ATIVIDADES PRÁTICAS

SUPERVISIONADAS

Sistemas de Informação

8ª Série Segurança e Auditoria em Sistemas de Informação

A atividade prática supervisionada (ATPS) é um método de ensino-

aprendizagem desenvolvido por meio de um conjunto de atividades

programadas e supervisionadas e que tem por objetivos:

Favorecer a aprendizagem.

Estimular a co-responsabilidade do aluno pelo aprendizado eficiente e

eficaz.

Promover o estudo, a convivência e o trabalho em grupo.

Desenvolver os estudos independentes, sistemáticos e o autoaprendizado.

Oferecer diferenciados ambientes de aprendizagem.

Auxiliar no desenvolvimento das competências requeridas pelas Diretrizes

Curriculares Nacionais dos Cursos de Graduação.

Promover a aplicação da teoria e conceitos para a solução de problemas

relativos à profissão.

Direcionar o estudante para a emancipação intelectual.

Para atingir estes objetivos as atividades foram organizadas na forma de

um desafio, que será solucionado por etapas ao longo do semestre letivo.

Participar ativamente deste desafio é essencial para o desenvolvimento das

competências e habilidades requeridas na sua atuação no mercado de trabalho.

Aproveite esta oportunidade de estudar e aprender com desafios da vida

profissional.

AUTORIA:

Renato Cividini Matthiesen

Faculdade Anhanguera de Limeira

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 2 de 6

COMPETÊNCIAS E HABILIDADES

Ao concluir as etapas propostas neste desafio você terá desenvolvido as competências e habilidades descritas a seguir. Capacidade para levantar dados e empreender uma abordagem sistêmica no trato dos

problemas de distribuição da informação. Capacidade de abstração, representação, organização e viabilização de soluções de

software para diferentes domínios de aplicação. Habilidade em tomar decisões e saber implementá-las.

DESAFIO

A necessidade de segurança em tecnologia e sistemas de informação vem crescendo na mesma velocidade em que as novas tecnologias e os novos sistemas são implantados nas empresas. Sempre uma nova técnica de segurança é desenvolvida, outras técnicas também são criadas para invadir estes sistemas. Esta dinâmica no desenvolvimento de soluções de segurança obriga as empresas a necessitarem de cuidados especiais para garantir a segurança de seus sistemas de informação. O correto treinamento de colaboradores para que eles trabalhem conscientes sobre os tipos de ameaças e mecanismos de proteção e a aplicação de um programa de auditoria sobre os sistemas informatizados são fundamentais para garantir a segurança dos sistemas de informação, que armazenam e transportam um dos ativos mais importantes da empresa: a própria informação.

Este desafio propõe que a equipe de tecnologia da informação (representada por um grupo de até quatro alunos) de uma empresa que realiza venda de livros e DVDs (Digital Video Disc) através de seu sistema de comércio eletrônico pela Internet elabore um Manual sobre Segurança e Auditoria em Sistemas de Informação. A elaboração do manual tem como objetivo apresentar a todos os colaboradores da empresa conceitos básicos de segurança em tecnologia e sistemas de informação, informações sobre a política de segurança da empresa e metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual será dividido em quatro capítulos:

1. Segurança em Sistemas de Informação e em Redes de Computadores. 2. Controles e Política de Segurança. 3. Gerenciamento de Riscos em Sistemas de Informação. 4. Auditoria em Sistemas de Informação.

O desafio deverá ser realizado em grupos de até quatro alunos, sendo que o grupo

deverá entregar um capítulo do manual para cada item proposto acima. A formação dos grupos e a orientação sobre a elaboração dos capítulos deverão ser realizadas na primeira aula da disciplina. Os capítulos serão elaborados conforme descritos nas etapas do desafio, e deverão ser entregues conforme planejamento do professor da disciplina.

Objetivo do desafio

Elaboração de um manual técnico sobre segurança em tecnologia e sistemas de informação.

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 3 de 6

Produção Acadêmica

Nesta atividade será produzido: Relatórios parciais, com os resultados das pesquisas realizadas nas etapas.

Participação

Para a elaboração desta atividade, os alunos deverão previamente organizar-se em equipes de participantes (conforme orientação do professor) e entregar seus nomes, RAs e e-mails ao professor da disciplina. Essas equipes serão mantidas durante todas as etapas.

Padronização

O material escrito solicitado nesta atividade deve ser produzido de acordo com as normas da ABNT1, com o seguinte padrão:

em papel branco, formato A4; com margens esquerda e superior de 3cm, direita e inferior de 2cm; fonte Times New Roman tamanho 12, cor preta; espaçamento duplo entre linhas; se houver citações com mais de três linhas, devem ser em fonte tamanho 10, com

um recuo de 4cm da margem esquerda e espaçamento simples entre linhas; com capa, contendo:

nome de sua Unidade de Ensino, Curso e Disciplina; nome e RA de cada participante; título da atividade; nome do professor da disciplina; cidade e data da entrega, apresentação ou publicação.

ETAPA 1 (tempo para realização: 5 horas) Aula tema: Introdução à Segurança de Informação e Auditoria. Definição de

processos de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados.

Esta atividade é importante para que você conheça conceitos básicos e a terminologia de segurança em sistemas de informação, redes de computadores e auditoria de sistemas. Para realizá-la é importante seguir os passos descritos.

Passo 1 (Aluno)

Faça uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros complementares da disciplina. Em seguida leia o capítulo de um dos livros que faz uma introdução aos conceitos de segurança em sistemas de informação e redes de computadores.

1 Consulte o Manual para Elaboração de Trabalhos Acadêmicos. Unianhanguera. Disponível em:

<http://www.unianhanguera.edu.br/anhanguera/bibliotecas/normas_bibliograficas/index.html>.

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 4 de 6

Passo 2 (Aluno)

Leia o artigo “O enfoque social da segurança da informação”. Este artigo está disponível no sistema Scielo e pode ser acessado através do seguinte link: <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt>. Acesso em: 11 ago. 2011.

Passo 3 (Equipe)

Elaborem o Capítulo 01: Segurança em Sistemas de Informação e Redes de Computadores do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:

1.1 Introdução à Segurança em Sistemas de Informação e Redes de Computadores: escrevam um texto que apresente de forma objetiva pelo menos três fatores que levam as empresas a investirem em sistemas de segurança da informação.

1.2 Exemplos de Problemas de Segurança em Sistemas de Informação: façam uma pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de falha de segurança em sistemas informação em empresas e suas conseqüências.

1.3 Falhas em Sistemas de Informação: façam a descrição das seguintes falhas de segurança em sistemas de informação: SQL Injection, Quebra de Código JavaScript, Cross Site Scripting, Upload de Arquivos.

1.4 Correção de Falhas em Sistemas de Informação: façam a descrição de pelo menos uma maneira de evitar e/ou corrigir as falhas em sistemas de informação descritas no tópico 1.3 deste relatório.

1.5 Terminologia de Segurança: façam uma descrição dos seguintes termos de segurança em sistemas de informação: Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo de Tróia, Vírus e Worm.

ETAPA 2 (tempo para realização: 5 horas) Aula tema: Identificação das Necessidades de Segurança. Avaliação dos Controles

de Segurança. Elaboração de Checklist.

Esta atividade é importante para que você conheça os serviços de segurança em um sistema de informação e aprenda a elaborar uma Política de Segurança para uma empresa. Para realizá-la é importante seguir os passos descritos.

Passo 1 (Equipe)

Elaborem o Capítulo 02: Controles e Política de Segurança do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:

2.1 Serviços de Segurança: apresentem a definição dos seguintes serviços de segurança em sistemas de informação e redes de computadores: Confidencialidade, Autenticação, Integridade e Disponibilidade.

2.2 Controles Gerais de Segurança: façam uma descrição dos seguintes Controles Gerais de Segurança em Sistemas de Informação: Controles de Software, Controles de Hardware, Controle de Operações de Computador, Controles de Segurança de Dados, Controles de Implementação e Controles Administrativos.

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 5 de 6

2.3 Controles de Aplicação de Segurança: façam uma descrição dos seguintes Controles de Aplicação de Segurança em Sistemas de Informação: Totais de Controle, Verificação de Edição, Compatibilização Automática, Cálculos dos Totais de Controle e Listas de Distribuição de Relatórios.

