Conteudo_Online_07

Prévia do material em texto

1 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
AUDITORIA DE SISITEMAS 
AULA 07: AUDITORIAS DIRECIONADAS 
Nesta aula, você irá: 
1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso. 
2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso. 
3. Aprender como construir uma senha considerada eficiente. 
4. Ver qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa 
que ligou é quem realmente diz ser quem é. 
 
Auditoria De Redes 
 Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela 
posse. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede 
interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns 
clientes) ou internet. Proteger estas informações que refletem a vida da empresa tornou-se 
crucial. 
 A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de 
dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de 
rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, 
HTTP, entre outros. 
Também devemos considerar os seguintes processos na auditoria de redes: 
 
 O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade 
do TCP/IP e aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, 
fragmentação ou saturação de portas ou buffer/stack overflow, entre outras, além da avaliação 
específica da capacidade computacional da workstation em relação ao time-out interval. 
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 
 Segurança física: Equipamentos e periféricos, arquitetura de rede, sua construção e 
distribuição. 
 Segurança Lógica:Customização de recursos de software, desempenho, acompanhamento 
e rendimento operacional. 
 Segurança de enlace:As linhas e canais de transmissão entre unidades e localidades 
remotas obedecendo aos limites estabelecidos 
 Segurança de Aplicação: Disponibilidade da rede, isto é, poder confiar que ela estara 
disponível quando necessário, mesmo em situações adversas. 
 
2 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
 
Programa de auditoria de redes 
 Nas páginas 179 a 187, capítulo 15, do material recebido por vocês há um questionário 
para auditoria de redes onde encontram-se controles que devem ser observados pelo auditor e 
que requerem as respostas “sim”, “não” ou “não aplicável”. 
 Os papéis que servirão de evidência para a verificação destes controles são 
documentados em forma de papéis de trabalho (work papers) e armazenados em uma pasta 
administrativa do projeto da auditoria em questão. Esses documentos devem ser codificados 
conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria NC-nn, documento 
seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P” do 
questionário. 
 Atenção !!! Todo trabalho do auditor deve ser documentado para que possamos ter 
evidências do que escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não 
em opiniões pessoais! 
 
 Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em 
detalhes no livro! 
 
 
 
 
 
3 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
 
 
Auditoria de hardware 
 O controle de hardware objetiva implantar procedimentos de segurança física sobre 
equipamentos instalados na empresa, incluindo funções que possuem mecanismo para restringir 
acessos de pessoas ao ambiente de computador bem como controles referentes à proteção de 
vida de pessoas. 
 Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores 
de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, 
sprinklers, etc. 
 
Programa de controle interno de hardware 
 Da mesma forma como em auditorias de redes, vocês podem encontrar um programa 
detalhado para levantamento de controles internos de hardware nas páginas 105 a 111 do 
capitulo 8 do material que receberam. 
Resumo do programa. 
 C1 – Controles de acesso físico ao ambiente de informática. 
Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de 
comunicação e painel de controle. Preocupa-se com o destino das listagens geradas e 
encaminhadas aos usuários, listagens jogadas no lixo , acesso aos backups e biblioteca externa. 
 C2 – Controle de acionamento e desligamento de máquinas. 
Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente 
autorizado para tanto. 
 C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de 
transporte. 
Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de 
meios magnéticos para dentro e fora da empresa é feito de uma forma segura, por pessoas 
autorizadas. 
 C4 - Localização e infraestrutura do CPD 
Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de 
inundações, enchentes, pólos geradores de fogo (tais como tanques de combustível, cozinha, 
banheiro, depósito de substâncias inflamáveis). Preocupa-se com instalação do cabeamento, 
manutenção da fiação elétrica e da refrigeração, treinamento contínuo contra incêndio, fontes 
alternativas de alimentação de energia elétrica (nobreak, gerador). 
 C5 – Controle de back-up e off-site 
Também devem ser verificados aspectos relacionados a controle de back-ups 
(periodicidade, período de retenção, número de volumes e cópias), atualização de biblioteca 
externa, viabilização de sites externos para serem utilizados em caso de emergência. 
Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, 
 back-up e recuperação (como visto na aula 2). 
 C6 – Controles de aquisição e disposição do equipamento 
Assegura existência de políticas organizacionais sobre o tema, se há inventário dos 
equipamentos e se o mesmo está atualizado. 
 C7 – Controles sobre o ambiente e informações com relação à definição da plataforma 
de hardware, software, sistema operacional e os riscos inerentes. 
4 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware 
com outros departamentos, necessidade de expansão do parque instalado e facilidades de 
treinamento. 
Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são 
adequados para manter a continuidade das operações de cada área. 
 C8 – Controles sobre os recursos instalados 
Verifica se há contratos para os softwares instalados, se há políticas organizacionais para 
uso e aquisição dos softwares e se elas são seguidas. 
 C9 - Garantia de integridade de transmissão. 
Observa se há controle adequado sobre a transmissão de dados pela rede entre os 
computadores ou workstations além de verificar se os dados críticos são protegidos contra 
acesso não autorizado. Analisa os equipamentos que permitem comunicação remota e 
procedimentos de verificação e controle para assegurar somente os acessos autorizados. 
 
