. Outra situação a analisar é a iluminação exterior. Uma iluminação adequada pode evitar crimes e mesmo que as pessoas vagueiem por perto. Edifícios críticos devem ter muros/vedações e o seu perímetro ser bem iluminado e com uma boa intensidade de modo a permitir boa visibilidade a uma distância razoável. O edifício deve estar preparado para lidar com inundações, mais uma vez evitar áreas de risco além de evitar que o piso de entrada no edifício esteja ao nível do solo. Deve igualmente evitar colocar um centro de dados em áreas com elevado risco de sismos ou de tempo inconstante, que permita tempestades e furacões. Aconselhável, como já se referiu, é localizar o centro de dados numa área que seja possível um rápido socorro pelos serviços de emergência. Existem muitos acessos a informação crítica e acidentes no centro de dados devido a um deficiente controle ao acesso do mesmo. Logo a forma como é feito o controle e identificação das pessoas que acedem ao centro de dados é fundamental. Podemos identificar os seguintes mecanismos de controle de acesso: portas e paredes exteriores; procedimento de acesso; mecanismos de autenticação física; seguranças e outros usados para proteção de zonas específicas e sensíveis. Centro Universitário Christus - Unichristus 26 Fontes de alimentação redundantes alimentadas partir de duas ou mais centrais eletricas; Ligação à terra para escoar excessos de corrente; Transformadores para controlar picos de tensões eléctricas; UPS (nobreak) para garantir corrente por períodos curtos; A primeira linha de defesa são as paredes e portas usadas na construção do edifício, logo os auditores têm que analisar de forma aprofundada se estas protegem contra intrusão. As paredes devem ser feitas de cimento e reforçadas com aço. O auditor deve ter especial atenção às condutas de ar condicionado e de cabeamento e verificar se estão devidamente protegidas contra tentativas de acesso ao centro de dados. Devem ser usadas armadilhas do tipo corredores, onde há uma porta de entrada onde se deve autenticar, quando entra a porta fecha-se. Apresenta-se então outra porta, onde a pessoa terá de autenticar-se novamente, se não conseguir fica presa no corredor. Para autenticação da pessoa devem-se usar tecnologias como cartões magnéticos, biometria, leitores de impressões digitais, leitura da íris, cartões de proximidade (usando o raio frequência para autenticação) etc. O auditor deve validar os registos dessas entradas, que além da identificação das pessoas que entraram, deve verificar horas de entrada, sítio onde entrou e se houve falhas na autenticação. Como é sabido, os computadores e material de informática requerem condições ambientais específicas para o seu funcionamento, como a temperatura e umidade. O auditor deve verificar o aquecimento, ventilação e o ar condicionado e garantir que se conseguem manter temperaturas constantes. Há que ter em atenção a umidade, se for alta pode corroer os aparelhos, por outro lado se for baixa pode causar o aparecimento de eletricidade estática. Deverá analisar também se existe proteção electrônica dos equipamentos que impeçam a ocorrência de interferências magnéticas/eletricas. Os sistemas de informação necessitam de alimentação eletrica contínua e limpa (sem picos de tensão). Os centros de dados usam diferentes tipos de controles para garantir esse tipo de alimentação eletrica: Centro Universitário Christus - Unichristus 27 Também no que diz respeito á umidade, deverá ser verificada através de sensores. Os sensores de umidade devem ser configurados de modo que enviem alertas para as pessoas que estarão de prevenção. Mais uma vez, cabe ao auditor verificar que estes alarmes estão colocados no local correto. Devido ao grande risco de incêndios num centro de dados, este deverá possuir um sofisticado sistema de prevenção contra incêndios, baseado na construção do edifício, na existência de extintores nos pontos-chave, e lidar eficazmente com materiais perigosos. Geradores para produzirem energia eletrica na existência de falhas mais prolongadas da energia pública. Os centros de