Post on 10-Jan-2019
É uma atividade independente que tem como missão
o gerenciamento de risco operacional envolvido;
Avaliar a adequação das tecnologias e sistemas de
informação utilizados na organização através da:
Revisão e avaliação dos controles;
Desenvolvimento de sistemas;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 3
Auditoria de Sistemas
Procedimentos de TI;
Infraestrutura;
Operação;
Desempenho e segurança da informação que envolve o
processamento de informações críticas para a tomada
de decisão.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 4
Auditoria de Sistemas
Verifica a eficácia dos controles e procedimentos de
segurança existentes;
A eficiência dos processos em uso;
Da correta utilização dos recursos disponíveis;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 5
Auditor de Sistemas
Assessoramento a administração na elaboração de planos e
definição de metas;
Colaboração no aperfeiçoamento dos controles internos,
apontando deficiências e irregularidades que possam
comprometer a segurança e o desempenho organizacional.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 6
Auditor de Sistemas
O auditor de sistemas tem de se aprimorar com o campo
de atuação (processos);
Atua no processo de extração de informações;
Análise de banco de dados e suportar decisões das demais
áreas de auditoria.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 7
Auditor de Sistemas
A necessidade global de referências nesse assunto, para o
exercício dessa profissão, promoveram a criação e
desenvolvimento de melhores práticas como:
COBIT;
COSO;
ISSO 27001;
ITIL.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 8
Auditor de Sistemas
A formação acadêmica do auditor de sistemas pelos
motivos acima acaba sendo multidisciplinar:
Análise de sistemas;
Ciência de Computação;
Administração com ênfase em TI;
Advocacia com foco em Direito da Informática - direito
digital e correlatos.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 9
Auditor de Sistemas
Certificação CISA – Certified Information Systems
Auditor, oferecida pela ISACA – Information Systems
and Control Association;
É uma das mais reconhecidas e avaliadas por organismos
internacionais;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 10
Auditor de Sistemas
Processo de seleção consta de uma prova extensa que
requer:
Conhecimentos avançados;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 11
Auditor de Sistemas
Experiência profissional e a necessidade de manter-se
sempre atualizado;
Através de uma política de educação continuada (CPE)
na qual o portador da certificação deve acumular carga
horária de treinamento por período estabelecido.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 12
Auditor de Sistemas
Aborda aspectos como:
Integridade;
Disponibilidade;
Confidencialidade;
Aderência às normas (conformidade);
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 13
Auditoria de Sistemas
Obs.: Sistemas ainda em desenvolvimento podem ser avaliados e
acompanhados.
Entrada;
Processamento e saída de dados;
Efetividade;
Satisfação e usabilidade de um sistema de informação em
particular.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 14
Auditoria de Sistemas
São baseadas nos instrumentos desenvolvidos e aplicados
na auditoria externa;
São instrumentos que o auditor possui para atingir suas
metas, definidas no planejamento de auditoria,
independente do tipo de auditoria praticada;
As ferramentas de auditoria podem ser classificadas em:
Generalistas, Especializadas e de utilidade geral.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 15
Ferramentas de Auditoria
São softwares que podem processar, simular, analisar
amostras, gerar dados estatísticos, sumarizar e outras funções que o auditor desejar;
Vantagens:
Pode processar diversos arquivos ao mesmo tempo;
Processa vários tipos de arquivos em vários formatos;
Permite integração sistêmica com vários tipos de softwares e hardwares;
Reduz a dependência do auditor em relação ao especialista de informática.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 16
Ferramentas generalistas
São softwares que podem processar, simular, analisar
amostras, gerar dados estatísticos, sumarizar e outras
funções que o auditor desejar;
Desvantagens:
O processamento das aplicações envolve gravação de dados
em separado para serem analisados em ambientes distintos,
poucas aplicações poderiam ser feitas em ambiente online;
Se o auditor precisar rodar cálculos complexos, o software
não poderá dar esse apoio;
Entre outros.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 17
Ferramentas generalistas
Audit Command Language (ACL):
Ferramenta mais modernas para extração de informações de
banco de dados, tratamento e análise;
Detecção de erros e riscos gerais do negócio associados a
dados transacionais incompletos, imprecisos e
inconsistentes;
O diferencial em ao Excel e Access é o fato de trabalhar com
grandes volumes de transações distribuídas em diversas
operações e em sistemas diferentes.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 18
Ferramentas generalistas
Interactive Data Extraction & Analisys (IDEA):
É um software para extração e análise de dados utilizado para
controles internos e detecção de fraudes;
Vantagens:
Cria um registro de todas as alterações feitas em um arquivo
(banco de dados) e mantém uma trilha de auditoria com
registro das operações;
Permite importar e exportar dados em uma variedade de
formatos;
Pode ler e processar milhões de discos em poucos segundos;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 19
Ferramentas generalistas
Pentana:
Permite a realização de planejamento de auditoria, planejamento e
monitoramento de recursos, controle de horas, registro de check-lists,
programas de auditoria, desenho e gerenciamento de plano de ação
etc.