Passo 2 (Equipe)

Continuem a elaboração do Capítulo 02 e façam o seguinte tópico: 2.4 Política de Segurança: elaborem um documento que apresente a descrição de uma

Política de Segurança. Este documento deve apresentar um exemplo parcial da Política de Segurança para uma empresa conforme os itens e subitens a seguir: 2.4.1 Descrição do Sistema: façam a descrição do papel do Sistema de Informação. 2.4.2 Requisitos de Segurança: descrevam os seguintes itens: Ameaças à

Confidencialidade, Ameaças à Integridade, Ameaças à Disponibilidade e Possíveis Atacantes.

2.4.3 Plano de Resposta a Incidentes de Segurança: façam a descrição dos seguintes itens: Planejamento de Resposta à Incidentes, Pontos de Contato e Resposta à um Incidente.

ETAPA 3 (tempo para realização: 5 horas) Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenções.

Esta atividade é importante para que você conheça técnicas de gerenciamento de riscos, os principais tipos de ataques em Sistemas de Informação em Redes de Computadores e mecanismos de segurança. Para realizá-la é importante seguir os passos descritos. Passo 1 (Aluno)

Acesse o site: Invasao.com e leia a matéria: Hackers invadiram 1.195 páginas governamentais neste ano, 2009. Disponível em: <https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en>. Acesso em: 11 ago. 2011. Passo 2 (Equipe)

Elaborem o Capítulo 03: Gerenciamento de Riscos em Sistemas de Informação do manual. Este capítulo deve conter os seguintes tópicos:

3.1 Gerenciamento de Riscos em Sistemas de Informação: façam uma descrição de pelo menos duas possíveis causas de risco no sistema de informação da empresa referentes à: Erro Humano, Falha de Hardware, Falha de Software, Espionagem, Vandalismo, Engenharia Social.

3.2 Ataques em Sistemas de Informação e Redes de Computadores: façam uma descrição e apresente pelo menos um exemplo dos seguintes tipos de ataques em sistemas de informação e redes de computadores: Ataque para Obtenção de Informações, Ataques de Negação de Serviço e Ataques no Nível de Aplicação.

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 6 de 6

3.3 Mecanismos de Segurança: apresentem a definição e um exemplo dos seguintes mecanismos de segurança: Senha, Criptografia, Assinatura Digital e Firewall.

3.4 Prevenção de Riscos: apresentem uma medida de prevenção de riscos referente a cada uma dos seis riscos apresentados no tópico 3.1 deste capítulo.

ETAPA 4 (tempo para realização: 5 horas) Aula tema: A Importância da Auditoria. Os Tipos de Auditoria em Tecnologia da

Informação. Principais Elementos Envolvidos na Auditoria. Avaliação de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes Disponíveis no Mercado; Ferramentas de Análise de Dados.

Esta atividade é importante para que você conheça os principais tipos de auditoria em tecnologia e sistemas de informação, os elementos, procedimentos e metodologias envolvidos na auditoria e conheça ferramentas e softwares disponíveis no mercado para realizar auditoria de sistemas. Para realizá-la é importante seguir os passos descritos. Passo 1 (Equipe)

Elaborem o Capítulo 04: Auditoria em Sistemas de Informação do manual. Uma auditoria em sistemas de informação pode abranger desde o exame de dados registrados em sistemas informatizados até a avaliação do sistema (Aplicativos, Sistemas Operacionais, Banco de Dados e Estrutura de Rede). Este capítulo deve conter os seguintes tópicos:

4.1 Técnicas de Auditoria em Sistemas de Informação: descrevam as atividades das seguintes técnicas de auditoria: Entrevista, Questionário e Verificação In Loco, Test Deck, Simulação Paralela, Teste de Recuperação, Teste de Desempenho, Teste de Estresse, Teste de Segurança, Teste de “Caixa Preta” Teste de “Caixa Branca”, Mapping, Tacing, Snapshot e Integrated Test Facility.

4.2 Tipos de Auditoria de Sistemas: façam a descrição dos seguintes tipos de auditoria: Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas, Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria em Microcomputadores.

4.3 Controles: façam a descrição dos seguintes tipos de controles de auditorias: Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de Entrada de Dados, Controle de Processamento de Dados e Controle de Saída de Dados.

Passo 2 (Equipe)

Continuem com a elaboração do Capítulo 04 e façam o seguinte tópico: 4.4 Softwares de Auditoria de Sistemas de Informação: façam uma pesquisa e apresente

pelo menos três softwares de auditoria de sistemas de informação comercializados atualmente (ou do tipo open source). Façam a descrição de suas funcionalidades, seus tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.