dados devem estar equipados com diversos tipos de alarme que permitam monitorar e evitar o acesso aos sistemas, incêndios, água, temperatura e umidade. Provavelmente o alarme mais importante será o que impede o acesso físico ao centro de dados, para isso podemos ter sensores em locais estratégicos e nas portas e entradas. Poderemos ter também detectores de movimento, sensores por contato, por exemplo nas portas e janelas, e áudio sensores que detectam quebra de vidros, por exemplo, e outras alterações ao nível do ambiente sonoro normal. Quanto aos sensores de incêndio o auditor poderá ter que analisar: Sensores de calor – que são ativados quando se atinge determinada temperatura; Sensores de fumaça – ativados assim que seja detetado fumaça; Sensores de chamas – ativados quando acusam energia de infravermelhos ou a propagação de uma chama. Outras recomendações: Os sensores de calor e fumaça são os mais comuns. Quando o auditor proceder à auditoria dos sensores deve verificar o tipo usado, a sua colocação, a manutenção dos registos e os procedimentos de testes. Estes devem ser colocados em locais estratégicos e lógicos, sensores de água para assim tentar evitar inundações. Neste caso o auditor deverá detectar e se necessário indicar locais onde estes sensores devem ser colocados. Centro Universitário Christus - Unichristus 28 O auditor nesta situação deve verificar as portas e paredes (não devem deixar passar o fogo para outras divisões), verificar a localização e a validade dos extintores. Se necessário poderá efetuar testes. A maior parte dos centros de dados possuem vigilância por vídeo, mas poderão ter também vigilância áudio ou uma combinação dos dois. O auditor tem que validar a qualidade do vídeo/som, a posição da câmera e o arquivo do vídeo/som. As tarefas a executar no centro de dados devem ter procedimentos, políticas e planos bem definidos e cumpridos. Deve estar documentado quem tem acesso, ao que tem acesso e procedimentos de segurança e de emergência a seguir. As áreas que deverão ter processos bem definidos são: o acesso físico, a monitoração do edifício, funções e responsabilidade do pessoal, os deveres de cada pessoa, a forma de responder a desastres e emergências, a manutenção do edifícioe do equipamento, planeamento da capacidade do centro de dados e a coordenação/gestão do centro de dados. O auditor deverá verificar todos estes procedimentos e verificar na prática, por exemplo através de registros, que estes estão a ser cumpridos. Qualquer centro de dados que cumpra todas as regras e procedimentos, está sempre sujeito a desastres naturais ou humanos. Anteriormente foi analisada a forma de prevenir desastres, mas se estes acontecem como proceder? Analisam-se em seguida as formas de recuperação de desastres, sistemas com redundância, cópia e restauração de dados (backup e restore), plano de recuperação de desastres. Os centros de dados devem possuir sistemas redundantes, de forma a recuperar-se rapidamente de problemas. Exemplos de redundância são os sistemas de discos em RAID e mais do que uma fonte de alimentação. O auditor deverá validar que os componentes críticos do sistema possuem redundância. Em situações em que os sistemas são muito críticos, onde não é permitido nenhum tempo de espera para recuperação de avarias, deve-se ter redundância dos sistemas em localizações diferentes. A cópia de dados dever ser realizada regularmente, e deve ser validada, para assegurar que não houve falhas na cópia. Devido a tarefas críticas, devem ter associado um procedimento que deverá ser sempre seguido. O auditor deve começar por validar os referidos procedimentos (de cópia e restauração de dados), depois deverá verificar que a periodicidade de execução da cópia de segurança é a ideal para determinado sistema (sistemas críticos devem ter uma periodicidade menor). Deverá ser validada o tempo de armazenamento das cópias. O auditor poderá solicitar que se efetue um teste de recuperação de dados, validar a Centro Universitário Christus - Unichristus 29 qualidade da cópia e validar o procedimento na prática. 