Auditoria de sistemas 7

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
AUDITORIAS DIRECIONADAS
- -2
Olá!
Nesta aula, você irá:
1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso.
2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso.
3. Aprender como construir uma senha considerada eficiente.
4. Ver qual deve ser o conteúdo de um script de Call Center a fim de certificar-se que a pessoa que ligou é quem
realmente diz ser quem é.
1 Auditoria de redes
Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela posse. Estas
informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via
extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas
informações que refletem a vida da empresa tornou-se crucial.
A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações
nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de
transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.
Também devemos considerar os seguintes processos na auditoria de redes:
• Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática.•
- -3
• Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática.
• Desenho das arquiteturas e da topologia da rede.
• Implementação dos projetos físicos e lógicos.
• Monitoramento dos desempenhos e possíveis interceptações nas redes.
• Replanejamento de capacidade.
• Levantamento dos problemas operacionais e sua resolução.
O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e
aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de portas
ou buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da
workstation em relação ao time-out interval.
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
Segurança
física
Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
Segurança
lógica
Customização de recursos de software, desempenho, acompanhamento e rendimento
operacional.
Segurança
de enlace
As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos
limites estabelecidos.
Segurança
deaplicação
Disponibilidade da rede, isto é, poder confiar que ela estará disponível quando necessária,
mesmo em situações adversas.
•
•
•
•
•
•
- -4
2 Programa de auditoria de redes
Os papéis que servirão de evidência para a verificação de controles são documentados em forma de papéis de
trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em questão. Esses
documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria
NC-nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P”
do questionário.
Atenção Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que
escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais!
Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro!
 C1 - Políticas empresariais que garantem implementação efetiva dos controles relacionados com o ambiente de
rede, que incluem os itens:
Administração de rede;
Registro das operações dos controladores, terminais, linhas de comunicação, etc.;
Vigilância sobre os acontecimentos;
Registro dos custos dos usos para facilitar o recharge;
Soluções dos problemas operacionais;
Geração de relatórios gerenciais
Se houver, faça um resumo do que você verificou e arquive na pasta administrativa da auditoria sob a legenda
DOCUMENTAÇÃO.
- -5
C2 - Controles sobre o ambiente e informações com relação a definição da plataforma de hardware, software,
sistema operacional e mitigação de riscos inerentes.
Observa se os equipamentos (servidores, workstations e impressoras) estão dimensionados o suficiente para
atender às necessidades da empresa.
Envolve observações sobre fornecedores, manutenção, compartilhamento de hardware, treinamento na
utilização de equipamentos e documentação.
 C3 - Controles sobre o software.
Abrange sistema operacional do computador, sistema operacional do servidor, processadores de texto, planilhas,
utilitários, banco de dados, controle de acesso etc, além de verificar se existe uma política organizacional que
regulamente e monitore todo o uso de software na instalação considerando normas de conscientização,
padronização e controle de versão entre outros.
C4 - Controles de segurança 
Garantem adequado controle sobre a transmissão de dados pela rede entre microcomputadores/Workstations,
proteção de dados críticos em relação a acessos indevidos, alterações e intercepção não autorizada.
São verificadas os gateways, servidores e bridges que permitem comunicação remota, procedimentos de
verificação/controle para assegurar apenas acessos autorizados (senhas, call-back), identificação de
equipamentos que permitam ligação com o mainframe (upload/download), existência de administrador de
segurança, existência de back-ups adequados, incluindo a rotina de geração e liberação dos mesmos, de plano de
contingência e de biblioteca externa dentre outros requisitos.
Verifica se são utilizados recursos de user-ids e senhas e se os mesmos são confiáveis no tangente a manutenção
e facilidade de identificação por terceiros. Também verifica se há usuários que não tem utilizado o sistema por
período diferente do que se espera. Isto poderá identificar funcionários que saíram da empresa e que continuam
com login ativo.
C5 - Informações gerais sobre implementação de (firewalls = são dispositivos constituídos pela firewall
combinação de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. O 
 é um software utilizado para proteger computador contra acessos não autorizados vindosfirewall pessoal um 
da internet, e constitui um tipo especifico de firewall) consistente com os padrões de segurança de informação
da empresa. Verifica quais tipos de internet, considerando conexões diretas para ISP, linhas discadas, linhas
dedicadas, satélites, rádio. Analisa se o firewall foi desenvolvido internamente ou se comprado e, se está
atualizado. Certifica-se se as trilhas de auditoria foram ativadas, quais os processos de rastreamento e
procedimentos quando houver troca de hardware e software.
C6 - Procedimentos específicos de controles de operação de firewall.
- -6
Verifica se os equipamentos de firewall são adequadamente guardados, atentando para verificação se o acesso é
apenas por pessoas autorizadas, se eles são controlados e monitorados, para quantos pontos e interfaces existem
com acesso ao firewall ou com acesso ao host da empresa.