Útil para governança, controle de riscos e adequação as leis.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 20
Ferramentas generalistas
Pentana:
Características:
Apresenta resultados em gráficos coloridos com alta
resolução;
Produz relatórios sensíveis ao contexto e popula
automaticamente documentos MS Office com base em
relatórios de auditoria e formulários;
Gera relatórios em tempo real em todas as linhas de
negócios;
Entre tantos outros.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 21
Ferramentas generalistas
São softwares desenvolvidos especialmente para executar certas
tarefas em uma circunstância definida;
O software pode ser desenvolvido pelo próprio auditor, pelos
especialistas da empresa auditada ou por um terceiro contratado pelo
auditor;
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 22
Ferramentas especializadas
Vantagem:
Atende a demandas mais específicas, como crédito imobiliário,
leasing, cartão de crédito e outras funções que exijam tarefas
especializadas no segmento de mercado;
Desvantagens:
Pode ser muito caro, uma vez que seu uso será limitado ou restrito
a apenas um cliente;
As atualizações deste software podem transformar-se em um
problema.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 23
Ferramentas especializadas
São softwares utilitários utilizados para executar algumas funções
muito comuns de processamento, como sortear arquivos, sumarizar,
concatenar, gerar relatórios etc.;
Não foram desenvolvidos para executar trabalhos de auditoria,
portanto, não tem recursos tais como verificação de totais de controles,
ou gravação das trilhas de auditoria;
Vantagem:
Podem ser utilizadas como “quebra-galho” na ausência de outros
recursos.
Auditoria e Segurança em S.I prof.
Rhyan Ximenes 24
Ferramentas de utilidade geral
Antes de tudo é necessário fazer um levantamento dos riscos
para delimitar o nível de risco em que a empresa está;
Só depois é traçado um nível de risco aceitável, que é aquele em
que a empresa pode funcionar.
Análise de Riscos
Auditoria e Segurança em S.I prof. Rhyan Ximenes
26
Que cuidados deve-se ter?
- Na avaliação do risco aceitável, é necessário cuidado ao se aceitar
um determinado risco, mas se não for possível minimizá-lo, é
importante que se tenha um plano de resposta a incidentes.
Análise de Riscos
Auditoria e Segurança em S.I prof. Rhyan Ximenes
27
É fato que não é possível eliminar totalmente um risco que está
inserido no cenário da empresa, mas é possível minimizá-lo;
Para isso, temos que conhecer bem quais são as ameaças a que
a empresa está susceptível e quais são as vulnerabilidades que
existem na empresa.
Análise de Riscos
Auditoria e Segurança em S.I prof. Rhyan Ximenes
28
Uma ameaça é uma situação de perigo a qual a empresa está
sujeita;
De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças:
- As ameaças intencionais;
- As não intencionais;
- As relacionadas aos equipamentos;
- E as relativas a um evento natural.
Ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
29
Ameaças intencionais: - São oriundas de pessoas que, por algum motivo, tem a intenção de
efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques;
Esta pessoa pode ser externa ou interna à empresa;
Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização;
Os invasores externos à organização são, em sua maioria, crackers e espiões industriais.