Controle de acesso 
Temos duas grandes vertentes em relação a acesso: Acesso físico e Acesso lógico. 
O controle de acesso físico, que compreende a entrada de 
pessoas a algum recinto da empresa, pode ser feito de várias 
formas: crachás com tarja magnética lida por catracas, bottom de 
identificação, biometria. Além da identificação da pessoa torna-senecessário o controle de porte de metais. Sabemos que um simples 
imã pode desmagnetizar uma CPU, não? 
 O cuidado com a identificação por leitura de impressão digital é a 
capacidade de o equipamento ler e reconhecer a digital lida, muitas 
vezes afetada pela gordura nos dedos. 
 
 
A forma mais comum e efetiva de garantirmos o acesso lógico a 
pessoas que são autorizadas a lerem e/ou gravarem informações é 
através de senhas. Desta forma, para eficiência do controle, torna-
se necessário um eficaz gerenciamento de senhas. 
 Usar senhas corriqueiras como data de nascimento não é eficiente. 
Um ladrão que roube a carteira de alguém, onde se encontram os 
documentos e o cartão do banco, poderia tentar acessar sua conta 
corrente e acabaria tendo sucesso. Aliás, um erro muito comum é 
as pessoas guardarem na carteira os documentos e cartões de 
banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente. 
 Outras informações pessoais não devem ser usadas pois a engenharia social está 
 presente na internet ou nos pseudos telefonemas de fornecedores. 
 
 O sobrenome, número de documentos, placas de carro, números de telefone e datas 
relevantes também não devem ser utilizados como senhas, pela mesma razão. 
5 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
 
Programa de controle de acesso 
 Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas 
páginas 116 a 123, capítulo 9, do material entregue a vocês. Farei aqui um resumo: 
 C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de 
implementação de normas de segurança. 
Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos 
que estejam envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. 
Segurança, com ênfase em controle de acesso, é fundamental e deve ser regulada via políticas 
administrativas, pois asseguram que as pessoas que entrarem na empresa estarão devidamente 
identificadas bem como o controle de acesso lógico estará sendo executado. 
 C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de 
acesso. 
Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem 
como à segregação de funções 
 C3 – Software para controle de acesso 
 Verifica existência de software de controle de acesso que regule e controle nível de acesso 
a dados, transações, programas, jobs, etc. além de gerenciamento de senhas. 
Avalia procedimentos de segurança com relação: 
 ao cadastramento, bloqueio e exclusão de usuários do sistema 
 a solicitação e alteração de senhas 
 ao desligamento do sistema/terminal após n tentativas de certo da senha 
 ao desligamento automático do sistema / terminal após n minutos sem uso 
 ao log de tentativas de acesso frustradas 
 a atualização (troca) de senhas dos usuários 
 C4 – Controle de acesso a transações 
Verifica se há procedimentos para determinar aos usuários o nível de acesso às 
transações, incluindo funcionários que trocaram de área, funcionários demitidos. 
Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários 
são periodicamente revisados pelo administrador de segurança. 
 C5 – Controle sobre utilização de software 
Certifica-se se: 
há inventário de software (de apoio,aplicativos) e se o mesmo está atualizado; 
há normas proibindo utilização de software não autorizado e se as mesmas estão sendo 
obedecidas; 
há controle e ferramentas adequadas para detecção e eliminação de vírus de computador 
 C6 – Controle sobre utilização de redes locais 
Verifica se há restrição de acesso físico ao servidor da rede 
 
 
 
Veja um programa de auditoria de redes mais completo nas páginas 179 a 187 do capítulo 15 do material que você 
recebeu. 
6 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá 
 
Veja um programa de controles internos de hardware mais completo nas páginas 105 a 111 do capítulo 8 do material 
que você recebeu. 
Veja um programa de controles de acesso mais completo nas páginas 116 a 123 do capítulo 9 do material que você 
recebeu. 
 
Nesta aula, você: 
Estudou auditoria específica para redes de computadores, hardware e controle de acesso. 
Viu programas de auditoria para redes de computadores, hardware e controle de acesso. 
Aprendeu como construir uma senha considerada eficiente. 
Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é quem 
realmente diz ser quem é. 
 
Na próxima aula, você estudará: 
Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e manutenção de 
sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos. 
 
7 
Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá