Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá AUDITORIA DE SISITEMAS AULA 07: AUDITORIAS DIRECIONADAS Nesta aula, você irá: 1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso. 2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso. 3. Aprender como construir uma senha considerada eficiente. 4. Ver qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é quem realmente diz ser quem é. Auditoria De Redes Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela posse. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa tornou-se crucial. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. Também devemos considerar os seguintes processos na auditoria de redes: O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de portas ou buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da workstation em relação ao time-out interval. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança física: Equipamentos e periféricos, arquitetura de rede, sua construção e distribuição. Segurança Lógica:Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. Segurança de enlace:As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos Segurança de Aplicação: Disponibilidade da rede, isto é, poder confiar que ela estara disponível quando necessário, mesmo em situações adversas. 2 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá Programa de auditoria de redes Nas páginas 179 a 187, capítulo 15, do material recebido por vocês há um questionário para auditoria de redes onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, “não” ou “não aplicável”. Os papéis que servirão de evidência para a verificação destes controles são documentados em forma de papéis de trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em questão. Esses documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria NC-nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P” do questionário. Atenção !!! Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais! Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! 3 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá Auditoria de hardware O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de computador bem como controles referentes à proteção de vida de pessoas. Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. Programa de controle interno de hardware Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para levantamento de controles internos de hardware nas páginas 105 a 111 do capitulo 8 do material que receberam. Resumo do programa. C1 – Controles de acesso físico ao ambiente de informática. Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de controle. Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo , acesso aos backups e biblioteca externa. C2 – Controle de acionamento e desligamento de máquinas. Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte. Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas. C4 - Localização e infraestrutura do CPD Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes, pólos geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de substâncias inflamáveis). Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração, treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador). C5 – Controle de back-up e off-site Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para serem utilizados em caso de emergência. Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e recuperação (como visto na aula 2). C6 – Controles de aquisição e disposição do equipamento Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo está atualizado. C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software, sistema operacional e os riscos inerentes. 4 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros departamentos, necessidade de expansão do parque instalado e facilidades de treinamento. Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. C8 – Controles sobre os recursos instalados Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos softwares e se elas são seguidas. C9 - Garantia de integridade de transmissão. Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar somente os acessos autorizados. Controle de acesso Temos duas grandes vertentes em relação a acesso: Acesso físico e Acesso lógico. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. Além da identificação da pessoa torna-senecessário o controle de porte de metais. Sabemos que um simples imã pode desmagnetizar uma CPU, não? O cuidado com a identificação por leitura de impressão digital é a capacidade de o equipamento ler e reconhecer a digital lida, muitas vezes afetada pela gordura nos dedos. A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. Desta forma, para eficiência do controle, torna- se necessário um eficaz gerenciamento de senhas. Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente. Outras informações pessoais não devem ser usadas pois a engenharia social está presente na internet ou nos pseudos telefonemas de fornecedores. O sobrenome, número de documentos, placas de carro, números de telefone e datas relevantes também não devem ser utilizados como senhas, pela mesma razão. 5 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá Programa de controle de acesso Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123, capítulo 9, do material entregue a vocês. Farei aqui um resumo: C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de segurança. Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico estará sendo executado. C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso. Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de funções C3 – Software para controle de acesso Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, transações, programas, jobs, etc. além de gerenciamento de senhas. Avalia procedimentos de segurança com relação: ao cadastramento, bloqueio e exclusão de usuários do sistema a solicitação e alteração de senhas ao desligamento do sistema/terminal após n tentativas de certo da senha ao desligamento automático do sistema / terminal após n minutos sem uso ao log de tentativas de acesso frustradas a atualização (troca) de senhas dos usuários C4 – Controle de acesso a transações Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo funcionários que trocaram de área, funcionários demitidos. Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente revisados pelo administrador de segurança. C5 – Controle sobre utilização de software Certifica-se se: há inventário de software (de apoio,aplicativos) e se o mesmo está atualizado; há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas; há controle e ferramentas adequadas para detecção e eliminação de vírus de computador C6 – Controle sobre utilização de redes locais Verifica se há restrição de acesso físico ao servidor da rede Veja um programa de auditoria de redes mais completo nas páginas 179 a 187 do capítulo 15 do material que você recebeu. 6 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá Veja um programa de controles internos de hardware mais completo nas páginas 105 a 111 do capítulo 8 do material que você recebeu. Veja um programa de controles de acesso mais completo nas páginas 116 a 123 do capítulo 9 do material que você recebeu. Nesta aula, você: Estudou auditoria específica para redes de computadores, hardware e controle de acesso. Viu programas de auditoria para redes de computadores, hardware e controle de acesso. Aprendeu como construir uma senha considerada eficiente. Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é quem realmente diz ser quem é. Na próxima aula, você estudará: Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos. 7 Aula 7: Auditoria de sistemas: Auditorias Direcionadas - Estácio de Sá
Compartilhar