Baixe o app para aproveitar ainda mais
Prévia do material em texto
83 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Unidade III 5 A ABRANGÊNCIA DA INFRAESTRUTURA Esta unidade irá se debruçar sobre a auditoria da infraestrutura computacional e tratar inicialmente sobre análise de risco e processos do gerenciamento de TI. Serão discutidos pontos importantes relacionados a data centers, hardware e quais são os controles físicos mais recomendados nesses ambientes. Veremos detalhes sobre como é realizado o processo de auditoria dentro da infraestrutura computacional. O foco recairá sobre os procedimentos que devem ser adotados em auditorias para redes (com ênfase nas redes sem fio) e nos inventários de equipamentos, além de alguns padrões usados para a auditoria de hardware. 5.1 Introdução à análise de risco A análise de risco é uma ferramenta usada em diversos ambientes e situações, que pode ser até considerada um controle de segurança. Ela se mostra extremamente válida para diagnóstico e avaliação dos processos de auditoria. Para que o entendimento seja completo, este tópico irá apresentar os principais conceitos relacionados ao processo de análise de risco estabelecidos por duas normas de segurança, a ABNT NBR ISO/IEC 27005 (ABNT, 2019) e a americana NIST 800-30. Também dará ênfase à forma como uma análise de risco pode servir para o processo de auditoria. O risco é uma função que envolve três pesos: a probabilidade de uma determinada ameaça se concretizar pela exploração de uma vulnerabilidade potencial; o impacto resultante desse evento adverso na organização; e a proteção oferecida pelos controles de segurança em uso no momento. Probabilidade de uma ameaça/vulnerabilidade Controles Nível de risco Impacto da ameaça Função de risco Figura 52 – Elementos que entram na função de risco para o cálculo do nível de risco 84 Unidade III O resultado de uma função de risco, que recebe as entradas referidas na figura anterior, é justamente o nível de risco. O nível de risco é mais que um número indicando uma probabilidade; ele congrega em um só valor a chance de um problema acontecer em conjunto com a minimização provocada pelos controles, além de levar em conta impactos negativos da concretização da ameaça. Basicamente, é um indicador sobre os malefícios mais propensos aos prejuízos a que uma organização está sujeita. Como o risco é resultado de um cálculo, outros fatores também devem ser levados em conta para a concretização de uma boa análise de risco. Um deles é o fator econômico. Como pode ser visto na figura a seguir, a gestão de riscos procura manter um equilíbrio entre o operacional e os custos econômicos de medidas protecionistas (despesas). Figura 53 – Manter o equilíbrio entre os custos e as operações é muito importante em uma análise de riscos É importante citar que o fator custo não deve ser o único indicativo, mas um elemento adicional que precisa ser levado em conta. A própria análise de risco serve como ferramenta para o estabelecimento de quanto custa para mitigar um problema latente. Outra vantagem que a empresa ganha com a gestão de riscos é que, ao proteger os sistemas de TI e os dados, naturalmente a capacidade da organização de realizar sua missão se torna menos complexa. 5.1.1 A análise de risco pela ótica da ABNT NBR ISO/IEC 27005 A norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) fornece algumas diretrizes para o processo de gestão de riscos de segurança da informação. Essa norma define que a gestão de riscos deve ser um processo contínuo aplicado em toda a organização e precisa contribuir para: • Identificação dos riscos. • Análise e avaliação dos riscos. 85 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) • Comunicação e entendimento da probabilidade das consequências dos riscos. • Priorização das ações. • Envolvimento dos responsáveis. • Monitoramento, gestão e análise crítica dos riscos. • Treinamento e processo de melhorias. Em relação ao processo de gestão de riscos da segurança da informação, a aderência da norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) segue as definições do PDCA, listadas no quadro a seguir. Quadro 6 – Aderência da norma ABNT NBR ISO/IEC 27005 à gestão de riscos da segurança da informação em relação ao PDCA Fase Processo de gestão de riscos da segurança da informação Planejar Definição do contexto Análise e avaliação de riscos Definição do plano de tratamento do risco Aceitação do risco Executar Implementação do plano de tratamento de riscos Verificar Monitoramento contínuo e análise crítica de riscos Atualizar Manutenção e melhoria do processo de gestão de riscos da segurança da informação Lembrete O PDCA (planejar, executar, verificar e atualizar) é um ciclo de ferramentas/orientação usado mundialmente para a resolução de problemas e a melhoria contínua de processos. A arquitetura para a análise e avaliação de riscos da norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) está ilustrada na figura a seguir. 86 Unidade III Tratamento do risco Aceitação do risco Definição do contexto Co m un ic aç ão d o ris co M on ito ra m en to e a ná lis e cl ín ic a do ri sc o Identificação de riscos Estimativa de riscos Avaliação de riscos Ponto de decisão 1 Avaliação satisfatória Ponto de decisão 2 Tratamento satisfatório Sim Sim Não Não Avaliação de risco Análise/avaliação de risco Figura 54 – Arquitetura para análise e avaliação de riscos da norma ABNT NBR ISO/IEC 27005 Como pode ser visto na figura anterior, a arquitetura proposta sugere que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avalição dos riscos. Para isso, a arquitetura se divide em análise e avaliação de riscos. A análise de riscos busca determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. Envolve as etapas a seguir: • Identificação de riscos: processo que identifica os elementos que entram na função de risco: — Identificação de ativos. — Identificação das ameaças. — Identificação das vulnerabilidades. 87 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) — Identificação dos controles existentes. — Identificação dos impactos. • Estimativa de riscos: processo de cálculo do nível de riscos: — Metodologias para estimativa de riscos. — Avaliação das consequências. — Avaliação da probabilidade dos incidentes. — Estimativa (cálculo) do nível de risco. Já a avaliação de riscos se trata de uma análise bem apurada sobre os riscos calculados. É o primeiro passo para que se possa proceder com as soluções. O processo de tratamento dos riscos diz respeito à aplicação de medidas para solucionar ou mesmo gerenciar os riscos calculados na análise/avaliação. A arquitetura proposta pela norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) para tratamento de riscos pode ser vista na figura a seguir. Redução do risco Retenção do risco Ação de evitar o risco Transferência do risco Opções de tratamento do risco Avaliação satisfatória Tratamento satisfatório Riscos residuais Resultados da avaliação de riscos Ponto de decisão 1 Ponto de decisão 2 Tratamento do risco Figura 55 – Arquitetura de tratamento de riscos proposta pela norma ABNT NBR ISO/IEC 27005 88 Unidade III O tratamento de riscos ilustrado na arquitetura da figura anterior é uma sequência do processo de análise e avaliação de riscos. A ideia é que, a partir da análise e do cálculo do risco, um administrador de segurança possa tomar atitudes para o tratamento do risco. Entre as atitudes que podem ser tomadas, estão: • Redução do risco: ações tomadas diretamente sobre os problemas identificados para reduzir a probabilidade e as consequências de um risco. Convém que o nível de risco seja reduzido por meio da seleção de controles para que o risco residual possa ser reavaliado e, então, considerado aceitável. • Retenção do risco: aceitação do prejuízo causado pelos riscos, em geral, porque o custo para resolver um problema é mais alto que os benefícios da resolução.Se o nível de risco atender aos critérios para a aceitação do risco, não há necessidade da implementação de controles adicionais, e pode haver a retenção do risco. • Ação de evitar o risco: neste caso, um processo é alterado para que o resultado não esteja mais exposto ao risco. Perceba que o risco continua existindo. A diferença é que a ação que gerava o risco foi modificada ou deixou de ser executada. • Transferência do risco: transferência do risco para outra entidade que tenha condições de gerenciá-lo. O melhor exemplo é a contratação de um seguro. • Comunicação dos riscos: convém que as informações sobre os riscos sejam trocadas e/ou compartilhadas entre os tomadores de decisão e as partes interessadas. • Monitoramento e análise crítica dos fatores de risco: os riscos e seus fatores (ativos, impactos, ameaças, vulnerabilidades, consequências, probabilidades de ocorrência) devem ser monitorados e analisados criticamente, para que sejam identificadas rapidamente eventuais mudanças na organização. Esse tipo de ação também serve para garantir a evolução dos controles de segurança implementados. • Riscos residuais: são resquícios do risco principal, já tratado, ou novos riscos de menor proporção que sempre sobram após um processo de análise de risco. O monitoramento crítico da análise de risco tende a garantir o gerenciamento desses riscos que sobram. 5.1.2 A análise de risco pela ótica da NIST 800-30 Fundada em 1901, a NIST contém uma subdivisão para tratamento da segurança computacional – Computer Security Division (CSD) – que apresenta uma série de recomendações a respeito da gestão da segurança da informação. A NIST Special Publication 800-30 - Risk Management Guide for Information Technology Systems é a norma que trata sobre o gerenciamento e a análise de risco. A norma possui dois processos principais: a avaliação e a minimização de riscos. 