AULAAuditoria de sistemas 07

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Auditoria de Sistemas
João Paulo
Brognoni Casati
Aula 7
*
Conteúdo da Aula
Auditoria direcionada
Auditoria de redes
Auditoria de hardware
Auditoria de controles de acesso
Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas 
*
*
Auditoria Direcionada
Auditoria de redes
De suma importância para as organizações
Pode ser dividida em:
Intranet
Internet
Extranet
*
*
Auditoria Direcionada
Objetivos da auditoria de redes
Segurança física
Segurança lógica
Segurança de enlace
Segurança de aplicação
*
*
Auditoria Direcionada
Itens avaliados na auditoria de redes
Planejamento da rede com visão estratégica
Desenho das arquiteturas e topologias
Implantação dos projetos
Monitoramento:
Desempenho
Interceptações
*
*
Auditoria Direcionada
Checklist para auditoria de redes
Verificar as políticas organizacionais;
Verificar os controles de ambiente.
Plataforma: hardware, software, etc.
Verificar controles sobre o software;
Verificar controles de segurança;
Outros...
*
*
Auditoria Direcionada
Auditoria de hardware
Visa implantar procedimentos de segurança física dos equipamentos;
Manter inventários é de grande importância;
Padronização na aquisição de equipamentos.
Compatibilidade
*
*
Auditoria Direcionada
Manutenção de hardware
Prazo de atendimento dos chamados;
Tempo máximo para resolução de problemas;
Período coberto por contratos.
Madrugada, fins de semana, feriados, etc.
*
*
Auditoria Direcionada
A auditoria de hardware garante:
Proteção dos equipamentos
Servidores, CPUs, Terminais...
Equipamento de restrição de acesso
Impossibilitar o acesso de pessoas não autorizadas em ambientes da organização.
*
*
Auditoria Direcionada
Checklist para auditoria de hardware
Verificar controles de acesso físico ao ambiente de TI;
Verificar controles de acionamento e desligamento de máquinas;
Verificar localização e infraestrutura do CPD;
Controle de backup e off-site.
*
*
Auditoria Direcionada
Auditoria de controles de acesso
O controle de acesso pode ser dividido em:
Acesso físico: relativo à entrada de pessoas em recintos.
Acesso lógico: relativo ao acesso às informações.
*
*
Auditoria Direcionada
Controles de acesso físico
Crachás
Biometria
Controles de acesso lógico
Senhas
Deve-se tomar cuidados ao criar senhas!
Logs: sem acesso
*
*
Auditoria Direcionada
Checklist para auditoria de controles de acesso
Verificar políticas de segurança;
Verificar rotinas e procedimentos para atribuição ou modificação do nível de acesso;
Verificar software de controle de acesso.
*
*
Auditoria Direcionada
Checklist para auditoria de controles de acesso
Verificar os controles de acesso às transações;
Verificar controle da utilização de software;
Verificar controle da utilização de rede.
*
*
Auditoria Direcionada
Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas
Dúvida:
Comprar ou Desenvolver software?
Softwares prontos são mais baratos, mas...
Supre as necessidades?
*
*
Auditoria Direcionada
Aquisição ou Desenvolvimento
Considerar a viabilidade:
Econômica
Operacional
Técnica
Tomar decisão final
*
*
Auditoria Direcionada
Ações em caso de aquisição
Planejamento das aquisições
Documentação dos requisitos
Cotações, ofertas, propostas
Seleção da melhor proposta
Contrato e relacionamento com fornecedor
Fechamento do contrato
*
*
Auditoria Direcionada
Roteiro para a auditoria (verificar):
Aprovação para início do projeto
Definição dos requisitos
Declaração do escopo
Definição das atividades do projeto
Cronograma do projeto
Orçamento do projeto
*
*
Auditoria Direcionada
Roteiro para a auditoria (verificar):
Definição da equipe e outros recursos
Necessidades de treinamento
Plano de implantação
Plano de contingência e riscos
Atualização da biblioteca de produção
*
*
Auditoria Direcionada
É necessário também:
Testar o sistema
Garantir que os requisitos funcionais e não funcionais são atendidos.
Documentar o sistema
Documentação deve seguir linguagem e padrões corretos.
*
*
Auditoria Direcionada
Sobre a documentação, deve-se verificar:
Se está em uma biblioteca;
Se segue os padrões;
Se possui narrativas;
Se possui fluxograma do sistema e arquivos;
Se possui manual de operação do usuário.
*
*
Auditoria Direcionada
A auditoria direcionada a este caso deve verificar se:
Há necessidade de um sistema novo;
Se os usuários fazem recomendação sobre aquisição ou desenvolvimento interno;
Se as funcionalidades, tecnologia e segurança são esclarecidos (aquisição);
*
*
Auditoria Direcionada
Se os usuários são treinados para operar o sistema;
Se a manutenção pode ser feita sem interrupção das operações;
Se a documentação está disponível.
*
*
Auditoria Direcionada
Checklist:
Especificação do sistema
Procedimentos para elaboração de requisitos
Aquisição de sistemas
Procedimento para envolvimento de usuários na seleção, especificação ou modificação de sistemas.
*
*
Auditoria Direcionada
Procedimentos que determinam prioridades para projetos de desenvolvimento e manutenção.
Procedimentos para rever as especificações dos projetos por pessoal de operação.
*
*
Auditoria Direcionada
Programação
A organização desenvolve ou modifica sistemas internamente.
Teste
Procedimentos para testar aplicativos novos ou que sofreram alterações.
*
*
Auditoria Direcionada
Documentação
Manutenção da documentação para sistemas significativos.
Manutenção
Manutenção de programas está sujeita aos padrões de programação.
*
Auditoria de Sistemas
João Paulo
Brognoni Casati
Atividade 7 
*
*
Atividade 1
Dê dois exemplos de controle de acesso físico.
O uso de crachás ou cartões de identificação e biometria.
*
*
Atividade 2
Dê dois exemplos de controle de acesso físico biométrico.
Reconhecimento de impressão digital e reconhecimento de íris.
*
*
Atividade 3
Quais são os três tipos de redes?
Intranet, Internet e Extranet
*
*
Atividade 4
O que deve ser considerado ao optar por aquisição ou desenvolvimento interno de sistemas?
A viabilidade econômica, operacional e técnica.