Auditoria de Redes e Hardware

Prévia do material em texto

Aula 7 – Auditorias direcionadas 
 
Auditoria de redes 
 
Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela posse. Estas 
informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via 
extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas 
informações que refletem a vida da empresa tornou-se crucial. 
 
A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e 
informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de 
camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 
 
Também devemos considerar os seguintes processos na auditoria de redes: 
 
 
 
O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e 
aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de 
portas ou buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da 
workstation em relação ao time-out interval. 
 
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 
 
 
 
 
 
 
 
 
 
 
 
 
 
Programa de auditoria de redes 
 
Nas páginas 179 a 187, capítulo 15, do material recebido por vocês há um questionário para auditoria de 
redes onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas 
“sim”, “não” ou “não aplicável”. 
 
Os papéis que servirão de evidência para a verificação destes controles são documentados em forma de 
papéis de trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em 
questão. Esses documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, 
nota de contato seria NC-nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser 
preenchida em “Ref.W/P” do questionário. 
 
Atenção 
Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em 
nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais! 
 
Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! 
 
 
 
 
 
 
 
 
 
 
 
 
 
Auditoria de hardware 
 
O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados 
na empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de 
computador bem como controles referentes à proteção de vida de pessoas. 
 
Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás 
carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. 
 
Programa de controle interno de hardware 
 
Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para 
levantamento de controles internos de hardware nas páginas 105 a 111 do capitulo 8 do material que 
receberam. 
 
C1 – Controles de acesso físico ao ambiente de informática. 
 
Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de 
controle. Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no 
lixo, acesso aos backups e biblioteca externa. 
 
C2 – Controle de acionamento e desligamento de máquinas. 
Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. 
 
C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte. 
Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos 
para dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas. 
 
C4 - Localização e infraestrutura do CPD 
Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, 
enchentes, pólos geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de 
substâncias inflamáveis). Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da 
refrigeração, treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica 
(nobreak, gerador). 
 
C5 – Controle de back-up e off-site 
Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de 
retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para 
serem utilizados em caso de emergência. 
Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e 
recuperação (como visto na aula 2). 
 
 
C6 – Controles de aquisição e disposição do equipamento 
Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o 
mesmo está atualizado. 
 
C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, 
software, sistema operacional e os riscos inerentes. 
Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros 
departamentos, necessidade de expansão do parque instalado e facilidades de treinamento. 
Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para 
manter a continuidade das operações de cada área. 
 
C8 – Controles sobre os recursos instalados 
Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos 
softwares e se elas são seguidas. 
 
C9 - Garantia de integridade de transmissão. 
Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou 
workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os 
equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar 
somente os acessos autorizados. 
 
Controle de acesso 
 
Temos duas grandes vertentes em relação a acesso: 
 
 
 
O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito 
de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. Além da 
identificação da pessoa torna-se necessário o controle de porte de metais. Sabemos que um simples imã pode 
desmagnetizar uma CPU, não? 
 
Biometria 
 
 
O cuidado com a identificação por leitura de impressão digital é a capacidade de o equipamento ler e 
reconhecer a digital lida, muitas vezes afetada pela gordura nos dedos. 
 
 
 
A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou 
gravarem informações é através de senhas. Desta forma, para eficiência do controle, torna-se necessário um 
eficaz gerenciamento de senhas. 
 
 Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de 
alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e 
acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e 
cartões de banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente. 
 
Outras informações pessoais não devem ser usadas pois a engenharia social está presente na internet ou nos 
pseudos telefonemas de fornecedores. 
O sobrenome, número de documentos, placas de carro, números de telefone e datas relevantestambém não 
devem ser utilizados como senhas, pela mesma razão. 
 
 
 
Saiba mais sobre o controle de acesso lógico 
 
07AS_doc01.pdf 
 
Programa de controle de acesso 
 
Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123, 
capítulo 9, do material entregue a vocês. Farei aqui um resumo: 
 
C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de 
normas de segurança. 
Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam 
envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em 
controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as 
pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico 
estará sendo executado. 
 
C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso. 
Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de 
funções 
 
C3 – Software para controle de acesso 
Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, 
transações, programas, jobs, etc. além de gerenciamento de senhas. 
 
Avalia procedimentos de segurança com relação: 
ao cadastramento, bloqueio e exclusão de usuários do sistema 
a solicitação e alteração de senhas 
ao desligamento do sistema/terminal após n tentativas de certo da senha 
ao desligamento automático do sistema / terminal após n minutos sem uso 
ao log de tentativas de acesso frustradas 
a atualização (troca) de senhas dos usuários 
 
C4 – Controle de acesso a transações 
Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo 
funcionários que trocaram de área, funcionários demitidos. 
Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente 
revisados pelo administrador de segurança. 
 
C5 – Controle sobre utilização de software 
Certifica-se se: 
há inventário de software (de apoio,aplicativos) e se o mesmo está atualizado; 
há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas; 
há controle e ferramentas adequadas para detecção e eliminação de vírus de computador 
C6 – Controle sobre utilização de redes locais 
Verifica se há restrição de acesso físico ao servidor da rede 
 
Dica 
 
 
Engenharia Social 
 
Veja um programa de auditoria de redes mais completo nas páginas 179 a 187 do capítulo 
15 do material que você recebeu. 
Veja um programa de controles internos de hardware mais completo nas páginas 105 a 
111 do capítulo 8 do material que você recebeu. 
Veja um programa de controles de acesso mais completo nas páginas 116 a 123 do 
capítulo 9 do material que você recebeu.