89 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Gestão de riscos NIST 800-30 Avaliação de riscos Minimização de riscos Figura 56 – Principais processos do gerenciamento de riscos proposto pela norma NIST 800-30 A avaliação de riscos é o equivalente à etapa de análise/avaliação de risco na norma ABNT NBR ISO/IEC 27005. Serve para a identificação dos parâmetros que vão compor a função de risco e para o cálculo do nível de risco. Esse processo envolve: • Caracterização do sistema. • Identificação de ameaças. • Identificação de vulnerabilidades. • Levantamento dos controles existentes. • Análise de impacto. • Determinação de probabilidades. • Determinação do risco. • Recomendações de controles de segurança. • Documentação dos resultados. Já a minimização de riscos considera que eliminar totalmente os riscos é uma tarefa muito complexa. Por isso, sugere formas de minimizar os efeitos das ameaças – em muitos casos, são 100% eliminadas –, priorizando as ameaças mais efetivas. Envolve os seguintes passos: • Priorização de ações. • Avaliação dos controles de segurança recomendados. • Condução da análise custo-benefício. 90 Unidade III • Seleção dos controles de segurança. • Atribuição de responsabilidades. • Desenvolvimento de um plano de ação. • Implementação dos controles de segurança selecionados. Podemos perceber que as diferenças entre as recomendações da NIST 800-30 e da ABNT NBR ISO/IEC 27005 (ABNT, 2019) são muito sutis e pontuais. Ambas contemplam o levantamento e a análise dos riscos com base nas ameaças, nas vulnerabilidades, nos impactos e na probabilidade de ocorrência e determinam formas de minimizar os riscos por meio de controles de segurança. Esse tipo de alinhamento não é coincidência. É natural que um processo universal, que pode ser aplicado a diversas áreas, como a análise e o gerenciamento de risco, possua tantos pontos em comum, mesmo em normas diferentes. Saiba mais As normas da americana NIST podem ser acessadas por download no site sem custo: https://www.nist.gov/ 5.1.3 A análise de risco como ferramenta da auditoria Para projetar estratégias de segurança com um custo efetivo, as empresas devem pensar na implementação de ferramentas para o gerenciamento de riscos, que permitam a medição e a análise das situações do dia a dia. A onipresença da TI em todos os setores econômicos da sociedade impulsiona a ocorrência de ameaças e o surgimento de novas vulnerabilidades. Isso torna a segurança da informação um assunto estratégico em muitas organizações. Não se trata apenas de implantar controles de segurança, mas de pensar uma forma de revisar (evoluir) e avaliar (medir) constantemente os controles e as ferramentas implementadas. Há algumas questões que ainda incomodam as pesquisas relacionadas à implantação de ferramentas para a análise de risco, como: • Quais controles de segurança devem ser implementados? • Como gerenciar os níveis de risco de forma segura sem influenciar o desempenho da organização? • Como medir e obter um retorno sobre o investimento realizado em segurança? 91 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Em geral, nos negócios, o custo é sempre considerado. Custo dos controles Operacional Figura 57 – Equilíbrio entre custo e operacional é importante na análise de riscos Com a segurança não é diferente. O primeiro ponto é considerar o valor destinado para a segurança como um investimento, e não um custo. Uma das dificuldades de justificar os investimentos em segurança é que estes não se sobressaem de forma enfática aos olhos dos gestores, especialmente se o negócio principal da empresa não está relacionado à TI e/ou segurança da informação. Lembrete Ciclo de vida refere-se a fases pelas quais um sistema ou projeto passa ao longo do tempo: projeto, desenvolvimento, testes, operação e descarte. Exemplo de aplicação Nem todas as empresas têm a TI como foco principal dos negócios. Entretanto, a maioria delas tem na TI um elemento de suporte essencial aos negócios. Muitas simplesmente não funcionam sem o suporte tecnológico. Sendo assim, é de se esperar que essas organizações entendam os riscos que a falta de investimentos em segurança da informação pode gerar. Infelizmente, isso não é um consenso, pois muitas empresas ignoram por completo a necessidade de investimento em segurança e, consequentemente, a própria importância que a segurança da informação tem para os negócios. Pensemos, por exemplo, na criação de um aplicativo para smartphone, que possui fases de criação e desenvolvimento muito parecidas com as do ciclo de vida de um sistema. 92 Unidade III 1 - Concepção: um aplicatico começa uma ideia. Essa ideia geralmente é refinada para tornar-se uma base sólida para um aplicativo 2 - Design: consiste em definir a experiência do usuário do aplicativo: layout, funcionamento etc. Busca transformar essa experiência do usuário em um design interface adequado, geralmente com a ajuda de um designer gráfico 3 - Desenvolvimento: o aplicativo começa realmente a ser criado com as linguagens de programação adequadas 4 - Estabilização: testes do aplicativo e correção de erros. Liberação de versões beta para testes de massa com sugestões e comentários dos clientes 5 - Distribuição: o aplicativo é distribuido nas lojas virtuais e liberado para o público Figura 58 – Fases para a criação de aplicativos para smartphone Salvo exceções, durante as fases de projeto, desenvolvimento e testes, mostradas na figura anterior, o pensamento dos criadores da aplicação costuma estar focado em desenvolver um sistema amigável, de fácil instalação, compartilhável, com boa interação, que funcione em várias plataformas e que seja compatível com a maior quantidade possível de protocolos de comunicação – mesmo porque, sem essas características, o aplicativo não vai vender! A preocupação com a segurança até existe, mas, muitas vezes, é relegada a segundo plano em favor de desempenho, funcionalidade e custos. O apelo que um aplicativo seguro tem costuma ter impacto muito menor que um aplicativo rápido, porexemplo. Se a intenção é justificar os valores investidos na segurança da informação, uma opção bastante interessante é ter como base três fatores: • O impacto negativo que a concretização de uma determinada ameaça pode gerar nos negócios. • A probabilidade de essa ameaça se concretizar, tendo em vista os controles de segurança existentes atualmente. • O valor que deve ser investido para a criação de contramedidas eficientes. O terceiro item pode ser obtido facilmente com uma simples análise de custo-benefício, do inglês Cost-Benefit Analysis (CBA), gerada a partir do relatório final do gerenciamento de riscos. Um relatório desse tipo evidencia dados como equipe profissional necessária, controles de segurança que precisam ser implementados, regras para a PSI, entre outras medidas de segurança que precisam ser adotadas. É importante perceber que a CBA faz parte do gerenciamento de riscos. Trata-se de um elemento final que identifica os valores dos controles e dos profissionais sugeridos, correlaciona dados do ambiente com mecanismos de proteção que podem gerar valores adicionais na implementação de segurança e 93 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) identifica eventuais custos não previstos de implementação. Tudo isso é usado para que os gestores saibam exatamente quanto custa e quais são os benefícios que esse investimento traz. Assim, os três fatores citados se encaixam perfeitamente nos requisitos levantados para realizar uma análise de risco bem feita. Portanto, pode-se dizer que a análise de risco é uma ferramenta que pode ser utilizada para justificar investimentos em segurança da informação. Exemplo de aplicação Vejamos um exemplo de uma situação, muito usado nas aulas de segurança da informação, que denota como é difícil justificar os investimentos em segurança. Um funcionário responsável pela implementação da segurança da informação solicita ao presidente da organização um determinado valor para implementar controles de segurança lógicos que vão garantir a proteção da rede e dos servidores da empresa. O presidente nega, justificando que não pode gastar recursos financeiros em algo que não faz parte do foco de negócios da empresa e que não traz resultados. O funcionário insiste bastante e, mesmo com a desconfiança da diretoria, acaba conseguindo a verba e implementando todos os controles e as medidas de segurança. Rede local 5 4 3 1 2 Rede desmilitarizada (DMZ) Internet Servidor e-mail Servidor web RoteadorFiltro ou firewall Access point Switch Sistema de detecção/prevenção de intrusões Figura 59 – Esquema ilustrativo de uma rede protegida A figura anterior exibe uma rede local cujo perímetro está protegido desde o acesso à internet, com diversos controles de segurança sequenciais. Isso garante que um eventual ataque que passar por uma proteção irá encontrar outro controle depois. Para a proteção do perímetro da rede da figura, há um roteador, diversos sistemas de detecção e prevenção de intrusões (SDPI), uma DeMilitarized Zone (DMZ) e um firewall. Após um ano, sem ataques computacionais e sem maiores problemas com vulnerabilidades e ameaças aos servidores e à rede da empresa, o presidente constata: “Faz um ano que investimos uma verba em 94 Unidade III segurança da informação. Com certeza foi um investimento inútil, já que nesse período não tivemos qualquer problema na nossa área de TI. Vou demitir o funcionário que pediu a verba”. Perceba que a falta de problemas no último ano é justamente o resultado do investimento realizado; mas é extremamente difícil mostrar o prejuízo gerado caso o investimento não tivesse sido realizado. A análise de riscos é uma das ferramentas mais recomendadas para justificar um investimento em segurança, pois pode explicitar as probabilidades, os impactos e os valores usados para conter os riscos de TI aos quais a empresa está exposta. Além do gerenciamento de riscos, há ferramentas que podem ser utilizadas de forma complementar para justificar os investimentos em segurança. O Return Over Security Investment (ROSI) é outra abordagem complementar ao gerenciamento de riscos que analisa pontos diferentes da CBA. Trata-se da análise sobre qual retorno o investimento em segurança gera. Há inúmeras metodologias para o cálculo do ROSI. A figura a seguir apresenta, como exemplo, uma metodologia sugerida no trabalho de Savino (2011). Resultados da análise ROSI Avaliação de ameaças Passos para o cálculo de estimativas do ROSI, considerando os custos dos controles de segurança Critérios de probabilidade Passos para determinar a frequência de incidentes Gráficos e histogramas Aplicação de estatística para acompanhamento da evolução do ROSI Critérios de oportunidades Passos para determinar melhorias nos processos Critérios de gravidade Passos para determinar os custos ou impactos dos incidentes Figura 60 – Um exemplo de metodologia para avaliação do ROSI 95 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) O ROSI leva em conta números como a expectativa anual de perdas e o histórico de incidentes que impactaram negativamente as taxas de produtividade das organizações. Com esses índices, busca reduzir os custos empregados para reconstituição da infraestrutura de TI afetada nos incidentes. Mesmo com essas vantagens, o ROSI não é efusivamente utilizado em segurança da informação. O problema principal é que, por empregar alguns parâmetros subjetivos, os resultados podem não ser precisos. Ainda assim, estimativas confiáveis podem ser conduzidas e são recomendáveis. Há diversas ferramentas usadas para cálculo do ROSI. Muitas são versões e metodologias diferentes, desenvolvidas em universidades e organizações pelo mundo. Algumas até introduzem elementos de previsão, procurando aumentar o alcance dessas ferramentas. De forma geral, todas buscam os mesmos fins: justificar da melhor forma os investimentos em segurança. Também há algumas normas que provêm suporte para o gerenciamento de risco, como a brasileira ABNT NBR ISO IEC 27005, as americanas NIST SP 800-30 e FISMA, a AS/NZS 4360 (Austrália e Nova Zelândia), as internacionais ISO 13335 e 31000, entre outras. Figura 61 – Framework de gerenciamento de risco FISMA A figura anterior mostra um framework com os passos gerais a serem seguidos para um processo de gerenciamento de risco sugerido pela FISMA. Perceba que o framework possui respaldo de uma série de normas da NIST. 96 Unidade III Diante de todas essas vantagens e tendo como base a importância dos custos para as empresas, os processos de auditoria não podem ignorar a existência e eficácia dessas metodologias. Pelo contrário, o ideal é que a auditoria use os resultados dessas ferramentas como base para aumentar sua própria confiabilidade e se justificar financeiramente. Outro detalhe que remete ao início deste tópico e que está além do custo financeiro é a questão da medição de resultados em um processo de auditoria. Se utilizar o gerenciamento de risco e o ROSI para geração de parâmetros úteis para a auditoria é uma medida recomendada, não há nada que impeça o uso dessas ferramentas durante o processo de auditoria. 5.2 Auditando processos de TI Além dos já citados controles de segurança, usados para proteger os ativos contra ameaças e vulnerabilidades, uma organização conta com outros controles. Os controles organizacionais e operacionais são voltados para a organização dos processos do dia a dia da empresa. Não estão diretamente ligados à segurança, mas são controles que auxiliam as várias transações da companhia (financeiras, operacionais, comerciais etc.). Exemplo de aplicação Suponha que em uma pequena loja haja uma regra que exija que os vendedores anotem o próprio nome a tinta atrás das notas fiscais que emitem. A princípio, trata-se de uma prática incoerente, já que o sistema no qual as notas são emitidas marca o nome do vendedor. Porém, a medida é adotada devido a problemas que já ocorreram com vendedores que emitiramnotas fiscais usando o login de outro usuário e à necessidade de um controle manual em caso de falha do sistema. Trata-se de um controle organizacional-operacional. É fato que a exigência de muitos controles organizacionais e operacionais pode tornar o desempenho do trabalho mais lento. Isso é natural, visto que checagens, verificações e conferências são, muitas vezes, encaradas como burocracias (algumas vezes, são mesmo). Porém, os controles são necessários para regular e organizar o trabalho, além de servir para evitar conflitos na relação entre funcionários e empregadores. É função do processo de auditoria verificar o cumprimento, a coerência e a validade desses controles. São os gestores que administram os controles organizacionais-operacionais, criando regras e processos para atender às demandas da organização. Uma das funções mais importantes dos gestores é segregar funções. 97 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) A segregação de funções é uma atribuição de responsabilidades. Vital quando o assunto é segurança, esse tipo de atribuição também é essencial para uma boa organização da empresa, pois permite que cada setor ou mesmo indivíduo seja cobrado por suas tarefas. Uma segregação bem feita também permite que os resultados sejam avaliados de maneira mais clara. De acordo com a norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b), a segregação de funções tem o objetivo de diminuir o risco de acesso não autorizado, modificação ou mau uso não intencional de um ativo. Por esse motivo, todas as funções em conflito ou áreas de responsabilidade devem ser segregadas. Dessa maneira, uma mesma pessoa não deve ter o direito de inclusão, modificação e autorização em um único perfil de acesso. O controle need-to-know basis se refere à necessidade de saber; ou seja, o usuário saberá apenas o necessário para a execução de sua função. Dessa forma, ele não terá informações desnecessárias disponíveis na operação. A segregação de funções é um processo de divisão de uma tarefa em outras tarefas exclusivas, executadas por pessoas diferentes. Cada usuário envolvido no processo poderá executar apenas uma pequena parte, evitando, assim, a prática de fraudes ou erros, pois será necessária a colaboração de outros usuários para completar a tarefa. Exemplo de aplicação A atribuição de responsabilidades, gerada pelo processo de segregação de funções, tem uma fama ruim. Muitas vezes, é vista como uma forma de vigiar e cobrar quem trabalha e quem não trabalha. A ideia não deveria ser essa. A atribuição prévia de responsabilidades até exime de culpa aquele que não errou, justamente por não ser responsável por aquela tarefa. Contudo, nem sempre é possível realizá-la da forma devida. Não é possível segregar todas as funções e responsabilidades dentro da empresa. Assim, algumas atividades acabam por ficar pulverizadas entre diversas pessoas. Imagine um setor que possui 35 funcionários, dos quais cinco são gerentes. Suponha que exista um controle organizacional-operacional que define que, para a execução de uma determinada transação de exportação, é necessária a presença de um gerente e de mais dois funcionários. Ou seja: para que a transação seja efetuada, um gerente e mais dois funcionários devem se conectar ao sistema e aprovar a prática. Note que não se trata de uma forma de contabilizar aqueles que estão aprovando transações. Na realidade, é uma medida de segurança para evitar fraudes e, ainda, que uma transação errada seja aprovada individualmente (um errar é fácil, três errarem já é mais difícil). Os controles organizacionais-operacionais devem ter claramente definidas suas entradas e resultados esperados. Para isso, os gestores devem estar aptos a cumprir algumas tarefas de gerenciamento: 98 Unidade III • Política de responsabilidades: como visto, o gestor deve trabalhar para implantar uma política voltada para a atribuição de responsabilidades de funções. Porém, atribuir responsabilidades para o acesso, o uso e a manipulação dos ativos da empresa também é muito importante. Essa prática envolve identificar e proteger os ativos críticos, alinhar os controles com a PSI, incentivar a conscientização dos colaboradores, revisar periodicamente os controles em uso e especificar as medidas punitivas em caso de descumprimento dos controles. • Plano de continuidade do negócio ou Business Continuity Plan (BCP): é um plano criado para assegurar a continuidade dos negócios em casos de ocorrência de incidentes que tenham potencial para a interrupção ou, pelo menos, diminuição dos impactos. UM BCP envolve a identificação de quais são os recursos e ativos críticos e os tempos máximos de indisponibilidade, as prioridades, os dados que devem passar por backups, a documentação do BCP e as revisões periódicas pelas quais o BCP deve passar. 