2.3. SWITCHES, ROUTERS E FIREWALLS Atualmente é frequente encontrarmos switches, routers, e firewalls nas organizações onde a comunicação é imprescindível para a efetivação de atividades da organização. Estes elementos são essenciais para permitir a comunicação entre vários “sites”, em situações em que uma organização tem mais sucursais. Para auditar equipamentos de rede o auditor não precisa de ser um especialista mas tem de ter alguma base teórica em relação ao seu funcionamento. O modelo O objetivo do plano de recuperação de desastres é de uma forma eficiente e rápida conseguir repor os sistemas depois de desastres como furacões ou cheias por exemplo. Para o auditor a tarefa de auditar um plano de recuperação de desastres é muito complexa, mas poderá seguir o seguinte: Deve ser assegurado que os planos são sempre atualizados e mantêm-se válidos, efetuando testes regularmente. a) Assegurar que o plano existe; b) Verificar que o plano cobre todos os sistemas e áreas; c) Verificar se na última ameaça o plano correspondeu ao pretendido e assim validar se continua relevante; d) Assegurar que as responsabilidades e funções descritas no plano estão bem definidas; e) Verificar se os procedimentos de reconstituição e recuperação são abordados; f) Assegurar que as operações de emergência têm o material necessário (computadores, rede etc.) para serem executadas; g) Verificar que as comunicações de emergência estão garantidas; h) Verificar os resultados do último exercício de recuperação de desastres. Centro Universitário Christus - Unichristus 30 Verificar se todos os serviços desnecessários estão desabilitados; Assegurar que uma boa gestão via SNMP (Simple Network Management Protocol) está sendo realizada; Avaliar os processos de criação e eliminação de utilizadores, e assegurar que essa criação/eliminação só é feita quando é necessário; Garantir o processo de validação e controle de passwords; de camadas OSI (Open System Interconnection) da ISO (International Standard Organization) pode ajudar a compreender melhor como funciona uma rede de computadores e como é que estes comunicam entre si. Os switches atuam normalmente na camada 2 do modelo OSI (ligação) e a sua função básica é a de comutação das tramas que lhe chegam através da rede e a segmentação das mesmas. Nos switches mais modernos já podemos fazer uma segmentação virtual da rede ou criar VLANs (Virtual Local Area Networks) em que um único switch pode comportar vários domínios de difusão de tramas de broadcast. Se a comunicação entre as mesmas for possível ainda com o mesmo switch então este switch passa a atuar também na camada 3 (rede) que é onde atuam os routers. Os routers por sua vez atuam sobretudo na camada 3 e têm como função o encaminhamento de pacotes entre redes distintas ou domínios diferentes. Para melhor desempenhar estas funções os routers utilizam tabelas de encaminhamento (dinâmicas em alguns casos) de pacotes, e usam protocolos como o OSP (Open Shortest Path First) ou o BGP (Border Gateway Protocol) para as manter atualizadas. Os firewalls servem essencialmente para estabelecer políticas de segurança distintas para cada segmento de rede, delimitando zonas em que o nível de segurança é semelhante. Para garantir segurança uma firewall necessita de filtrar o tráfego que lhe chega e através de ACLs (Access Control Lists) Vamos enumerar algumas tarefas gerais que o auditor deverá ter em conta neste processo (Champlain, 2003): Avaliar os controles sobre o desenvolvimento e manutenção das configurações dos equipamentos; Assegurar o controle de vulnerabilidades associadas com as versões de software. Estes controles podem incluir atualizações de software, mudanças de configuração, ou outros processos que se julguem pertinentes de serem monitorados; Centro Universitário Christus - Unichristus 31 2.4. SISTEMAS OPERACIONAIS Obter as configurações do sistema e quais as atualizações que estão instaladas e verificar se estas se encontram de acordo com as normas e políticas estabelecidas para que o SO seja mais seguro, fácil de gerir e de auditar. Verificar se a gestão da segurança é a mais correta e eficaz; Garantir que existe salvaguarda dos ficheiros de configuração; Verificar se os logs estão sendo criados e ativos na rede. Os logs devem depois ser centralizados de forma a obter uma maior uniformidade; Verificar o uso e funcionamento do protocolo NTP (Network time protocol); Verificar se as ACLs estão a funcionar de acordo com o esperado; Verificar se todos os equipamentos de rede estão localizados em áreas de segurança apropriadas; Garantir normas de convenção de nomes a usar para todos os dispositivos na rede; Verificar as normas e documentar os processos existentes para expandir a rede. Sistema operacional (SO) é um programa que intermedia a comunicação entre o software e hardware. Podemos usar uma analogia; a linha-férrea, podemos considerar de um sistema operacional, pois constitui uma plataforma que permite a passagem de comboio, este comboio por sua vez é manipulado por pessoas Os sistemas operacionais fazem a interacção entre todas as aplicações da organização e os respectivos hardwares onde estão instalados e como tal deve-se garantir o seu bom funcionamento. Para assegurar um bom desempenho dos SO estes têm de estar atualizados e correctamente configurados para o fim a que se destinam. A seguir são enumerados os controles gerais que o auditor deve ter em conta neste processo (Champlain, 2003): Centro Universitário Christus - Unichristus 32 Analisar e avaliar a resistência das passwords existentes. Avaliar e estabelecer políticas que previnam o uso de passwords frágeis a ataques. Características como o tempode validade, o número de caracteres, complexidade e passwords não baseadas num histórico recente de uso das mesmas. Analisar e avaliar o uso e as necessidades de acesso remoto como o RAS (Remote Access Service), FTP (File Transfer Protocol), SSH (Secure Shell), VPN (Virtual Private Network) e outros. Determinar se o SO tem instalado, configurado e atualizado um software de firewall e aprovado pelas políticas da organização e do fornecedor do SO. Determinar se o SO tem instalado, configurado e atualizado um software de antivírus e aprovado pelas políticas da organização e do fornecedor do SO. Garantir que todas as atualizações previamente aprovadas estão instaladas. Determinar se o SO está a executar um gestor de atualizações acreditado pela organização. Analisar toda a informação relativa ao processo de iniciação do SO para verificar se há comportamentos incorretos em alguma fase. Determinar quais os serviços que estão ativos no sistema e validar a sua pertinência junto do administrador do sistema. Nos serviços necessários terão de ser analisados os procedimentos de avaliação de vulnerabilidades associados a esses serviços e fazer a sua manutenção caso seja necessário. Garantir que estão instaladas todas e apenas as aplicações necessárias e aprovadas pela organização, evitando conflitos entre aplicações e problemas de dependências. Analisar e avaliar procedimentos de criação de utilizadores assegurar que esses utilizadores apenas são criados quando há uma razão legítima para tal. Devem ser revistos também os processos que garantem que os utilizadores são removidos logo que não haja necessidade de existirem. Analisar e avaliar o uso de grupos de utilizadores e ainda determinar as permissões que esse grupo necessita. Centro Universitário Christus - Unichristus 33 Garantir que o SO tem configurado políticas que permitam que o mesmo seja auditado de acordo com o que é definido pela organização. Analisar e avaliar os procedimentos de administração do SO para que este seja monitorizado adequadamente. 