Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas João Paulo Brognoni Casati Aula 7 Conteúdo da Aula • Auditoria direcionada –Auditoria de redes –Auditoria de hardware –Auditoria de controles de acesso –Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas 2 Auditoria Direcionada • Auditoria de redes –De suma importância para as organizações –Pode ser dividida em: • Intranet • Internet • Extranet 3 Auditoria Direcionada • Objetivos da auditoria de redes –Segurança física –Segurança lógica –Segurança de enlace –Segurança de aplicação 4 Auditoria Direcionada • Itens avaliados na auditoria de redes –Planejamento da rede com visão estratégica –Desenho das arquiteturas e topologias – Implantação dos projetos –Monitoramento: • Desempenho • Interceptações 5 Auditoria Direcionada • Checklist para auditoria de redes –Verificar as políticas organizacionais; –Verificar os controles de ambiente. • Plataforma: hardware, software, etc. –Verificar controles sobre o software; –Verificar controles de segurança; –Outros... 6 Auditoria Direcionada • Auditoria de hardware –Visa implantar procedimentos de segurança física dos equipamentos; –Manter inventários é de grande importância; –Padronização na aquisição de equipamentos. • Compatibilidade 7 Auditoria Direcionada • Manutenção de hardware –Prazo de atendimento dos chamados; –Tempo máximo para resolução de problemas; –Período coberto por contratos. • Madrugada, fins de semana, feriados, etc. 8 Auditoria Direcionada • A auditoria de hardware garante: –Proteção dos equipamentos • Servidores, CPUs, Terminais... –Equipamento de restrição de acesso • Impossibilitar o acesso de pessoas não autorizadas em ambientes da organização. 9 Auditoria Direcionada • Checklist para auditoria de hardware –Verificar controles de acesso físico ao ambiente de TI; –Verificar controles de acionamento e desligamento de máquinas; –Verificar localização e infraestrutura do CPD; –Controle de backup e off-site. 10 Auditoria Direcionada • Auditoria de controles de acesso –O controle de acesso pode ser dividido em: • Acesso físico: relativo à entrada de pessoas em recintos. • Acesso lógico: relativo ao acesso às informações. 11 Auditoria Direcionada • Controles de acesso físico –Crachás –Biometria • Controles de acesso lógico –Senhas • Deve-se tomar cuidados ao criar senhas! –Logs: sem acesso 12 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar políticas de segurança; –Verificar rotinas e procedimentos para atribuição ou modificação do nível de acesso; –Verificar software de controle de acesso. 13 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar os controles de acesso às transações; –Verificar controle da utilização de software; –Verificar controle da utilização de rede. 14 Auditoria Direcionada • Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas –Dúvida: • Comprar ou Desenvolver software? –Softwares prontos são mais baratos, mas... • Supre as necessidades? 15 Auditoria Direcionada • Aquisição ou Desenvolvimento –Considerar a viabilidade: • Econômica • Operacional • Técnica –Tomar decisão final 16 Auditoria Direcionada • Ações em caso de aquisição –Planejamento das aquisições –Documentação dos requisitos –Cotações, ofertas, propostas –Seleção da melhor proposta –Contrato e relacionamento com fornecedor –Fechamento do contrato 17 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Aprovação para início do projeto –Definição dos requisitos –Declaração do escopo –Definição das atividades do projeto –Cronograma do projeto –Orçamento do projeto 18 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Definição da equipe e outros recursos –Necessidades de treinamento –Plano de implantação –Plano de contingência e riscos –Atualização da biblioteca de produção 19 Auditoria Direcionada • É necessário também: –Testar o sistema • Garantir que os requisitos funcionais e não funcionais são atendidos. –Documentar o sistema • Documentação deve seguir linguagem e padrões corretos. 20 Auditoria Direcionada • Sobre a documentação, deve-se verificar: –Se está em uma biblioteca; –Se segue os padrões; –Se possui narrativas; –Se possui fluxograma do sistema e arquivos; –Se possui manual de operação do usuário. 21 Auditoria Direcionada • A auditoria direcionada a este caso deve verificar se: –Há necessidade de um sistema novo; –Se os usuários fazem recomendação sobre aquisição ou desenvolvimento interno; –Se as funcionalidades, tecnologia e segurança são esclarecidos (aquisição); 22 Auditoria Direcionada –Se os usuários são treinados para operar o sistema; –Se a manutenção pode ser feita sem interrupção das operações; –Se a documentação está disponível. 23 Auditoria Direcionada • Checklist: –Especificação do sistema • Procedimentos para elaboração de requisitos –Aquisição de sistemas • Procedimento para envolvimento de usuários na seleção, especificação ou modificação de sistemas. 24 Auditoria Direcionada •Procedimentos que determinam prioridades para projetos de desenvolvimento e manutenção. •Procedimentos para rever as especificações dos projetos por pessoal de operação. 25 Auditoria Direcionada –Programação •A organização desenvolve ou modifica sistemas internamente. –Teste •Procedimentos para testar aplicativos novos ou que sofreram alterações. 26 Auditoria Direcionada –Documentação •Manutenção da documentação para sistemas significativos. –Manutenção •Manutenção de programas está sujeita aos padrões de programação. 27 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 7 29 Atividade 1 Dê dois exemplos de controle de acesso físico. O uso de crachás ou cartões de identificação e biometria. 30 Atividade 2 Dê dois exemplos de controle de acesso físico biométrico. Reconhecimento de impressão digital e reconhecimento de íris. 31 Atividade 3 Quais são os três tipos de redes? Intranet, Internet e Extranet 32 Atividade 4 O que deve ser considerado ao optar por aquisição ou desenvolvimento interno de sistemas? A viabilidade econômica, operacional e técnica.
Compartilhar