5.3 Auditando data centers Os data centers são ambientes centrais que custodiam servidores e equipamentos de TI e armazenam dados, em sua maioria de terceiros. Figura 62 – Data center Como nesses ambientes as operações executadas costumam ser críticas, é comum observar: • Controles de segurança físicos: a predominância de controles de segurança físicos é uma característica comum em data centers. • Gerenciamento de temperatura: é preciso manter a temperatura nesses ambientes em níveis bem controlados. É comum a redundância de aparelhos de ar-condicionado para garantir que eventuais falhas não prejudiquem os equipamentos. • Gerenciamento de energia: a grande incidência da virtualização de servidores a partir dos anos 2000 diminuiu consideravelmente a quantidade de máquinas nos data centers e, 99 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) consequentemente, o consumo de energia. Um único servidor ocupa o lugar de muitas máquinas físicas, já que pode hospedar centenas de máquinas e equipamentos de rede virtuais. Ainda assim, a energia é uma preocupação da chamada TI verde, que busca métodos e modelos de uso computacional cada vez mais sustentáveis. • Otimização do espaço físico: assim como no gerenciamento de energia, a virtualização também ajudou na otimização de espaços, com servidores individuais ocupando o espaço de centenas de máquinas. • Gerenciamento de desastres naturais: os data centers devem possuir toda a infraestrutura para a contenção de incêndios, enchentes, raios e outros desastres naturais. Essa preocupação não se limita ao ambiente, mas se estende para os equipamentos e serviços oferecidos. • Controle de acesso físico: definir quem pode ou não acessar fisicamente esses ambientes continua sendo uma prioridade, pois, ainda que o ambiente seja virtualizado, um dano por sabotagem continua sendo uma ameaça se controles desse tipo não existirem. Métodos de autenticação integrados (biometria + senha + tokens) são utilizados em conjunto com equipamentos que garantem o acesso apenas aos indivíduos autorizados. • Manutenção: a manutenção em data centers deve ser otimizada para que não afete a CIDA dos dados e equipamentos. Por isso, esses ambientes costumam contar com equipes especializadas de monitoramento e de intervenção. Além disso, outra preocupação nesses ambientes é com a organização dos equipamentos e softwares de gerenciamento. Tendo em vista o tamanho dos data centers atuais, não é possível que se conviva com falta de organização e ingerência. • Redundância: links de acesso, geradores, aparelhos de ar-condicionado, equipamentos de rede, enfim, o que for crítico deve ser redundante. • Controles de segurança lógicos: os data centers devem contar com as proteções lógicas adequadas. Redes complexas baseadas em Software Defined Network (SDN), Network Functions Virtualization (NFV) e cenários de fog e cloud computing estão presentes nos data centers atuais e, muitas vezes, exigem proteção específica. Firewalls, Unified Threat Management (UTM), sistemas de detecção e prevenção de intrusões (SDPI), monitores e gerenciadores de rede e sistemas de backup são exemplos de controles de segurançaexigidos nesses ambientes. Observação Uma forma de diminuir o consumo de energia é através do uso de técnicas de contenção que separam o ar quente gerado pela utilização dos equipamentos do ar frio gerado pelos sistemas de ar-condicionado, reduzindo o consumo de energia gasto com a climatização. 100 Unidade III Além disso tudo, há preocupações com a disponibilidade dos recursos, com a escalabilidade e com o desempenho. A norma internacional EIA/TIA 942:2005 trata sobre a construção e implementação de data centers, com definições sobre as características topológicas e os equipamentos, além de estabelecer uma classificação baseada na disponibilidade oferecida. A norma também trata sobre as melhores práticas de gerenciamento de recursos nesses ambientes, como o uso de soluções modulares para a expansão. As principais áreas de um data center podem ser vistas na figura a seguir. Tipos de cabeamento Offices, operations center, support rooms (centro de controle) Telecom room (TR) (sala de telecomunicações) Main dist. area (MDA) (área de distribuição principal: roteadores, backbones, LAN/SAN, switches) Entrance room (ER) (hall de entrada: controle de temperatura e demarcações) Horiz. dist. area (HDA) (área de distribuição horizontal: LAN/SAN, switches) Zone dist. area (zona de distribuição) Horiz. dist. area (HDA) (área de distribuição horizontal: LAN/SAN, switches) Horiz. dist. area (HDA) (área de distribuição horizontal: LAN/SAN, switches) Horiz. dist. area (HDA) (área de distribuição horizontal: LAN/SAN, switches) Equip. dist. area (EDA) (área dos equipamentos: racks e gabinetes) Equip. dist. area (EDA) (área dos equipamentos: racks e gabinetes) Equip. dist. area (EDA) (área dos equipamentos: racks e gabinetes) Equip. dist. area (EDA) (área dos equipamentos: racks e gabinetes) Backbone: conexões externas de alto volume Horizontal: conexões internas de volume médio Provedores de acesso Provedores de acesso Equipamentos de computação Figura 63 – Topologia típica de um data center Os componentes da figura anterior são assim descritos: • Entrance Room (ER): área que concentra a interligação do cabeamento estruturado usado no data center com a infraestrutura das operadoras. • Offices, Operations Center, Support Rooms: sala de controle. • Telecom Room (TR): contém o cabeamento para as áreas externas, fora da área onde estão os computadores. 101 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) • Main Distribution Area (MDA): área principal de onde o cabeamento estruturado é distribuído. • Equipment Distribution Area (EDA): área onde estão os equipamentos finais, como servidores, storages, roteadores, entre outros. • Horizontal Distribution Area (HDA): esta área contém conexões e dispositivos que são ligados aos equipamentos finais (servidores, storages, roteadores etc.) localizados na EDA. • Zone Distribution Area: área opcional que congrega a HDA e a EDA. Como será mostrado a seguir, os data centers são classificados em quatro níveis (tiers), a partir de parâmetros relacionados à disponibilidade, como o tempo de parada do sistema durante o ano, os links e os geradores de energia redundantes, entre outros fatores: • Tier 1: parada anual máxima = 28,8 horas. Não tem redundância, sendo sujeito a paradas totais ou parciais devido a problemas elétricos, de telecomunicações ou de rede. • Tier 2: parada anual máxima de 22 horas. Há redundância na telecomunicação do data center e das operadoras e no fornecimento de energia por meio de geradores. Os aparelhos de ar-condicionado devem funcionar sem interrupções com redundância. • Tier 3: parada anual máxima de 1,6 hora. Nesta classificação, duas operadoras de telecomunicações distintas devem atender o data center, que deve contar com duas ER separadas por, pelo menos, 20 metros. As ER devem ter zonas de proteção contra incêndio, sistema de energia e climatização separados e não devem compartilhar equipamentos de telecomunicação. Também deve existir redundância nos caminhos entre as ER, MDA e HDA, nas fibras ou nos pares de fios de rede e nos equipamentos críticos. • Tier 4: parada anual máxima de 0,4 hora. A redundância atinge todo o cabeamento e os dispositivos que o alimentam. Os sistemas de backup devem ter comutação automática (pode-se usar uma MDA secundária) separada em zonas de proteção contra incêndio, tudo endereçado por caminhos diferentes. O fornecimento de energia deve ser realizado por, no mínimo, duas operadoras com subestações diferentes. O sistema de climatização deve ter diversas unidades de resfriamento. Diante de todos os detalhes listados, fica claro que a construção e o gerenciamento de um data center representam um desafio complexo para os auditores. O planejamento de uma auditoria nesses ambientes, além de levar em conta os aspectos evidenciados pela norma EIA/TIA 942, deve tratar de todas as boas práticas elencadas na norma ABNT NBR ISO 19011 (ABNT, 2018). 5.4 Auditando hardware e infraestrutura Quando se fala em auditoria em hardware (computadores) e infraestrutura – redes e equipamentos como roteadores e switches –, a primeira recomendação é implementar controles de segurança físicos que garantam a vida útil da rede e dos equipamentos. 102 Unidade III Figura 64 – Switches em uma rede Em geral, nas organizações, muitos desses controles são voltados para o controle de acesso físico dos usuários às instalações; porém, também há bastante incidência de controles voltados para o monitoramento das atividades e do uso que os usuários fazem dos recursos. Controles físicos também devem proteger os equipamentos de interferências naturais, como raios, sobrecarga, falta de energia, indisponibilidade de links, entre outros problemas. Em geral, alguns controles podem afetar o desempenho de determinados equipamentos. Desde que essa interferência seja baixa e não aconteçam mudanças nas funcionalidades dos equipamentos protegidos, isso é aceitável. Para controles físicos baseados em procedimentos manuais, um item de conformidade muito esquecido, mas sempre cobrado em auditorias, é a necessidade de orientação quanto à manipulação do ativo a ser protegido. Observação Fichas de processo, manuais e apostilas impressas são alguns dos exemplos de orientações que devem acompanhar ativos de hardware e infraestrutura. Para controles físicos automáticos, dentro do possível, o ideal é que os próprios sistemas identifiquem e alertem os responsáveis sobre os erros – ou mesmo que corrijam os próprios erros. Assim, além da proteção oferecida aos ativos de hardware e infraestrutura, os controles de segurança desses ambientes asseguram o correto funcionamento dos equipamentos. Muitas vezes, sem a ação desses controles, é muito difícil identificar a forma correta como um equipamento deve funcionar. Além de esforços na detecção e recuperação de problemas, recursos voltados para a prevenção de problemas são bem-vindos nesses ambientes. Uma forma é por meio de inventários de hardware 103 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) e acompanhamento periódico. Basicamente, um inventário deve conter informações sobre os processadores, a memória, o sistema operacional, o fabricante, a série, o modelo e os periféricos, entre outros detalhes. Exemplo de aplicação Em muitos ambientes de hardware, existe a manutenção preventiva. Trata-se de manutenções periódicas agendadas nos computadores e ativos de hardware a fim de prevenir quebras ou problemas inesperados. Figura 65 – Técnico realizando manutenção preventiva em placa-mãe de computador Tendo como base a ideia de que manutenções programadas desse tipo tendem a descobrir previamente pequenos problemas de desgaste e mau uso dos equipamentos, é possível inventariar os equipamentos em manutenção e acompanhar a evolução dos problemas que estes apresentam. Atualmente, grande parte das empresas utiliza serviços de cloud computing. Isso significa que a manutenção não é maisrealizada dentro do parque de máquinas da empresa, já que este está em um provedor externo. Porém, mesmo nesses casos, a prevenção ocorre. Provedores de cloud que operam com alto índice de virtualização executam algoritmos de aprendizado de máquinas para definir, de forma antecipada, a liberação de recursos extras para máquinas virtuais que estão com tendências de aumento de uso. Nada mais é que o uso de controles voltados para a prevenção. 