2.5. SERVIDORES WEB No que diz respeito a servidores Web, estes são, normalmente, diferentes uns dos outros, embora existam semelhanças que um auditor deverá cuidadosamente verificar, segundo algumas normas. A seguir são apresentados alguns passos que um auditor (após analisar a sua situação em concreto) poderá ou não seguir, dependendo do caso com que se depara (Santos et al., 2008): Verificar se o servidor Web está a executar num sistema dedicado e não em conjunto com outras aplicações críticas; Verificar se o servidor Web está totalmente corrigido e atualizado com as últimas atualizações aprovadas; Determinar se o servidor Web deve estar a executar ferramentas adicionais para auxiliar na proteção; Verificar se serviços ou módulos desnecessários estão desativados. Ao executar serviços e módulos, devem operar sob as contas menos privilegiadas; Verificar se apenas portas e protocolos adequados, estão autorizados a acessar ao servidor Web. Verificar se as contas que têm acesso ao servidor Web são geridas de forma adequada, e estão fortemente protegidas com palavras-chave. Assegurar que existam controles adequados para arquivos, diretórios e diretórios virtuais. Assegurar que o servidor Web tem o próprio “logging” ativo e seguro; Assegurar que as extensões de script são mapeadas adequadamente. Centro Universitário Christus - Unichristus 34 Verificar se os filtros ISAPI (Internet Server Application Programming Interface) desnecessários ou não utilizados são removidos do servidor; Verificar a validade e o uso de todos os certificados de servidor em utilização. Assegurar que as permissões da base de dados não são concedidas implicitamente de uma forma incorreta; Analisar a execução de SQL dinâmico em “stored procedures” (procedimentos armazenados); Assegurar que os níveis de acesso aos dados das tabelas estão implementados corretamente; Revogar as permissões públicas onde estas não são necessárias; Restringir o acesso ao sistema operacional; 2.6. BASES DE DADOS Um banco de dados (sua abreviatura é BD, em inglês DB, database) é uma entidade na qual é possível armazenar dados de maneira estruturada e com a menor redundância possível. Estes dados devem poder ser utilizados por programas e por diferentes utilizadores. A falta de conhecimento de base de dados tem sido um dos entraves no processo de auditoria de base de dados, tornando-se uma área muito negligenciada, pois carece de uma revisão profunda de várias áreas de informática, como por exemplo o sistema operacional. Partindo do pressuposto de que o auditor tem conhecimentos de base de dados, será necessário um plano de ação para a realização da auditoria, apesar de alguns passos serem idênticos aos que iriam se usar na auditoria de sistemas operacionais, mesmo assim, é necessário colocar esses passos no contexto de base de dados. Segue-se uma lista de alguns passos importantes na auditoria de uma base de dados (Champlain, 2003): Verificar se as permissões da base de dados são concedidas adequadamente para o nível exigido de autorização; Rever as permissões da base de dados concedidas para indivíduos, em vez de grupos; Centro Universitário Christus - Unichristus 35 Restringir as permissões no diretório nas quais a base de dados está instalada; 2.7. APLICAÇÕES A auditoria de aplicações informáticas é um procedimento em que o auditor se pode certificar da correta utilização dos meios informáticos, através da verificação do conteúdo dos arquivos que integram as aplicações, a conformidade dos processamentos e dos resultados, bem como a adequação dos procedimentos de controle e segurança, e da sua conformidade legal. Restringir as permissões nas chaves de registo usadas pela base de dados; Verificar os nomes de usuário (ID) e palavras-chave atribuídas por defeito; Verificar palavras-chave fáceis de adivinhar; Verificar se a capacidade de gestão de palavras-chave está ativada; Verificar se a auditoria está habilitada; Verificar se a encriptação da rede está implementada; Verificar se a encriptação dos dados está implementada no local apropriado; Assegurar que a gestão de encriptação de chaves é parte do plano de recuperação de desastre (“disaster-recovery”); Verificar se as últimas atualizações para a base de dados estão devidamente instaladas; Verificar se a base de dados está a executar uma versão segura como suporte; Verificar se as políticas e procedimentos estão no lugar, de modo a identificar quando um “patch” (atualização) está disponível e para aplicar esse patch; Verificar a integridade da base de dados, analisando os kits de raiz, vírus, “backdoors” e “trojans”. Centro Universitário Christus - Unichristus 36 Assegurar que o mecanismo de sistemas de segurança/autorização, têm uma função administrativa com controles e funcionalidades apropriados; Determinar se o mecanismo de segurança permite eventuais processos de aprovação; Assegurar que um mecanismo ou processo tenha sido colocado no lugar que suspende o acesso ao utilizador, na rescisão da empresa ou na mudança de posto de trabalho dentro da empresa; Verificar se a aplicação possui controles adequados de palavras-chave; Para que um processo de auditoria de aplicações informáticas tenha o devido sucesso, este deverá seguir determinados passos, nomeadamente (Champlain, 2003): Analisar e avaliar os controles de dados de entrada;Determinar a necessidade de relatórios de erro/exceções relacionados com a integridade dos dados e avaliar se esta necessidade está a ser preenchida; Analisar e avaliar os controles sobre a fonte de dados, de e para as interfaces de sistemas; Nos casos em que os mesmos dados são mantidos em múltiplas bases de dados e/ou sistemas, garantir que os processos periódicos de sincronização são executados para detectar quaisquer incoerências nos dados; Analisar e avaliar as pistas de auditoria presentes no sistema, bem como os controles sobre elas; Assegurar que o sistema fornece um meio para detectar a transação ou dados, do início ao fim do processo ativado pelo sistema; Assegurar que a aplicação fornece um mecanismo que efetua a autenticação dos utilizadores, com base, no mínimo, num único identificador para cada utilizador e uma chave confidencial; Analisar e avaliar o mecanismo de autorização das aplicações para assegurar que os utilizadores não estão autorizados a aceder a qualquer transação sensível, ou a dados, sem primeiro serem autorizados pelo mecanismo de segurança do sistema; Centro Universitário Christus - Unichristus 37 Analisar e avaliar processos de concessão de acesso aos utilizadores. Assegurar que o acesso é permitido apenas quando existe uma necessidade de negócio legítimo; Garantir que os utilizadores são automaticamente desconectados da aplicação, após um certo período de inatividade; Avaliar o uso de técnicas de encriptação para proteger os dados da aplicação; Avaliar o acesso de desenvolvimento da aplicação para alterar a produção de dados; Garantir que o software não pode ser alterado sem passar pelo processo standard “checkout/staging/testing/approval”, após este ser colocado em produção; Avaliar controles em torno do teste do código da aplicação, antes de ele ser colocado num ambiente de produção; Assegurar que há controles de backup apropriados; Assegurar que há controles de recuperação apropriados; Avaliar controles em torno da retenção de dados da aplicação; Avaliar controles em torno da classificação de dados, dentro da aplicação. 2.8. WLAN E DISPOSITIVOS MÓVEIS É comum hoje em dia encontrar WLAN (Wireless Local Area Network) nas organizações, uma vez que permite a deslocação de utilizadores entre vários locais da organização sem perder a conexão, por exemplo pode estar a copiar um arquivo numa sala, este pode deslocar-se para outra sala com um computador portátil sem perder a conexão de Internet. Este tipo de comunicação colocou um desafio aos administradores de segurança de rede, pois a segurança nesta situação é comprometida. Entretanto, os padrões das WLAN têm evoluído assim como a formação dos administradores para manterem a segurança da rede. Segue uma tabela com as especificações IEEE 802.11 atualmente desenvolvidas. Centro Universitário Christus - Unichristus 38 Figura 2.3. Exemplo de uma WLAN. Fonte: Santos et al. (2008). Podemos dividir a auditoria de uma WLAN em duas partes: a parte técnica e a parte operacional. No que diz respeito á auditoria da WLAN na sua componente técnica, deve-se logo confirmar que os pontos de acesso têm a última versão do software instalado. O auditor deve avaliar isso com a ajuda do administrador e verificando a página do fabricante dos pontos de acesso. Figura 2.2. Tecnologias 802.11. Fonte: Santos et al. (2008). Os