3 Auditoria de hardware
O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados na
empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de
computador bem como controles referentes à proteção de vida de pessoas.
Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás
carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc.
4 Programa de controle interno de hardware
Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para
levantamento de controles internos de hardware nas páginas 105 a 111 do capítulo 8 do material que
receberam.
Veja a seguir um resumo do programa:
C1 – Controles de acesso físico ao ambiente de informática. 
- -7
Abrange preocupações sobre acesso físico ao CPD, àfitoteca, equipamentos de comunicação e painel de controle.
Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo, acesso
aos backups e biblioteca externa.
C2 – Controle de acionamento e desligamento de máquinas. 
Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto.
 C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte.
Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para
dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas.
 C4 - Localização e infraestrutura do CPD
Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes,
pólos geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de substâncias
inflamáveis). Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração,
treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador).
C5 – Controle de back-up e off-site 
Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de
retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para
serem utilizados em caso de emergência.
Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e recuperação
(como visto na aula 2).
 C6 – Controles de aquisição e disposição do equipamento
Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo
está atualizado.
C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software,
sistema operacional e os riscos inerentes.
Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros
departamentos, necessidade de expansão do parque instalado e facilidades de treinamento.
Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter
a continuidade das operações de cada área.
C8 – Controles sobre os recursos instalados
Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos
softwares e se elas são seguidas.
C9 - Garantia de integridade de transmissão.
- -8
Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou
workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os
equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar
somente os acessos autorizados.
5 Controle de acesso
Temos duas grandes vertentes em relação a acesso:
Acesso físico (relativo a entrada de indivíduos em determinados recintos)
O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de
várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, (uso de biometria
caraterísticas pessoais como identificador das pessoas tais como digital, Iris, voz etc). Além da identificação da
pessoa torna-se necessário o controle de porte de metais. Sabemos que um simples imã pode desmagnetizar
uma CPU, não?
O cuidado com a identificação por leitura de impressão digital é a capacidade de o equipamento ler e reconhecer
a digital lida, muitas vezes afetada pela gordura nos dedos.
Acesso lógico (relativo a manuseio de informações em meios magnéticos)
A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou
gravarem informações é através de senhas. Desta forma, para eficiência do controle, torna-se necessário um
eficaz gerenciamento de senhas.
Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém,
onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria
tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de
banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente.
Outras informações pessoais não devem ser usadas pois a está presente na internet ou nosengenharia social* 
pseudos telefonemas de fornecedores.
O sobrenome, número de documentos, placas de carro, números de telefone e datas relevantes também não
devem ser utilizados como senhas, pela mesma razão.
*Engenharia social: Usar de persuasão, abusando da ingenuidade das pessoas, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores, sistemas, informações.
Saiba mais
Clique no link a seguir para saber mais sobre controle de acesso lógico:
- -9
6 Programa de controle de acesso
Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123,
capítulo 9, do material entregue a vocês. Farei aqui um resumo:
C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de
segurança.
Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam
envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em
controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as
pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico
estará sendo executado.
C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso.
Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de
funções.
C3 – Software para controle de acesso
Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, transações,
programas, jobs, etc. além de gerenciamento de senhas.
Avalia procedimentos de segurança com relação:
• ao cadastramento, bloqueio e exclusão de usuários do sistema;
• a solicitação e alteração de senhas;
• ao desligamento do sistema/terminal após n tentativas de certo da senha;
Clique no link a seguir para saber mais sobre controle de acesso lógico:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/07AS_doc01.pdf
•
•
•
- -10
• ao desligamento do sistema/terminal após n tentativas de certo da senha;
• ao desligamento automático do sistema / terminal após n minutos sem uso;
• ao log de tentativas de acesso frustradas;
• a atualização (troca) de senhas dos usuários.
C4 – Controle de acesso a transações
Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo
funcionários que trocaram de área, funcionários demitidos.
Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente
revisados pelo administrador de segurança.
C5 – Controle sobre utilização de software
Certifica-se se:
• há inventário de software (de apoio, aplicativos) e se o mesmo está atualizado;
• há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas;
• há controle e ferramentas adequadas para detecção e eliminação de vírus de computador.
C6 – Controle sobre utilização de redes locais
Verifica se há restrição de acesso físico ao servidor da rede.
O que vem na próxima aula
Na próxima aula, você estudará os seguintes assuntos:
• Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e 
manutenção de sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos.
CONCLUSÃO
Nesta aula, você:
• Estudou auditoria específica para redes de computadores, hardware e controle de acesso.
• Viu programas de auditoria para redes de computadores, hardware e controle de acesso.
• Aprendeu como construir uma senhaconsiderada eficiente.
• Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é 
quem realmente diz ser quem é.
•
•
•
•
•
•
•
•
•
•
•
•