Baixe o app para aproveitar ainda mais
Prévia do material em texto
- -1 AUDITORIA DE SISTEMAS AUDITORIAS DIRECIONADAS - -2 Olá! Nesta aula, você irá: 1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso. 2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso. 3. Aprender como construir uma senha considerada eficiente. 4. Ver qual deve ser o conteúdo de um script de Call Center a fim de certificar-se que a pessoa que ligou é quem realmente diz ser quem é. 1 Auditoria de redes Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela posse. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa tornou-se crucial. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. Também devemos considerar os seguintes processos na auditoria de redes: • Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática.• - -3 • Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática. • Desenho das arquiteturas e da topologia da rede. • Implementação dos projetos físicos e lógicos. • Monitoramento dos desempenhos e possíveis interceptações nas redes. • Replanejamento de capacidade. • Levantamento dos problemas operacionais e sua resolução. O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de portas ou buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da workstation em relação ao time-out interval. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança física Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. Segurança lógica Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. Segurança de enlace As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. Segurança deaplicação Disponibilidade da rede, isto é, poder confiar que ela estará disponível quando necessária, mesmo em situações adversas. • • • • • • - -4 2 Programa de auditoria de redes Os papéis que servirão de evidência para a verificação de controles são documentados em forma de papéis de trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em questão. Esses documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria NC-nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P” do questionário. Atenção Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais! Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! C1 - Políticas empresariais que garantem implementação efetiva dos controles relacionados com o ambiente de rede, que incluem os itens: Administração de rede; Registro das operações dos controladores, terminais, linhas de comunicação, etc.; Vigilância sobre os acontecimentos; Registro dos custos dos usos para facilitar o recharge; Soluções dos problemas operacionais; Geração de relatórios gerenciais Se houver, faça um resumo do que você verificou e arquive na pasta administrativa da auditoria sob a legenda DOCUMENTAÇÃO. - -5 C2 - Controles sobre o ambiente e informações com relação a definição da plataforma de hardware, software, sistema operacional e mitigação de riscos inerentes. Observa se os equipamentos (servidores, workstations e impressoras) estão dimensionados o suficiente para atender às necessidades da empresa. Envolve observações sobre fornecedores, manutenção, compartilhamento de hardware, treinamento na utilização de equipamentos e documentação. C3 - Controles sobre o software. Abrange sistema operacional do computador, sistema operacional do servidor, processadores de texto, planilhas, utilitários, banco de dados, controle de acesso etc, além de verificar se existe uma política organizacional que regulamente e monitore todo o uso de software na instalação considerando normas de conscientização, padronização e controle de versão entre outros. C4 - Controles de segurança Garantem adequado controle sobre a transmissão de dados pela rede entre microcomputadores/Workstations, proteção de dados críticos em relação a acessos indevidos, alterações e intercepção não autorizada. São verificadas os gateways, servidores e bridges que permitem comunicação remota, procedimentos de verificação/controle para assegurar apenas acessos autorizados (senhas, call-back), identificação de equipamentos que permitam ligação com o mainframe (upload/download), existência de administrador de segurança, existência de back-ups adequados, incluindo a rotina de geração e liberação dos mesmos, de plano de contingência e de biblioteca externa dentre outros requisitos. Verifica se são utilizados recursos de user-ids e senhas e se os mesmos são confiáveis no tangente a manutenção e facilidade de identificação por terceiros. Também verifica se há usuários que não tem utilizado o sistema por período diferente do que se espera. Isto poderá identificar funcionários que saíram da empresa e que continuam com login ativo. C5 - Informações gerais sobre implementação de (firewalls = são dispositivos constituídos pela firewall combinação de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. O é um software utilizado para proteger computador contra acessos não autorizados vindosfirewall pessoal um da internet, e constitui um tipo especifico de firewall) consistente com os padrões de segurança de informação da empresa. Verifica quais tipos de internet, considerando conexões diretas para ISP, linhas discadas, linhas dedicadas, satélites, rádio. Analisa se o firewall foi desenvolvido internamente ou se comprado e, se está atualizado. Certifica-se se as trilhas de auditoria foram ativadas, quais os processos de rastreamento e procedimentos quando houver troca de hardware e software. C6 - Procedimentos específicos de controles de operação de firewall. - -6 Verifica se os equipamentos de firewall são adequadamente guardados, atentando para verificação se o acesso é apenas por pessoas autorizadas, se eles são controlados e monitorados, para quantos pontos e interfaces existem com acesso ao firewall ou com acesso ao host da empresa. 3 Auditoria de hardware O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de computador bem como controles referentes à proteção de vida de pessoas. Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. 4 Programa de controle interno de hardware Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para levantamento de controles internos de hardware nas páginas 105 a 111 do capítulo 8 do material que receberam. Veja a seguir um resumo do programa: C1 – Controles de acesso físico ao ambiente de informática. - -7 Abrange preocupações sobre acesso físico ao CPD, àfitoteca, equipamentos de comunicação e painel de controle. Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo, acesso aos backups e biblioteca externa. C2 – Controle de acionamento e desligamento de máquinas. Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte. Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas. C4 - Localização e infraestrutura do CPD Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes, pólos geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de substâncias inflamáveis). Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração, treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador). C5 – Controle de back-up e off-site Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para serem utilizados em caso de emergência. Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e recuperação (como visto na aula 2). C6 – Controles de aquisição e disposição do equipamento Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo está atualizado. C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software, sistema operacional e os riscos inerentes. Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros departamentos, necessidade de expansão do parque instalado e facilidades de treinamento. Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. C8 – Controles sobre os recursos instalados Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos softwares e se elas são seguidas. C9 - Garantia de integridade de transmissão. - -8 Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar somente os acessos autorizados. 5 Controle de acesso Temos duas grandes vertentes em relação a acesso: Acesso físico (relativo a entrada de indivíduos em determinados recintos) O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, (uso de biometria caraterísticas pessoais como identificador das pessoas tais como digital, Iris, voz etc). Além da identificação da pessoa torna-se necessário o controle de porte de metais. Sabemos que um simples imã pode desmagnetizar uma CPU, não? O cuidado com a identificação por leitura de impressão digital é a capacidade de o equipamento ler e reconhecer a digital lida, muitas vezes afetada pela gordura nos dedos. Acesso lógico (relativo a manuseio de informações em meios magnéticos) A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. Desta forma, para eficiência do controle, torna-se necessário um eficaz gerenciamento de senhas. Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente. Outras informações pessoais não devem ser usadas pois a está presente na internet ou nosengenharia social* pseudos telefonemas de fornecedores. O sobrenome, número de documentos, placas de carro, números de telefone e datas relevantes também não devem ser utilizados como senhas, pela mesma razão. *Engenharia social: Usar de persuasão, abusando da ingenuidade das pessoas, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores, sistemas, informações. Saiba mais Clique no link a seguir para saber mais sobre controle de acesso lógico: - -9 6 Programa de controle de acesso Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123, capítulo 9, do material entregue a vocês. Farei aqui um resumo: C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de segurança. Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico estará sendo executado. C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso. Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de funções. C3 – Software para controle de acesso Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, transações, programas, jobs, etc. além de gerenciamento de senhas. Avalia procedimentos de segurança com relação: • ao cadastramento, bloqueio e exclusão de usuários do sistema; • a solicitação e alteração de senhas; • ao desligamento do sistema/terminal após n tentativas de certo da senha; Clique no link a seguir para saber mais sobre controle de acesso lógico: http://estaciodocente.webaula.com.br/cursos/gra097/docs/07AS_doc01.pdf • • • - -10 • ao desligamento do sistema/terminal após n tentativas de certo da senha; • ao desligamento automático do sistema / terminal após n minutos sem uso; • ao log de tentativas de acesso frustradas; • a atualização (troca) de senhas dos usuários. C4 – Controle de acesso a transações Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo funcionários que trocaram de área, funcionários demitidos. Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente revisados pelo administrador de segurança. C5 – Controle sobre utilização de software Certifica-se se: • há inventário de software (de apoio, aplicativos) e se o mesmo está atualizado; • há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas; • há controle e ferramentas adequadas para detecção e eliminação de vírus de computador. C6 – Controle sobre utilização de redes locais Verifica se há restrição de acesso físico ao servidor da rede. O que vem na próxima aula Na próxima aula, você estudará os seguintes assuntos: • Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos. CONCLUSÃO Nesta aula, você: • Estudou auditoria específica para redes de computadores, hardware e controle de acesso. • Viu programas de auditoria para redes de computadores, hardware e controle de acesso. • Aprendeu como construir uma senhaconsiderada eficiente. • Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é quem realmente diz ser quem é. • • • • • • • • • • • •
Compartilhar