104 Unidade III 5.5 Auditoria e segurança em redes sem fio As redes sem fio se popularizaram pela capacidade que oferecem de conectar equipamentos de forma rápida e eficiente. Elas podem ser classificadas em infraestrutura e ad-hoc, mostradas respectivamente nas figuras a seguir. Rede de infraestrutura Access point ligado à rede cabeada Figura 66 – Rede sem fio do tipo infraestrutura Rede ad-hoc Figura 67 – Rede sem fio do tipo ad-hoc As redes sem fio de infraestrutura se caracterizam pela presença de um access point (AP) ligado à rede cabeada. Apenas os nós no raio de alcance da antena do AP podem se comunicar uns com os outros, desde que estejam configurados para tal. 105 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Em redes sem fio ad-hoc, não há um concentrador ligado à rede cabeada. Os nós se comunicam por meio de sinais de rádio sem um elemento centralizador. A função de roteamento e entrega de pacotes é executada pelos próprios nós da rede em um esquema conhecido como multihop. As facilidades e a própria natureza das redes sem fio exigem atenção especial com as questões de segurança. Uma forma para prover segurança é por meio da criptografia dos dados. Isso evita que as informações estejam disponíveis à interceptação de usuários mal-intencionados. A rede sem fio é alvo dos atacantes porque o sinal do rádio pode extrapolar os limites físicos de uma empresa e, caso esta esteja conectada à rede corporativa, abrirá pontos de vulnerabilidade que podem ser explorados, facilitando a captação de dados que trafegam sem encriptação. O uso da criptografia é um dos controles de segurança mais importantes, pois, mesmo que o atacante se conecte à rede sem fio, será difícil a identificação da informação trocada entre os nós. A desativação da sinalização do Service Set IDentifier (SSID), a implantação do controle de endereço físico e a inclusão de autenticação forte à rede sem fio são práticas bastante utilizadas e aumentam o nível de segurança. Um dos primeiros padrões de segurança para redes sem fio adotados foi o Wired Equivalent Privacy (WEP). Criado em 1999 e bastante popular, deixou de ser um padrão em 2004 justamente por ser vulnerável a ataques de força bruta durante a troca de pacotes entre usuários e o AP. O padrão subsequente que substituiu o WEP foi o Wi-Fi Protect Access (WPA). Apesar de usar chaves de encriptação mais robustas, o WPA precisava ser compatível com o antigo padrão WEP. Dessa forma, apesar de ser mais robusto contra ataques de força bruta, herdou alguns recursos do antigo padrão que permitiam que atacantes explorassem vulnerabilidades de sistemas legados baseados em WEP. O WPA 2 é uma evolução que utiliza uma combinação de algoritmo e chave mais robustos que seu predecessor WPA. Contudo, atualmente, o sistema de criptografia considerado seguro em rede sem fio de infraestrutura é o WPA 3. Saiba mais A Wi-Fi Alliance é uma empresa sem fins lucrativos que cria, certifica e divulga o padrão Wi-Fi pelo mundo. Conheça melhor no site a seguir: https://www.wi-fi.org/ 5.6 Auditorias em inventários de hardware Também é importante estabelecer um processo que permita a execução de auditorias de inventários de equipamentos. 106 Unidade III Lembrete As auditorias de hardware podem ser realizadas de forma manual ou automática. Esta última modalidade é mais recomendada para auditorias ou inventários com grande quantidade de itens. Os inventários são importantes, pois permitem o gerenciamento da evolução dos ativos. Figura 68 – Inventário com leitor de código de barras Na figura anterior, a leitura em estoque é realizada por leitor de código de barras. Contudo, há opções mais automatizadas, como a leitura por etiquetas de Radio Frequency IDentification (RFID), que possuem duas versões: as passivas, que não contêm fonte de energia e são ativadas pela luz de um leitor RFID externo; e as ativas, que possuem fonte de energia e propagam o sinal com seu ID aos sensores próximos – um exemplo são as etiquetas usadas em carros nos sistemas automáticos de pedágio em rodovias. Figura 69 – Pedágios com cobrança automática por meio de etiquetas RFID 107 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Saiba mais Conheça mais sobre o RFID: FINKENZELLER, K. RFID Handbook: fundamentals and applications in contactless smart cards, radio frequency identification and near-field communication. 3. ed. Hoboken: Wiley, 2010. Além disso, novas regulamentações estão sempre surgindo, e, muitas vezes, um administrador precisa saber exatamente em que condições está seu parque de equipamentos. Entretanto, quando não são bem planejados, estes podem se transformar em uma fonte de problemas para os administradores de TI. Há sistemas de mercado que permitem a geração automática de inventários por meio do protocolo Simple Network Management Protocol (SNMP). Essas funcionalidades podem ajudar bastante, pois são precisas e rápidas. Entre as informações que devem ser coletadas nos processos de inventários, estão a capacidade de memória e armazenamento, slots livres e a capacidade de processamento e informações de rede ou dos serviços executados. Alguns sistemas permitem o compartilhamento de informações com dispositivos mobile, garantindo a emissão de alertas em tempo real aos administradores remotos. Outra grande vantagem de auditorias voltadas para inventários é a possibilidade de gerenciar licenças de softwares e equipamentos. Há programas que realizam essa tarefa. Observação Auditorias externas de sistemas operacionais são muito comuns. Ocorrem quando um fornecedor solicita as licenças para verificar se estão em conformidade. No entanto, gerenciar licenças pode ser bastante cansativo em caso de auditorias externas de licenciamento. Nem sempre os ativos de software estão ligados às respectivas licenças e aos comprovantes, fato que pode gerar acusações de pirataria, caso não seja comprovada a aquisição legal do software. A solução não costuma ser complicada, já que consiste na compra da licença; porém, para a empresa, a compra de uma licença já adquirida é um custo adicional. Além disso, os administradores precisam estar atentos, pois os usuários também costumam instalar softwares e aplicativos aparentemente gratuitos que podem acabar por exigir licenciamento para uso comercial. 5.7 Padrões usados na auditoria de hardware A padronização dos equipamentos de hardware é um ponto muito importante nesses ambientes. Sempre que possível, equipamentos originais e licenciados devem ser utilizados. Um dos problemas 108 Unidade III mais comuns é o da falta de compatibilidade entre equipamentos, que, por mais plug-and-play que sejam, muitas vezes não trabalham em conjunto com dispositivos de marcas, modelos, versões ou padrões diferentes. Além disso, uma boa auditoria deve alertar que uma organização que insiste em usar equipamentos não licenciados sempre está sujeita aos rigores da lei. Na PSI, devem estar claras as punições para esse tipo de comportamento. Nesses ambientes, o auditor pode se utilizar de algumas normas e regulamentações para padronizar o trabalho. A Health Insurance Portability and Accountability Act (HIPAA) é um regulamento voltado à proteção de dados pessoais sensíveis da área médica. Utilizada em hospitais, laboratórios e estabelecimentos médicos, a HIPAA estabelece regras que garantem a confidencialidade e a privacidade das informações pessoais armazenadas, como exames, prontuários e diagnósticos, assim como regras para a manipulação desses dados. A HIPAA tambémestabelece regras que permitem ao paciente o acesso aos seus dados pessoais e, se necessário, a solicitação de alterações em caso de erros ou inconsistências. Há uma série de exigências e controles administrativos que a HIPAA determina para que um ambiente seja considerado padronizado. Alguns estão listados na sequência: • Prover controle de acesso físico a estações de trabalho e meios de comunicação nos ambientes homologados com o uso de controles de segurança para a autenticação de usuários. • Utilizar sistemas de acesso de emergência e desligamento automático para casos urgentes. • Garantir a confidencialidade, integridade e autenticação em diversos processos por meio de algoritmos de criptografia e assinatura digital. • Realizar processos de rastreabilidade em trilhas de auditoria, logs de software e hardware a fim de identificar atividades maliciosas. • Organizar planos de continuidade dos negócios e manter times voltados para a recuperação de desastres. • Proteger as redes de comunicação para evitar o acesso e/ou uso não autorizado. Mais detalhes sobre a HIPAA serão vistos adiante. O Payment Card Industry Data Security Standard (PCI DSS) é um padrão internacional de segurança voltado para a garantia de segurança em transações que envolvem pagamento eletrônico com cartões. Por trás desse padrão de segurança, está um grupo formado pelas grandes corporações do setor, que mantinham padrões de segurança próprios antes da adoção de um sistema conjunto 109 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) em 2004. A motivação principal é a ocorrência de fraudes no setor, além da necessidade de uma legislação abrangente que funcione em diversos países. O PCI DSS requer diversas camadas de segurança para proteger as transações realizadas com os cartões. Como é um padrão usado por quase todos os provedores de cartão, esses requisitos se tornaram uma exigência, que deve ser atendida de acordo com o volume de transações que uma empresa gera. Há 12 requisitos de conformidade definidos pelo PCI