Tipos de ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
30
Ameaças não intencionais:
- Também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como um funcionário novo que ainda não foi informado dos procedimentos de segurança.
Tipos de ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
31
Ameaças relacionadas aos equipamentos:
- Nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento;
Um firewall que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede.
Tipos de ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
32
Depois de se fundamentar bem sobre a segurança das
informações, os objetivos, as ameaças, as vulnerabilidades, os
ataques e as ferramentas de
segurança, é chegada a hora entender como implementar uma
política de segurança e porque ela é importante.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
33
Uma política de segurança é um conjunto de regras que definem
a forma de uso dos recursos e das informações pelas pessoas
envolvidas no processo;
É a lei que rege a segurança das informações da empresa e deve
ser cumprida a todo custo, com vista a prezar pela organização,
controle e qualidade da segurança, evitando surpresas
indesejáveis.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
34
Ela é criada dentro da própria corporação, atendendo as
necessidades já relacionadas na análise de riscos e se adequando
constantemente às mudanças na empresa no passar dos anos.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
35
Todo funcionário deve estar ciente da política de segurança
local e sempre que uma pessoa nova passa a fazer parte do
grupo deve ser devidamente treinada e informada das regras e
punições.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
36
Existem duas filosofias de política de segurança:
- A política de permissão;
- E a política de proibição.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
37
A política de segurança pode conter outras
políticas específicas, como: Política de senhas:
- Define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Política de backup: - Define as regras sobre a realização de cópias de segurança, como
tipo de mídia utilizada, período de retenção e freqüência de execução.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
38
Política de privacidade: - Define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários.
Política de confidencialidade:
- Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP):
- Também chamada de "Termo de Uso" ou "Termo de Serviço“;
- Define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
Política de segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
39
Compartilhamento de senhas;
Divulgação de informações confidenciais;
Envio de boatos e mensagens contendo spam e códigos maliciosos;
Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
Cópia e distribuição não autorizada de material protegido por direitos autorais;
Ataques a outros computadores;
Comprometimento de computadores ou redes;
Entre outros.
Algumas situações abusivas (não
aceitável)
Auditoria e Segurança em S.I prof. Rhyan Ximenes
40
Inicialmente tudo é permitido e só depois algumas coisas são
negadas;
A proibição é a exceção;
O funcionário recebe uma lista de proibições, o que não estiver na lista, é permitido;
Existem mais permissões que proibições, portanto é uma política mais aberta.
Na política de permissão:
Auditoria e Segurança em S.I prof. Rhyan Ximenes
41
Inicialmente proíbe-se tudo e aos poucos vão se dando algumas
permissões;
A permissão é a exceção;
O funcionário recebe uma lista de permissões, ou seja, o que ele pode fazer;
O que não constar na lista é proibido;
Existem mais proibições que permissões, portanto é uma política mais restritiva.
Já na política de proibição:
Auditoria e Segurança em S.I prof. Rhyan Ximenes
42
Medidas de Segurança
Política de Segurança;
Política de utilização da Internet e Correio Eletrônico;
Política de instalação e utilização de softwares;
Plano de Classificação das Informações;
Auditoria;
Auditoria e Segurança em S.I prof. Rhyan Ximenes
45
Medidas de Segurança
Análise de Riscos;
Análise de Vulnerabilidades;
Análise da Política de Backup;
Plano de Ação Operacional;
Plano de Contingência;
Capacitação Técnica;
Processo de Conscientização dos Usuários.
Auditoria e Segurança em S.I prof. Rhyan Ximenes
46
Backups;
Antivírus;
Firewall;
Detecção de Intruso (IDS);
Servidor Proxy;
Filtros de Conteúdo;
Sistema de Backup;
Medidas de Segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
47
Monitoração;
Sistema de Controle de Acesso;
Criptografia Forte;
Certificação Digital;
Teste de Invasão;
Segurança do acesso físico aos locais críticos.
