Auditoria de Sistemas: Redes, Hardware e Controles de Acesso

Prévia do material em texto

Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Aula 7
Conteúdo da Aula
• Auditoria direcionada
–Auditoria de redes
–Auditoria de hardware
–Auditoria de controles de acesso
–Auditoria de aquisição, desenvolvimento, 
documentação e manutenção de sistemas
2
Auditoria Direcionada
• Auditoria de redes
–De suma importância para as organizações
–Pode ser dividida em:
• Intranet
• Internet
• Extranet
3
Auditoria Direcionada
• Objetivos da auditoria de redes
–Segurança física
–Segurança lógica
–Segurança de enlace
–Segurança de aplicação
4
Auditoria Direcionada
• Itens avaliados na auditoria de redes
–Planejamento da rede com visão estratégica
–Desenho das arquiteturas e topologias
– Implantação dos projetos
–Monitoramento:
• Desempenho
• Interceptações
5
Auditoria Direcionada
• Checklist para auditoria de redes
–Verificar as políticas organizacionais;
–Verificar os controles de ambiente.
• Plataforma: hardware, software, etc.
–Verificar controles sobre o software;
–Verificar controles de segurança;
–Outros...
6
Auditoria Direcionada
• Auditoria de hardware
–Visa implantar procedimentos de segurança 
física dos equipamentos;
–Manter inventários é de grande importância;
–Padronização na aquisição de 
equipamentos.
• Compatibilidade
7
Auditoria Direcionada
• Manutenção de hardware
–Prazo de atendimento dos chamados;
–Tempo máximo para resolução de 
problemas;
–Período coberto por contratos.
• Madrugada, fins de semana, feriados, etc.
8
Auditoria Direcionada
• A auditoria de hardware garante:
–Proteção dos equipamentos
• Servidores, CPUs, Terminais...
–Equipamento de restrição de acesso
• Impossibilitar o acesso de pessoas não 
autorizadas em ambientes da organização.
9
Auditoria Direcionada
• Checklist para auditoria de hardware
–Verificar controles de acesso físico ao 
ambiente de TI;
–Verificar controles de acionamento e 
desligamento de máquinas;
–Verificar localização e infraestrutura do CPD;
–Controle de backup e off-site.
10
Auditoria Direcionada
• Auditoria de controles de acesso
–O controle de acesso pode ser dividido em:
• Acesso físico: relativo à entrada de pessoas 
em recintos.
• Acesso lógico: relativo ao acesso às 
informações.
11
Auditoria Direcionada
• Controles de acesso físico
–Crachás
–Biometria
• Controles de acesso lógico
–Senhas
• Deve-se tomar cuidados ao criar senhas!
–Logs: sem acesso
12
Auditoria Direcionada
• Checklist para auditoria de controles de 
acesso
–Verificar políticas de segurança;
–Verificar rotinas e procedimentos para 
atribuição ou modificação do nível de 
acesso;
–Verificar software de controle de acesso.
13
Auditoria Direcionada
• Checklist para auditoria de controles de 
acesso
–Verificar os controles de acesso às 
transações;
–Verificar controle da utilização de software;
–Verificar controle da utilização de rede.
14
Auditoria Direcionada
• Auditoria de aquisição, desenvolvimento, 
documentação e manutenção de sistemas
–Dúvida:
• Comprar ou Desenvolver software?
–Softwares prontos são mais baratos, mas...
• Supre as necessidades?
15
Auditoria Direcionada
• Aquisição ou Desenvolvimento
–Considerar a viabilidade:
• Econômica
• Operacional
• Técnica
–Tomar decisão final
16
Auditoria Direcionada
• Ações em caso de aquisição
–Planejamento das aquisições
–Documentação dos requisitos
–Cotações, ofertas, propostas
–Seleção da melhor proposta
–Contrato e relacionamento com fornecedor
–Fechamento do contrato
17
Auditoria Direcionada
• Roteiro para a auditoria (verificar):
–Aprovação para início do projeto
–Definição dos requisitos
–Declaração do escopo
–Definição das atividades do projeto
–Cronograma do projeto
–Orçamento do projeto
18
Auditoria Direcionada
• Roteiro para a auditoria (verificar):
–Definição da equipe e outros recursos
–Necessidades de treinamento
–Plano de implantação
–Plano de contingência e riscos
–Atualização da biblioteca de produção
19
Auditoria Direcionada
• É necessário também:
–Testar o sistema
• Garantir que os requisitos funcionais e não 
funcionais são atendidos.
–Documentar o sistema
• Documentação deve seguir linguagem e 
padrões corretos.
20
Auditoria Direcionada
• Sobre a documentação, deve-se verificar:
–Se está em uma biblioteca;
–Se segue os padrões;
–Se possui narrativas;
–Se possui fluxograma do sistema e arquivos;
–Se possui manual de operação do usuário.
21
Auditoria Direcionada
• A auditoria direcionada a este caso deve 
verificar se:
–Há necessidade de um sistema novo;
–Se os usuários fazem recomendação sobre 
aquisição ou desenvolvimento interno;
–Se as funcionalidades, tecnologia e 
segurança são esclarecidos (aquisição);
22
Auditoria Direcionada
–Se os usuários são treinados para operar o 
sistema;
–Se a manutenção pode ser feita sem 
interrupção das operações;
–Se a documentação está disponível.
23
Auditoria Direcionada
• Checklist:
–Especificação do sistema
• Procedimentos para elaboração de requisitos
–Aquisição de sistemas
• Procedimento para envolvimento de usuários 
na seleção, especificação ou modificação de 
sistemas.
24
Auditoria Direcionada
•Procedimentos que determinam prioridades 
para projetos de desenvolvimento e 
manutenção.
•Procedimentos para rever as especificações 
dos projetos por pessoal de operação.
25
Auditoria Direcionada
–Programação
•A organização desenvolve ou modifica 
sistemas internamente.
–Teste
•Procedimentos para testar aplicativos 
novos ou que sofreram alterações.
26
Auditoria Direcionada
–Documentação
•Manutenção da documentação para 
sistemas significativos.
–Manutenção
•Manutenção de programas está sujeita 
aos padrões de programação.
27
Auditoria de 
Sistemas
João Paulo
Brognoni Casati
Atividade 7 
29
Atividade 1
Dê dois exemplos de controle de acesso 
físico.
O uso de crachás ou 
cartões de identificação e 
biometria.
30
Atividade 2
Dê dois exemplos de controle de acesso 
físico biométrico.
Reconhecimento de 
impressão digital e 
reconhecimento de íris.
31
Atividade 3
Quais são os três tipos de redes?
Intranet, Internet e Extranet
32
Atividade 4
O que deve ser considerado ao optar por 
aquisição ou desenvolvimento interno de 
sistemas?
A viabilidade econômica, 
operacional e técnica.