DSS: • Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão: a ideia é garantir a segurança lógica, filtrando o tráfego de rede que circula entre a máquina de cartão da empresa (que usa a internet para acesso externo) e a rede dos provedores de cartão. • Não usar padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança: deve-se evitar o uso de senhas padrão – aquelas que vêm de fábrica, quando o equipamento é novo, como “admin”, “password”, “senha”, “1234” etc. Como são padrões conhecidos, ataques em sistemas que contêm essas vulnerabilidades são comuns. Sendo assim, os requisitos sobre a criação de senhas fortes devem ser observados e seguidos. • Proteger os dados armazenados do portador do cartão: métodos e algoritmos de criptografia, truncamento e hashing devem ser utilizados para que os dados armazenados não sejam acessados indevidamente. Dentro do possível, dados pessoais do portador não devem ser armazenados no cartão. • Criptografar a transmissão dos dados do portador do cartão em redes públicas abertas: é importante realizar as transmissões de forma encriptada. Vulnerabilidades em sistemas, redes e equipamentos são constantemente criadas e podem permitir que, durante o compartilhamento de dados sem criptografia, acessos maliciosos aconteçam. • Proteger todos os sistemas contra malwares e atualizar regularmente softwares ou programas antivírus: malwares são uma categoria de programas maliciosos que incluem os vírus, os worms e os trojans. Além de serem causas de problemas bem conhecidos dos usuários, como lentidão e perda de dados, esses scripts maliciosos podem ser utilizados para fraudes, como a abertura de conexões externas, chamadas de backdoors, que permitem conexões externas não autorizadas. • Desenvolver e manter sistemas e aplicativos seguros: existem metodologias que melhoram a segurança da programação, assim como a utilização de aplicativos. As atualizações de sistemas e operacionais e o uso apenas de programas homologados também são vitais para garantir a segurança. • Restringir o acesso aos dados do portador do cartão por necessidade do negócio: é preciso implementar um controle de acesso rígido nos sistemas e processos que utilizam os cartões. 110 Unidade III • Identificar e autenticar o acesso aos componentes do sistema: além da senha, cada usuário deve ter um número de identificação, do inglês Identification Number (ID), único, que o diferencie de outros usuários. • Restringir o acesso físico aos dados do portador do cartão: deve-se evitar que pessoas não autorizadas tenham acesso ao cartão ou aos dados nele contidos. • Rastrear e monitorar todo o acesso a recursos de rede e dados do portador do cartão: processos de rastreabilidade, como logs e registros de transações, devem ser implementados para que, em caso de fraudes, tanto as operações fraudulentas quanto os responsáveis possam ser identificados. • Testar regularmente os sistemas e processos de segurança: esta recomendação diz respeito à implementação do serviço de segurança de garantia. Deve-se testar os sistemas e controles de segurança para ver se: funcionam sem falhas; executam exatamente o que foram programados para fazer; e entregam o esperado. Além de prover a avaliação dos controles, essa prática pode propiciar evoluções. • Manter uma PSI forte e abrangente: a criação e evolução constante de uma PSI é uma premissa recomendada em diversas normas. Garante a disseminação da segurança da informação de forma ampla e padronizada. 6 AUDITANDO PROCESSOS DE AUTENTICAÇÃO Este tópico irá apresentar os processos de autenticação, como a biometria, e os conceitos de gestão de permissões e acessos lógicos em ambientes tecnológicos. O contexto se estende para discussões sobre a auditoria de acessos em ambientes compartilhados, o gerenciamento de identidade e acesso e a política de senha e métodos de autenticação. Também haverá menções sobre o gerenciamento centralizado de usuários e grupos e uma introdução sobre a ligação que existe entre os serviços de segurança de autenticação e de controle de acesso, com discussões sobre o princípio do mínimo privilégio com a segregação de funções. 6.1 A autenticação de usuários Para manter a segurança da informação na organização, é necessário que haja um processo que garanta que o acesso aos sistemas corporativos seja feito apenas por usuários autorizados. Ou seja, o sistema verifica as credenciais de acesso do usuário que constam em uma base de dados criada previamente. A ideia é identificar o usuário, descobrir se ele é realmente quem alega ser. A identificação e a autenticação são responsáveis pela validação do usuário. Na identificação, o usuário mostra algo que o identifica e possa ser conferido na base de dados, como o par login e senha. 111 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Para que o processo de autenticação de usuários seja executado de maneira segura, deve haver dispositivos ou sistemas que garantam que o usuário que está efetuando o acesso é realmente o usuário autorizado. É importante considerar a forma da coleta de dados de autenticação, o método de transmissão dessas informações e a validação final do usuário. Deve ser estabelecido em paralelo um processo de auditoria para a verificação de tentativas de acesso válidas e inválidas. Em conjunto com a autenticação e a autorização, é formado o pilar de segurança Authentication, Authorization and Auditing (AAA). Os três métodos mais conhecidos para a validação de usuários são: • O que o usuário sabe: algo que o usuário conheça, como senhas, chave criptográfica ou Personal Identification Number (PIN). • O que o usuário possui: algo que o usuário tenha em sua posse e sirva para identificá-lo, como um token, um cartão ou um smartphone que receba mensagens de identificação. • O que o usuário é: algum traço biológico ou característica, como biometria, formato do lóbuloda orelha, formato do rosto, impressão digital, entre outros. Todos os métodos têm seus pontos fortes e fracos. Quanto maior a quantidade de métodos aplicados, maior o grau de segurança implementado. No caso da aplicação de mais de um método, a autenticação é denominada de autenticação multifator; quando há dois métodos, a autenticação é conhecida como autenticação em dois fatores; e, no caso da aplicação de três métodos, a autenticação é conhecida como autenticação em três fatores. 6.2 Biometria A biometria é o estudo das características físicas (impressão digital, face, íris, geometria da mão e da orelha) e comportamentais (voz, assinatura, dinâmica da digitação e forma de andar) dos seres vivos. (a) (g) (h) (i) (j) (k) (b) (c) (d) (e) (f) Figura 70 – Tipos de biometria 112 Unidade III Na figura anterior, estão listados: (a) impressão digital; (b) reconhecimento facial; (c) análise de retina; (d) voz; (e) geometria da mão; (f) assinatura; (g) veias oculares; (h) assinatura de calor do rosto; (i) assinatura de calor da mão; (j) digitação; e (k) veias da mão. A verificação de diferenças entre as características biométricas dos seres é usada justamente como um identificador para a autenticação. Para o reconhecimento das características, a biometria utiliza quatro passos: • Coleta: obtenção de dados biométricos, realizada de forma analógica com diversas possibilidades de dados de entrada (digital, íris, escrita, DNA, entre outros). • Conversão: consiste na conversão dos dados da captura (analógicos) em um formato digital que possa ser armazenado e comparado a outros dados coletados. • Padronização: busca por padrões, características específicas e detalhes significativos. • Comparação: comparação dos dados obtidos por meio de coleta, já convertidos, com os dados armazenados, a fim de verificar as semelhanças e definir se são autênticos ou se pertencem a um indivíduo específico. Há dois modos pelos quais a biometria pode ser utilizada para autenticação: identificação biométrica e verificação biométrica. A identificação biométrica serve para verificar se o usuário que está sendo avaliado está cadastrado no banco de dados biométrico. Nesse modo de operação, o objetivo é identificar se o usuário faz parte de um determinado grupo – se ele está lá. O usuário não diz quem ele é, apenas informa a característica biométrica avaliada, e um sistema realiza uma busca aberta 1:N (um para muitos) em um banco de dados. O resultado é uma lista de registros com as características similares aos dados consultados. Em tese, um desses registros é do usuário avaliado. Esse tipo de autenticação pode ser usado, por exemplo, para verificar de quem é um determinado perfil comportamental. O modo de verificação biométrica serve para determinar se o usuário é quem ele alega ser. Nesse modo, o usuário apresenta sua característica biométrica em conjunto com sua identidade alegada. O sistema biométrico realiza uma busca fechada 1:1 (um para um) em um banco de dados de modelos biométricos, verificando se as características coletadas correspondem às características armazenadas para a identidade alegada. Por exemplo: em um caixa eletrônico no qual o usuário inclui inicialmente um cartão como identidade alegada seguida da característica biométrica, o sistema realiza o modo de autenticação por verificação biométrica. Entre os pontos fortes da biometria, está o fato de ela ser vinculada a uma identidade, sendo que não precisa ser memorizada, não pode ser esquecida ou emprestada. Também há pontos fracos, como o fato de as características biométricas não serem revogáveis (muitas vezes, podem durar para sempre) e não serem segredo. Contudo, um dos principais problemas da biometria é a pouca 113 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) aceitação dos usuários durante a coleta. Para a coleta de determinadas características – leitura da retina, por exemplo –, há certa resistência por parte dos usuários. 