Medidas de Segurança
Auditoria e Segurança em S.I prof. Rhyan Ximenes
48
Autorização, em segurança da informação, é o mecanismo
responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional;
Os recursos incluem:
- Arquivos;
- Programas de computador;
- Dispositivos de hardware;
- Funcionalidades disponibilizadas por aplicações instaladas em um sistema;
Nível de autorização
Auditoria e Segurança em S.I prof. Rhyan Ximenes
49
Proteção de perímetro;
Detecção de anomalias e intrusão;
Proteção contra infecção;
Identificação de vulnerabilidades;
Backup/recovery.
Defesas contra ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
50
Como funcionam?
- Realizam o monitoramento de redes;
- Plataformas e aplicações visando a detecção de atividades não
autorizadas;
- Ataques;
- Mau uso e outras anomalias de origem interna ou externa.
Detecção de anomalias e intrusão
Auditoria e Segurança em S.I prof. Rhyan Ximenes
51
Que tipos de métodos são empregados?
- Empregam métodos sofisticados de detecção que variam desde
o reconhecimento de assinaturas, que identificam padrões de
ataques conhecidos;
- Até a constatação de desvios nos padrões de uso habituais dos
recursos de informação.
Detecção de anomalias e intrusão
Auditoria e Segurança em S.I prof. Rhyan Ximenes
52
Os Intrusion Detection Systems (IDS) são as ferramentas mais
utilizadas nesse contexto e atuam de maneira passiva, sem
realizar o bloqueio de um ataque, podendo atuar em conjunto
com outros elementos (ex.: firewalls) para que eles realizem o
bloqueio.
Detecção de anomalias e intrusão
Auditoria e Segurança em S.I prof. Rhyan Ximenes
53
Uma evolução dos IDS são os Intrusion Prevention Systems
(IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques;
Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores.
Detecção de anomalias e intrusão
Auditoria e Segurança em S.I prof. Rhyan Ximenes
54
Outras ferramentas importantes nesta categoria são:
- Os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao
longo da rede, utilizam informações de perfil de tráfego dos diversos
roteadores e switches para imediatamente detectar ataques desconhecidos,
ataques distribuídos (Distributed Denial of Service – DDoS) e propagação de
worms.
Detecção de anomalias e intrusão
Auditoria e Segurança em S.I prof. Rhyan Ximenes
55
Garantem que os sistemas e os recursos de informação neles
contidos não sejam contaminados;
Incluem, principalmente, os antivírus e filtros de conteúdo.
Proteção contra infecção
Auditoria e Segurança em S.I prof. Rhyan Ximenes
56
Os antivírus ganham cada vez mais sofisticação, realizando a
detecção e combate de ameaças que vão além dos vírus,
incluindo trojans, worms, spyware e adware.
Proteção contra infecção
Auditoria e Segurança em S.I prof. Rhyan Ximenes
57
Ameaças relativas a um evento natural:
- Os fenômenos naturais e incidentes estão presentes no nosso cotidiano;
Muitas vezes são inevitáveis, não dependem da ação direta de pessoas para acontecer e normalmente não temos a quem responsabilizar, portanto cabe a segurança das informações proteger os equipamentos deste tipo de
Ameaça;
Tipos de ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
58
Exemplos de eventos naturais:
- Incêndio;
- Queda de energia;
- Terremoto;
- Enchente;
- Ventanias e até mesmo ataques terroristas nas proximidades, que apesar de nos parecer tão improváveis, são constantes em outros países.
Tipos de ameaças
Auditoria e Segurança em S.I prof. Rhyan Ximenes
59
Uma vulnerabilidade é uma falha que pode ser explorada para
se conseguir efetuar um ataque;
É importante que se conheça todas as vulnerabilidades
existentes na empresa, por menor que ela seja;
A partir da lista de vulnerabilidades existentes, podemos
perceber onde as ameaças podem aparecer.
Vejamos uma tabela que aponta possíveis vulnerabilidades e as
ameaças que podem surgir em cada uma delas:
Vulnerabilidades
Auditoria e Segurança em S.I prof. Rhyan Ximenes
60