clientes wireless são denominados “supplicants”. Os pontos de acesso ligam á rede sem fios á rede com fios, e os clientes sem fio ou “supplicants” ligam-se á rede sem fio através de um dispositivo móvel. Dispositivos móveis podem ser um portátil, um smartphone, um PDA (Personal Digital Assistant), ou outro dispositivo configurado para se comunicar com o ponto de acesso. O conjunto de estações comunicando uns com os outros é o conjunto de serviços básicos (BSS). Centro Universitário Christus - Unichristus 39 Depois verificar se existem ferramentas para gerir de forma centralizada a WLAN. Validar com o administrador as políticas usadas na definição de palavras-chave (se usar este tipo de autenticação), verificar a sua política de autenticação. Do lado dos clientes móveis, verificar se têm os sistemas básicos de proteção (no mínimo antivírus e firewall pessoal) quando se vão ligar na WLAN. Figura 2.4. Métodos de Autenticação. Fonte: Santos et al. (2008). Na Figura 2.4. estão representados os métodos de autentificação. Estes métodos devem ser avaliados de forma correta. Verificar com o administrador o uso de software de monitoramento de processos. O auditor deve também verificar com o administrador se existem pontos de acesso não autorizados, através de software de monitoria ou através dos registos de tráfego na rede: através de software de wardriving – procura sinais de pontos de acesso não autorizados, e softwares de busca através de endereços MAC. Quanto á auditoria da WLAN na sua vertente operacional, devem-se verificar e analisar problemas que acontecem do lado do cliente móvel. Têm que se assegurar que os diversos procedimentos de segurança são seguidos (Champlain, 2003): Todas as transmissões sem fios devem ser encriptadas para evitar cópias indevidas; Todos os pontos devem ter acesso a firmware atualizado; Centro Universitário Christus - Unichristus 40 As senhas dos pontos de acesso devem seguir as políticas de segurança da empresa; Os nomes dos SSID (Service Set IDentifier), por padrão, não são permitidos ou difundidos; Todos os esforços serão feitos para reduzir a propagação das ondas de rádio fora da instalação; Na auditoria, parte operacional: O auditor deve ainda avaliar os processos de recuperação de desastres de modo a ser possível restaurar o acesso sem fios em caso de acontecer um desastre; Deve-se avaliar o gateway com um administrador e verificar se o código em execução no gateway é a versão mais recente, e proceder a essa validação consultando o site do fabricante; Deve-se verificar também se o dispositivo móvel tem algumas opções de proteção e se estas estão ativas caso sejam requisitos pela política de segurança da empresa; Determinar se a segurança dos equipamentos móveis são efetivas: devem estar protegidos com senha e devem ficar inativas a partir de certo número de tentativas; os aparelhos devem poder ser bloqueados e desligados remotamente, uma senha deve ser pedida sempre que se ligue algo a conexão USB (Universal Serial Bus); Deve-se usar também um software de controle e gestão da segurança para equipamentos móveis. Devemos assegurar a aplicação das regras de segurança em vigor na empresa, como: devem ser usados somente os equipamentos móveis definidos na empresa, sincronização do aparelho e transferência de dados com o nosso computador pessoal deve ser feita só com equipamentos aprovados; Os dispositivos cliente devem usar o protocolo IPSec nas VPN’s da empresa; Só dispositivos da empresa se podem ligar á rede móvel e só para uso laboral; Centro Universitário Christus - Unichristus 41 Devem ser sempre usados software de antivírus e ferramentas de criptografia; Também neste caso deverá ter-se um processo de recuperação de desastres. Documentação apropriada é desenvolvida e mantida; A formação adequada é fornecida aos utilizadores finais. Formação inadequada conduz a sistemas, processos e software que são utilizados indevidamente. 2.9. PROJETOS Segundo Westland (2003), projeto é único e um esforço para produzir um conjunto de produtos dentro de um tempo especificado, custo e restrições
Compartilhar