6.3 Gerenciamento de identidade e acesso O Identity Management (IdM) ou gerenciamento de identidade é um conceito que envolve autenticação, mapeamento de funções, controle de acesso, auditoria e relatórios de acessos de todos os ativos críticos de uma organização. A arquitetura de um IdM gerencia diversos tipos de recursos tecnológicos, como catraca, fechadura eletrônica, sistemas, software, redes e aplicações Single Sign-On (SSO). Observação O SSO é um processo de autenticação no qual alguém consegue acesso a vários serviços usando um único par login + senha. Figura 71 – Exemplo típico de SSO na internet No atual estado da arte, o conceito de gerenciamento de identidades é mais conhecido como Identity and Access Management (IAM) ou Customer Identity and Access Management (CIAM). As soluções CIAM são projetadas para prover controles de acesso externos, ou seja, envolver ambientes Business-to-consumer (B2C) e Business-to-business (B2B). Uma implementação de um IdM de identidade bem-sucedida deve abordar os seguintes aspectos: • Políticas e regras: definem a necessidade de segurança de acordo com o perfil da corporação e os tipos de dados que são manuseados. • Mapeamento de processos: os processos precisam ser mapeados e ter todos os fluxos de trabalhos e aprovadores bem definidos. 114 Unidade III • Perfis por função: mapeamento dos perfis de acessos e alinhamento de controles juntos ao setor de recursos humanos. • Cultura: é necessário que todos os colaboradores e departamentos da empresa estejam instruídos e ambientados com o conceito. • Tecnologia: os recursos tecnológicos devem auxiliar em todos os requisitos funcionais sem impactar no fluxo operacional da corporação. 6.4 Política de senha e métodos de autenticação Uma política de senha define os processos envolvidos na gestão das senhas. As regras definem a complexidade das senhas, como a quantidade mínima de caracteres e a obrigatoriedade de uso de maiúsculas, minúsculas, números e caracteres especiais. Os processos tratam da gestão das senhas, como recuperação, alteração, validade, reutilização e fatores de autenticação. O método de identificação é a maneira de identificar um usuário em um sistema e verificar se sua identidade é legítima. A identificação (ID) deve ser única e confirmada através de uma validação multifator AAA. Lembrar diversas senhas robustas, de diversas aplicações, é uma tarefa complexa. Uma solução é utilizar um gerenciador de senhas que armazena as chaves fortes em uma base criptografada, cujo acesso depende de uma senha mestra. O risco desse processo é a gestão da chave mestra, pois o esquecimento dessa senha invalida as demais, e o vazamento dela compromete todas as senhas armazenadas. 6.5 Gerenciamento centralizado de usuários e grupos Mesmo com uma política de senha bem definida e fortes métodos de autenticação, a gestão de autorização de acessos a recursos como banco de dados, e-mails e diretórios compartilhados, para ser ágil e eficaz, deve ser realizada de forma centralizada. Uma maneira de simplificar a gestão de acessos para diferentes logins e senhas é a utilização do padrão aberto Security Assertion Markup Language (SAML), que integra provedores de identidades a provedores de serviços web através da ativação do login único SSO. Outra opção é o protocolo Lightweight Directory Access Protocol (LDAP), um provedor de identidade e serviço de diretório que pode ser usado para integrar diversos sistemas em diferentes plataformas. 115 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) dn: cn=josé silva, ou=funcionários, dc=plano, dc=br Atributos (tipos:valores): cn: josé silva objectClass: pessoa sn: silva fone: 999-888-777 dc=plano, dc=br ou=dispositivos ou=funcionários cn=josé silva Relative distinguished name (RDN) (nome único relativo) Figura 72 – Exemplo de árvore de diretórios LDAP O LDAP é um protocolo que permite organizar os dados de uma rede na forma de árvores hierárquicas de diretório. O LDAP funciona sobre o protocolo TCP/IP, é multinívele possui grande escalabilidade e desempenho, permitindo consultas rápidas de rede. Um produto baseado no LDAP, robusto e consolidado no mercado é o serviço Active Directory Domain Services (ADDS) da Microsoft. Trata-se de um aplicativo disponibilizado nos servidores Microsoft Windows que permite a criação e o gerenciamento de domínios, serviços e grupos de usuários, bastante eficaz na distribuição das configurações administrativas. O LDAP segue um padrão de entrada de dados chamados de LDAP Data Interchange Format (LDIF). Esse padrão define que os dados são estruturados em formato Key Value (KV) de acordo com as definições da classe de objeto (objectClass), que especifica os atributos obrigatórios e opcionais. O LDPA organiza as entradas em uma árvore hierárquica não relacional com base no nome dos atributos (dn) para facilitar as pesquisas. O quadro a seguir apresenta alguns dos atributos comuns da hierarquia LDAP. Quadro 7 – Atributos comuns usados no LDAP Atributo Significado Descrição o Organização Identifica a entrada de primeiro nível ou Unidade organizacional Subdivisão lógica (por exemplo, um departamento corporativo) cn Nome comum Nome mais natural para representar a entrada dc Componente de domínio Utilizado em sites que modelam a hierarquia LDAP com base no DNS objectClass Classe de objeto Esquema ao qual os atributos desta entrada obedecem O quadro a seguir exibe diversos documentos técnicos, os chamados Request for Comments (RFC), mantidos pelo Internet Engineering Task Force (IETF), que tratam sobre temas relacionados ao LDAP. 116 Unidade III Quadro 8 – RFC importantes relacionados com o LDAP RFC Título 2307 An Approach for Using LDAP as a Network Information Service 2820 Access Control Requirements for LDAP 2849 The LDAP Data Interchange Format (LDIF) - Technical Specification 3112 LDAP Authentication Password Schema 3672 Subentries in the LDAP 4510 LDAP: Technical Specification Road Map 4511 LDAP: The Protocol 4512 LDAP: Directory Information Models 4513 LDAP: Authentication Methods and Security Mechanisms 4514 LDAP: String Representation of Distinguished Names 4515 LDAP: String Representation of Search Filters 4516 LDAP: Uniform Resource Locator 4517 LDAP: Syntaxes and Matching Rules 4519 LDAP: Schema for User Applications Além do Windows, o LDAP funciona em diversas plataformas (sistemas operacionais) e pode ser usado de forma segura com encriptação. Protocolos como o LDAP e o SSO podem ser usados como facilitadores de alguns processos de auditoria. Isso é bem claro no LDAP, já que as consultas aos dados ficam mais eficientes e organizadas, podendo ser transportadas para outras bases de forma bem rápida. Se o SSO for um processo local, em uma rede interna com registros de eventos, por exemplo, a rastreabilidade das operações pode ser bem assegurada, facilitando a auditoria. Entretanto, quando o SSO é realizado na internet, a dificuldade de rastreamento de eventos e dados transmitidos de um site a outro é muito maior. Nesses casos, o SSO pode ser um elemento que age contra a segurança, principalmente contra a privacidade dos dados. 6.6 A ligação entre a autenticação e o controle de acesso A partir das definições do gerenciamento de identidade, da política de senha, dos métodos de autenticação e das ferramentas de administração e integração, é necessário definir o controle de acesso. O perfil por função ou Role Based Access Control (RBAC) é um controle de acesso não discricionário proposto pela NIST. 117 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) Permissões são autorizadas para regras específicas As regras definem o nível de permissão Regras são atribuídas aos usuários Administrados definem regras para usuários específicos Usuário Usuário Figura 73 – Esquema proposto no modelo RBAC O princípio do privilégio mínimo especifica que seja concedido apenas os acessos bem delimitados e o suficiente para o desempenho do perfil por função, conceito muito difundido na área de segurança da informação como need-to-know. Por meio do RBAC, é possível garantir que todos os usuários de sistemas não tenham acessos desnecessários. Já a segregação de funções tem por objetivo mitigar riscos de mau uso dos ativos da organização e conflitos de interesses. A norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b) reconhece a dificuldade de realizar a segregação de funções, principalmente em pequenas organizações. No entanto, a norma também recomenda que seja realizada sempre que possível, e, quando não praticável, convém a utilização de outros controles, como trilhas de auditoria e monitoramento das atividades realizadas. Além disso, a norma recomenda a revisão periódica dos acessos concedidos. Como pôde ser visto, a autenticação é o princípio necessário para o controle de acesso – não é possível controlar acessos sem uma autenticação eficiente. 6.7 Auditoria de acesso em ambientes compartilhados A aplicação do controle de acesso é essencial para garantir a segurança da informação em uma corporação. Muitas vezes, o controle de acesso requer medidas de isolamento e segregação de ambientes. Esse tipo de medida minimiza a ocorrência de vulnerabilidades, mas não se limita aos ambientes físicos. Além do enfoque lógico, existe o viés de governança com o processo de responsabilização, o modelo de controle de acesso a recursos computacionais e o gerenciamento de usuários em rede. No atual estado da arte, o compartilhamento é essencial para a colaboração e execução da maioria das atividades corporativas. O processo de auditar e verificar se os acessos concedidos em teoria estão aplicados na prática e se não ocorreu nenhuma alteração indevida ou esquecimento de liberação ou cancelamento é complexo, porém indispensável. A validação de acessos é uma tarefa complexa e passível de erros quando realizada por intervenção humana. Uma forma eficaz para controlar a gestão de mudanças do controle de acesso é gerar 118 Unidade III um hash do arquivo de configuração e fazer comparações periódicas para controlar as modificações. Existem ferramentas open source de detecção de intrusão que também podem auxiliar nesse processo, como o Advanced Intrusion Detection Environment (AIDE). 6.8 Segregação de ambientes como ferramenta de controle de acesso Todos os ataques computacionais estão baseados em acesso indevido e/ou uso indevido de um recurso. Sempre que um ataque acontecer, um dos dois (ou ambos) acontece. Exemplo de aplicação Imagine um vírus de computador que entrou em um sistema porque um usuário usou, sem saber, um pen drive infectado. Os vírus são códigos computacionais maliciosos que infectam arquivos inserindo parte do seu código. Perceba que o fato de o vírus estar dentro do sistema, onde não deveria estar, denota um acesso não autorizado a um recurso (sistema operacional). Da mesma forma, o fato de o vírus infectar outros arquivos pela máquina indica um uso não autorizado de um recurso (arquivo). Imagine agora um ataque de invasão, no qual um atacante consegue acesso a uma rede de uma grande empresa. Suponha que o atacante não altere e não apague nada na rede; ele apenas acessa arquivos confidenciais e lê o conteúdo. Nesse caso, houve apenas um acesso não autorizado de recursos (rede). Se esse mesmo atacante usa de forma maliciosa o conteúdo confidencial que leu nos arquivos, divulgando-os e causando prejuízos à empresa, trata-se de uso não autorizado de um recurso (informação). O exemplo de aplicação apresentado apenas denota como o controle de acesso é importante para a segurança da informação. Ferramentas que provêm controle de acesso podem ser divididas em duas fases: a fase de definição da política e a fase de imposição da política. Na fase de definição da política, é definido quem deve ter acesso a quais sistemas e/ou recursos. Tem uma etapa: • Autorização: corresponde à identificação de quem pode acessar em conjunto com o que pode ser acessado. Na fase de imposição da política, os privilégios deacesso, concedidos na autorização, são confirmados ou revogados. Tem três etapas: • Identificação: corresponde à forma de identificação dos usuários (ID, nome, documento, número, código etc.). • Autenticação: corresponde ao processo de autenticação, que garante a veracidade da identificação de um usuário. 119 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) • Responsabilização: corresponde ao registro e à ligação das tarefas executadas com os usuários executantes. O controle de acesso executado nas empresas pode ter como base controles físicos ou lógicos. Os controles de acesso físicos controlam os acessos físicos em áreas restritas, como condomínios, salas de reunião, estádios, entre outras. Em geral, há um responsável pelo controle físico – por exemplo, um segurança que controla a entrada de alunos com cartão de identificação pela catraca em uma universidade. Perceba que, em controles de acesso físicos, como catracas, que controlam a entrada mediante a leitura de um cartão magnético ou por biometria, existem dois controles de segurança envolvidos: a autenticação e o controle de acesso. A autenticação acontece quando a catraca lê o cartão magnético ou a biometria do aluno, identificando-o. É interessante perceber que, em geral, esse processo é lógico, baseado em software. Em seguida, depois da autenticação, ocorre o processo de controle de acesso. Depois que o sistema de autenticação já identificou corretamente a pessoa, uma consulta a um banco de dados com informações sobre os privilégios de acesso é realizada. Se o usuário tiver privilégios para entrar (está adimplente com a universidade, por exemplo), a catraca abre. Caso contrário (o cartão está vencido, por exemplo), a catraca não abre. O controle de acesso não termina aí. Ainda há um processo de rastreabilidade, com o registro das ações e a ligação desses registros com os usuários que as executaram. Esses controles costumam ser binários, ou seja, ou a pessoa pode ter acesso ou não pode. De qualquer forma, é desejável que uma política de controle de acesso com as quatro etapas (autorização, identificação, autenticação e responsabilização) seja implementada previamente para o funcionamento adequado dos controles de acesso físicos. Já os controles de acesso lógicos são aqueles usados para o acesso a servidores, arquivos, pastas, áreas de armazenamento, cloud computing, redes, entre outros. Esses controles lógicos vão além da funcionalidade lógico-binária dos controles de acesso físicos, já que podem indicar outros tipos de acesso, como ler, modificar, criar, apagar, alterar atributos, entre outros. O responsável pelo controle de acesso – controlador – decide o tipo de acesso que determinado indivíduo deve ter a um arquivo, uma área, um computador ou uma pasta. Esse processo de atribuição de acesso também tem como base as quatro etapas citadas do controle de acesso e pode ser observado de forma esquemática na figura a seguir. 120 Unidade III Banco de dados Regras de acesso Monitor de referência Etapa 2: Identificação Etapa 3: Autenticação Etapa 1: Autorização Objetos ControladorPolíticas de acesso Usuário Etapa 4: Responsabilização Figura 74 – Esquema para controle de acesso Na figura anterior, basicamente, a implementação do controle de acesso conta com um monitor de referências, que é o núcleo do controle de segurança de acesso. Um usuário inicialmente se identifica em um sistema. O processo de autenticação entra em ação e confirma a identidade do usuário – esse processo pode ser qualquer esquema de autenticação, como login/senha, biometria ou uso de token. Depois de autenticado, o usuário solicita ao monitor de referências um acesso a um objeto qualquer. No monitor, está o algoritmo responsável por consultar um banco de dados com as regras de acesso cadastradas pelo controlador para cada usuário do objeto que precisa ser acessado. O controlador é o responsável pela distribuição de acessos, realizada a partir de uma política de acessos. Os logs alimentam o monitor de forma que sejam rastreadas as ações executadas nos objetos pelos usuários. Observando a figura anterior, podemos perceber a presença das quatro etapas dos controles de acesso. As políticas de acesso são estratégias desenvolvidas para direcionar a atribuição de privilégios entre os usuários ou grupos. Com base nessas políticas, os controladores criam as regras e distribuem os privilégios no sistema. Perceba que esse processo é independente da aplicação, do algoritmo ou do sistema operacional usado no monitor de referência. De acordo com Beneton (2019), uma política de acessos é um conjunto de determinações que autorizam que determinado grupo de usuários acesse ou execute ações somente em recursos autorizados previamente. Esse tipo de política evita que a segurança da informação de uma organização seja comprometida por eventuais riscos. Portanto, as políticas de acesso servem para minimizar riscos e organizar a criação de privilégios de acesso. Por isso, quatro elementos centrais devem ser tratados durante a manipulação dessas políticas: 121 AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO) • Usuários: são aqueles que pretendem ter acesso aos objetos controlados. • Recursos: são os objetos cujo controle de acesso está sendo efetivado a partir da política estabelecida. Na figura “Esquema para controle de acesso”, os objetos listados são uma pasta, uma rede, uma casa, um provedor de cloud computing e uma sala (porta). • Ações: são as atividades que podem ser executadas nos objetos. Um usuário pode ter acesso a um objeto, mas isso não significa necessariamente que todas as atividades desse objeto estão disponíveis para uso dele. • Relacionamentos: são as permissões específicas distribuídas aos usuários em relação aos objetos. Podem indicar, por exemplo, privilégio de acesso e leitura a um objeto, enquanto negam alterações nesse mesmo objeto para esse mesmo usuário. Há aplicações específicas que realizam controles de acesso sofisticados que podem ser implementadas em computadores individuais e em redes corporativas com servidores e inúmeros usuários. Algumas aplicações são vinculadas a um sistema operacional, como o Active Directory Domain Services (ADDS), que funciona em servidores Microsoft Windows. O ADDS permite a criação e o gerenciamento de usuários e do banco de dados com privilégios de diversas formas, inclusive com a criação de domínios, grupos e outras subdivisões organizacionais que permitem estender o controle de acesso aos mínimos detalhes. A figura a seguir mostra uma tela usada para a definição de políticas de segurança e controle de acesso locais em um servidor Windows 2008. Figura 75 – Tela de políticas de segurança locais em um servidor Windows 2008 122 Unidade III O kernel de um sistema operacional também realiza o controle de acesso, já que: gerencia o acesso e o compartilhamento dos recursos, impedindo o acesso simultâneo de recursos; define quem pode acessar o sistema e os dados; gera o acesso a dispositivos de Entrada e Saída (E/S); define o acesso controlado a arquivos e ao sistema; e monitora e registra o uso de recursos. Esse detalhe é importante, pois a auditoria também se debruça sobre os controles de acesso executados no sistema operacional. De acordo com a norma ABNT NBR ISO/IEC 27002, a política de acesso deve ser baseada no negócio da organização e em requisitos preestabelecidos da segurança da informação. A política de acesso deve ser documentada e analisada periodicamente, privilegiando o andamento dos negócios com agilidade, equilíbrio e atendendo às conveniências da segurança da informação. Segundo as diretrizes da norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b): • Os proprietários dos ativos devem estabelecer regras para o controle de acesso, conforme os direitos e as restrições de cada usuário no âmbito da organização, detalhando de tal modo que os riscos associados sejam bem refletidos. • Os controles de acesso lógicos e físicos devem ser
Compartilhar