Apostila Auditoria Seguran%E7a V8

57
ESCOLA ESTADUAL “PROFESSOR ANTÔNIO DIAS MACIEL” NORMAL APOSTILA AUDITORIA E SEGURANÇA DE SISTEMAS PROFESSORA MISLENE DALILA DA SILVA

Transcript of Apostila Auditoria Seguran%E7a V8

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 1 -

ESCOLA ESTADUAL “PROFESSOR ANTÔNIO DIAS

MACIEL” NORMAL

APOSTILA

AUDITORIA E SEGURANÇA DE SISTEMAS PROFESSORA MISLENE DALILA DA SILVA

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 2 -

CONCEITOS E ORGANIZAÇÃO DA AUDITORIA

Auditoria:

- exame comprobatório relativo às atividades contábeis e financeiras de uma empresa

ou instituição; auditagem.

Auditor:

- que ou aquele que ouve; ouvinte;

- técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de

sua especialidade;

- perito de contabilidade a quem se dá a incumbência de examinar minuciosamente e

dar parecer sobre as operações contábeis de uma empresa ou instituição, atestando a

correção ou incorreção das mesmas e a veracidade do balanço geral;

- magistrado, juiz togado com jurisdição privativa ou cumulativa na Justiça Militar.

Conceitos de básicos

A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e

responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua

conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas

ou padrões.

A atividade de auditoria pode ser divida em três fases: planejamento, execução e relatório.

Campo, âmbito e área.

O campo da auditoria compõe-se de aspectos como: objeto a ser fiscalizado, período e

natureza da auditoria.

Objeto: entidade a ser auditada (completa ou parcialmente, órgão ou função).

Período: espaço de tempo sobre o qual a auditoria irá atuar.

Natureza: o tipo de auditoria executada numa entidade.

O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria,

incluindo uma limitação racional dos trabalhos a serem executados, nível de

aprofundamento e grau de abrangência.

A área de verificação é o conjunto formado por campo e âmbito de auditoria. A área

delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e

da natureza da auditoria.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 3 -

Controles, objetivos de controle, procedimentos, achados de auditoria, papéis de

trabalho e recomendações de auditoria.

O controle é a monitoração, fiscalização ou exame minucioso, que obedece a determinadas

expectativas, normas, convenções sobre as atividades de pessoas, órgãos, ou sobre

produtos a fim de não haver se desviarem das normas preestabelecidas.

Podemos classificar os controles em três tipos:

Controles preventivos: prevenção de erros, omissões ou fraudes (previne, evita,

antes da ocorrência).

Controles detectivos: detecção de erros, omissões ou fraudes e ainda relatar sua

ocorrência (por exemplo, software de controle de acesso e relatórios de

tentativas de acesso não autorizado a um determinado sistema).

Controles corretivos: usado para reduzir impacto ou corrigir erros, uma vez

detectados (por exemplo, planos de contingência).

Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a

serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de

auditoria.

Os procedimentos de auditoria formam um conjunto de ações (verificações e

averiguações) que permitem obter e analisar as informações necessárias à formulação do

parecer do auditor.

É recomendado, que, antes de iniciar a auditoria, seja definida a lista de procedimento, ou

seja, a relação dos pontos a serem verificados. Entidades fiscalizadoras (RF, TCU)

costumam ter manuais de auditoria contendo objetivos de controle e procedimentos de

auditoria preestabelecidos para cada área de verificação ou natureza de auditoria.

Os achados de auditoria são fatos significativos observados pelo auditor durante a

execução da auditoria. Esses fatos, não necessariamente, erros, falhas ou fraudes, podem

ser pontos fortes da instituição, órgão, função ou produto devem ser relevantes e baseados

em dados e evidências incontestáveis.

Sub 1 Sub 3 Sub 2

Âmbit

o

Camp

o

Objeto

Período

Natureza Área de

Verificação

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 4 -

Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor

(documentos, tabelas, planilhas, listas de verificações, arquivos informatizados, etc.). Esses

papéis dão suporte ao relatório de auditoria, neles estão o registro da metodologia adotada,

procedimentos, verificações, fontes de informações, testes e outras informações

relacionadas ao trabalho executado pelo auditor.

As recomendações de auditoria são feitas na fase de relatório, são medidas corretivas

possíveis, a fim de corrigir deficiências detectadas durante a auditoria. Dependendo da

competência ou posição hierárquica do órgão de controle em relação à entidade auditada,

as recomendações podem se transformar em determinações a serem cumpridas.

Natureza da auditoria

Não existe padrão classificatório (tipologia) dos diversos tipos de auditoria existentes, a

seguir apresentamos alguns tipos mais comuns, classificados de acordo com os seguintes

aspectos:

Órgão fiscalizador

o Auditoria interna

Realizada por órgão interno da entidade, tem como objetivo

reduzir as probabilidades de fraudes, erros, práticas ineficientes

ou ineficazes. Deve ser independente e prestar contas

diretamente à direção da instituição.

o Auditoria externa

Realizada por instituição externa e independente da entidade

fiscalizada, com objetivo de emitir parecer sobre gestão de

recursos, situação financeira, a legalidade de suas operações.

o Auditoria articulada

Trabalho conjunto de auditorias internas e externas caracteriza-

se pelo uso de recursos e comunicações recíprocas dos

resultados.

Forma de abordagem do tema

o Auditoria horizontal

Aborda tema específico, realizada em várias entidades ou

serviços paralelamente.

o Auditoria orientada

Focada em uma atividade específica qualquer ou em atividade

com fortes indícios de erros ou fraudes.

Tipo ou área envolvida

o Auditoria de programas do governo

Acompanhamento, exame e avaliação da execução de programas

e projetos governamentais específicos (efetividade das medidas

governamentais).

o Auditoria do planejamento estratégico

Verifica se os principais objetivos da entidade são atingidos e se

as políticas e estratégias de aquisição, utilização e alienação de

recursos são respeitadas.

o Auditoria administrativa

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 5 -

Engloba o plano da organização, seus procedimentos e

documentos de suporte à tomada de decisão.

o Auditoria contábil

Auditoria tem objetivo de garantir a correção das contas da

instituição, conforme as devidas autorizações.

o Auditoria financeira

Ou auditoria das contas, análise das contas, da situação

financeira, da legalidade e regularidade das operações e aspectos

contábeis financeiros, orçamentários e patrimoniais, verificando

se todas as operações foram corretamente autorizadas,

liquidadas, ordenadas, pagas e registradas.

o Auditoria de legalidade

Analise da legalidade ou regularidade das atividades, funções,

operações ou gestão de recursos, verificando se estão em

conformidade com a legislação em vigor.

o Auditoria operacional

Analisa todos os níveis de gestão, nas fases de programação,

execução e supervisão, sob o ponto de vista da economia,

eficiência e eficácia. Também conhecida como auditoria de

eficiência, de gestão, de resultados ou de práticas de gestão. São

auditados todos os sistemas e métodos utilizados pelo gestor pata

a tomada de decisão, analisa a execução das decisões a aprecia

até que ponto os resultados pretendidos foram atingidos.

o Auditoria integrada

Inclui auditoria financeira e a operacional.

o Auditoria da tecnologia da informação

Analisa os sistemas de informação, o ambiente computacional, a

segurança de informações, e o controle interno da entidade,

identificando deficiências e pontos fortes. É essencialmente

operacional, conhecida como auditoria informática,

computacional ou de sistemas.

AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO

A Auditoria da TI é uma auditoria operacional, isto é, que analisa a gestão de recursos,

com o foco nos aspectos de eficiência, eficácia, economia e efetividade. A abrangência

desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização

do departamento de informática:

Ambiente de informática:

o Segurança dos outros controles;

o Segurança física;

o Segurança lógica;

o Planejamento de contingências;

o Operação do centro de processamento de dados.

Organização do departamento de informática:

o Aspectos administrativos da organização;

o Políticas, padrões, procedimentos, responsabilidades

organizacionais, gerência pessoal e planejamento de capacidade;

o Banco de dados;

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 6 -

o Redes de comunicação e computadores;

o Controle sobre aplicativos:

Desenvolvimento,

Entradas, processamento e saídas.

Embora não exista tipologia das sub-áreas da Auditoria da TI, apresentamos:

Auditoria da tecnologia da informação

É abrangente, engloba todos os controles que podem influenciar a segurança de informação

e o correto funcionamento dos sistemas de toda a organização:

Controles organizacionais;

De mudança;

De operação de sistemas;

Sobre Banco de Dados;

Sobre microcomputadores;

Sobre ambiente cliente-servidor.

Auditoria da segurança de informações

Determina a postura da organização com relação à segurança. Avalia a política de

segurança e controles relacionados com aspectos de segurança institucional mais globais,

faz parte da auditoria da TI. Seu escopo envolve:

Avaliação da política de segurança;

Controles de acesso lógico;

Controles de acesso físicos;

Controles ambientais;

Planos de contingência e continuidade de serviços.

Auditoria de aplicativos

Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que

o aplicativo atende:

Controles sobre o desenvolvimento de sistemas aplicativos;

Controles de entradas, processamento e saída de dados;

Controle sobre conteúdo e funcionamento do aplicativo, com relação à

área por ele atendida.

EQUIPE DE AUDITORIA

Gerente da equipe:

Habilidade para recrutar ou formar profissionais com nível adequado de capacitação

técnica em auditoria e TI; determinar forma de atingir a capacitação e os métodos de

treinamento mais eficazes.

Conhecimento necessários

Conhecimento na área (se possível experiência anterior)

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 7 -

Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou

serviços de consultoria técnica de informática.

Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho

executado.

Avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado

pra a realização da auditoria.

Dependendo do âmbito (abrangência, profundidade) diferentes níveis de conhecimento

podem ser exigidos, supridos pela equipe básica (interna) com treinamentos ou contratação

de mão-de-obra especializada.

Conhecimentos técnicos:

Sistemas operacionais,

Software básico,

Banco de dados,

Processamento distribuído,

Software de controle de acesso,

Segurança de informações,

Plano de contingência, e de recuperação e

Metodologias de desenvolvimento de sistemas.

Conhecimentos em auditoria:

Técnicas de auditoria,

Software de auditoria e extração de dados,

Outras capacidades relevantes:

Princípios Éticos,

Bom relacionamento,

Comunicação oral e escrita,

Senso crítico,

Conhecimento específico na área (finanças, pessoal, estoque...)

Composição da equipe

Na composição da equipe de auditoria, a chefia tem três opções.

Opções para a formação da equipe:

Consultoria externa

Desenvolver a capacidade técnica de TI nos auditores

Desenvolver técnicas de auditagem no pessoal de TI

Dependendo do tamanho da organização, capacidade dos profissionais, prazos, objetivos e

relação custo - beneficio uma das alternativas será eleita.

Consultoria externa

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 8 -

Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do

trabalho)

Consultores externos somente para tarefas específicas (conhecimento especializado).

Pontos críticos: custos, contrato e controle sobre atividades.

Definição de objetivos precisos e pontos de controle.

Recomendável: bom relacionamento, transferência de conhecimentos.

Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos

membros da equipe e da gerencia da organização), com o objetivo de evitar as

mesmas falhas no futuro.

A possibilidade de contratação de serviços externos de auditoria deve ser considerada

desde as primeiras fases do planejamento da auditoria. A partir do momento em que são

definidos o campo da auditoria, seu âmbito e as sub-áreas a serem auditadas. Decidir

contratar consultoria externa depois de ter iniciado a auditoria dificilmente trará bons

resultados.

A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de

seu trabalho, os objetivos a serem atingidos e o grau de profundidade dos conhecimentos

requeridos, podendo assim verificar se estão aptos.

Categorias de consultoria externa:

Firma ou organização especializada em auditoria (mais recursos, mais serviços)

Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades

acadêmicas na área a ser auditada, especializados em determinadas técnicas e

ferramentas de auditoria, ou com especialização no objeto da auditoria. (Atuam

tanto no planejamento estratégico como nas verificações específicas em

campo.)

Tanto as firmas de consultoria como os especialistas autônomos podem ser de grande

utilidade no planejamento da auditoria, na condução de entrevistas com o auditado, na

avaliação de controles, na captação de dados dos sistemas, na revisão dos resultados e nas

recomendações finais do relatório de auditoria.

Analisando os Candidatos ao Serviço de Consultoria Externa

Uma das maneiras de se contratar o serviços de consultoria externa é promover um estudo

de propostas onde sejam detalhados os custos do serviço, os recursos humanos oferecidos

pela consultoria, suas habilidades técnicas, seu plano de trabalho. Antes de confrontar as

propostas, é aconselhável fazer uma seleção inicial dos possíveis candidatos, é importante

também decidir, antecipadamente, os critérios que serão utilizados na análise das propostas

dos consultores.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 9 -

Relacionamento com os Consultores Externos

Para a realização de qualquer trabalho de qualidade, é essencial o bom entrosamento na

equipe, ainda mais se alguns de seus componentes não fizerem parte do quadro de

funcionários da organização. Em auditorias com a participação de consultoria externa é

imprescindível que todos os aspectos relevantes estejam sob o controle do auditor

coordenador da equipe, que deverá ser sempre funcionário da organização.

Avaliando o trabalho realizado

Ao final do trabalho, é importante avaliar seus resultados, em uma discussão franca entre

os consultores externos, membros da equipe de auditoria, coordenador e gerência da

organização contratante. O objetivo dessa discussão é destacar seus pontos fortes e fracos e

relatar as dificuldades encontradas ao longo do trabalho para que, no futuro, sejam

realizadas auditorias mais produtivas, eficientes e eficazes.

Comparar os objetivos esperados e os resultados alcançados, o orçamento previsto e custo

real, os prazos estimado e real, e os níveis de qualidade esperado e alcançado. Verificar se

houve cooperação entre a consultoria externa e o resto da equipe, se há sugestões para o

aprimoramento das futuras auditorias.

Capacitando Auditores para atuarem como Auditores de Sistemas

Para muitos, a informática pode ser difícil de compreender. É uma área recheada de jargões

técnicos e que enfrenta transformações constantes de produtos e tecnologias. O auditor

com formação básica em contabilidade e auditoria geral se depara com uma dificuldade

adicional: muitos profissionais de informática, ao serem auditados, não se propõem a

explicar os assuntos técnicos ao auditor que não tenha os conhecimentos básicos

necessários para realizar auditoria naquele departamento. Muitas vezes o auditor nem

sequer entende o que é respondido pelo auditado, pois este utiliza vocabulário técnico e

siglas, dificilmente compreendidos por quem não é da área.

Capacitando Profissionais de Informática em Auditorias

Pode-se obter resultados mais efetivos e com maior rapidez se, nos quadros da

organização, existirem profissionais de informática para serem treinados na área de

auditoria.

Treinamento

O treinamento constante dos auditores de sistema é imprescindível para que estejam

preparados para realizar auditorias de qualidade com grau de profundidade técnica

adequado. Todos os auditores especialistas ou não em sistemas, deveriam receber

treinamento básico de auditoria da tecnologia da informação, já que dificilmente auditarão

entidades que não utilizam informática em seus processos e controles. As técnicas e

métodos básicos de auditoria de sistemas computadorizados devem ser disseminados a

todos os auditores da organização.

Participação em Seminários e Cursos de Especialização

Faz-se necessário estimular a participação dos auditores em seminários, cursos de

especialização, workshops e congressos.

Qualificação Profissional

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 10 -

Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus

conhecimentos estão atualizados e compatíveis com os padrões profissionais.

Alguns exemplos de organizações certificadoras:

Information System Audit and Control Association (ISACA) – Certificado de

Auditor de Sistemas de Informação

Bristish Computer Society - Exame da Sociedade Britânica de Informática

Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional

(IIA Qualition in Computer Auditing)

A IIA e ISACA desempenham um papel ativo no desenvolvimento de padrões de auditoria

e controle de sistemas de informação.

Como a tecnologia da informação está em constante evolução, é essencial que o

treinamento do auditor de sistemas acompanhe essa evolução, incluindo em seu currículo

novas técnicas de auditoria e aspectos de informática de tecnologias mais avançadas. O

desenvolvimento profissional contínuo não é apenas desejável, mas essencial.

Manuais de Auditoria da Tecnologia da Informação

A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e

difundir o conhecimento nessa área, deve ser responsável pela elaboração de uma ou mais

manuais contendo instruções para a condução de auditorias de sistemas, exemplos de

objetivos de controle e procedimentos de auditoria, explanações técnicas sobre alguns

tópicos considerados importantes na área de informática, técnicas e metodologias de

auditoria, instruções sobre o uso de ferramentas de informática de apoio à auditoria.

Biblioteca Técnica

Os auditores devem ter, à sua disposição, uma biblioteca técnica para consulta. Dessa

forma poderão orientar seus trabalhos de acordo com os padrões conhecidos na área, se

manter atualizados com relação às novas tecnologias e utilizar publicações técnicas como

fonte de consulta durante a auditoria e na elaboração do relatório.

Organização da Equipe Especializada

Dada a complexidade e a extensão dos conhecimentos necessários em auditoria da

tecnologia da informação, dificilmente uma única pessoa deterá todos esses

conhecimentos. É comum encontrar, em equipes de auditoria da TI de várias organizações,

auditores com formação e especialização em diferente áreas. Cabe à gerência desenvolver

as especializações que faltam e administrar o grupo como um time coeso que se

complementa tecnicamente. Através de treinamento adequado, a equipe deve tentar cobrir

todas as áreas de auditoria da tecnologia da informação utilizadas pela instituição.

Administrando Recursos Humanos Escassos

Na maioria das organizações dedicadas a auditoria, controle e segurança, os auditores de

sistemas são considerados recursos escassos e seu tempo é administrado criteriosamente.

Suas atividades são definidas apenas nos casos em que sua atuação é realmente necessária.

Além do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse

conhecimento é treinar alguns auditores para atuarem como suporte básico de informática

nas equipes de auditoria de caráter genérico, sendo este denominado auditor generalista.

Ele executará análise preliminar de ambientes de informática ou sistemas considerados

pouco complexos para determinar a estratégia de auditoria mais adequada e avalia os

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 11 -

controles genéricos do ambiente computacional que não exijam experiência técnica mais

apurada.

É recomendável que a chefia estabeleça claramente as responsabilidades de cada tipo de

auditor, o suporte técnico a ser dado pelos auditores especialistas, os limites de atuação e o

relacionamento entre auditores de sistemas e especialistas e generalistas, para evitar

omissão ou duplicidade de trabalho.

A gerência deve estabelecer um plano de auditorias de sistemas, de preferência anual,

relacionando os recursos disponível (generalistas e especialistas) e as prioridades dos

trabalhos.

Planejamento de Atividades

Em organizações de auditoria, geralmente as atividades são planejadas em três níveis,

baseados em períodos de tempo diferentes. Cada nível de planejamento gera um

documento, denominado plano, com atividade e detalhes para o período de tempo.

Plano Estratégico de Longo Prazo

O plano estratégico de longo prazo é estabelecido, normalmente, para um período de 3 a 5

anos. Seus objetivos são mais amplos, atingem toda a instituição e são aprovados pela

gerência superior. Seus conteúdo define as metas da gerência de auditoria da TI, seu modo

de atuação, os recursos necessários (pessoal, equipamentos e recursos financeiros) e as

necessidades de treinamento. É aconselhável revisar e atualizar o plano anualmente.

Plano Estratégico de Médio Prazo

Este traduz o plano de longo prazo em um program de atividades para o ano que se inicia.

Em geral procura atender à demanda das equipes de auditoria genérica por especialistas na

área de informática para realizarem, no ano seguinte, em conjunto ou não, auditorias da TI

em entidades previamente escolhidas. Esse plano, normalmente aprovado pela gerência

intermediária, define os objetivos macro das principais auditorias do próximo ano e é

suficientemente flexível para aceitar as alterações que se façam necessárias.

Plano Operacional

Baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem

atingidos, as áreas a serem auditadas, os recursos necessários e em que prazo, os objetivos

de controle e os procedimentos de auditoria a serem seguidos. O plano operacional nada

mais é do que o plano específico de uma determinada auditoria.

Envolvimento com Outros Auditores

Ao estabelecer uma equipe mista para realização de uma auditoria genérica, isto é, sem o

enfoque de auditoria da TI, é conveniente dividir o trabalho em várias fases para que os

auditores atuem, conforme sua especialização, apenas nas fases em que seus

conhecimentos sejam necessários. Em uma auditoria genérica, normalmente os auditores

de sistemas participam das seguintes fases:

Levantamento de auditoria - o auditor de sistemas pode ser requisitados para

analisar um sistema da entidade auditada, explicando, em seu relatório, seu

funcionamento e fornecendo informações básicas para auditoria principal.

Coleta de dados – o auditor de sistemas pode auxiliar na coleta e transferência de

dados do computador do órgão auditado para o computador da equipe de auditoria.

Análise de dados – após a coleta de dados, o auditor de sistemas pode ser solicitado

a analisar os dados coletados e entrevistar o auditado em relação a seu conteúdo.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 12 -

Opinião técnica – o auditor de sistemas pode ser requisitado a dar sua opinião

técnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de

dados.

Já o envolvimento entre auditores de sistemas generalistas e especialista é bem mais

próximo. No caso de auditorias da TI feitas por auditores generalista, a equipe de

especialistas em TI deve dar todo o suporte necessário, seja elaborando manuais de

orientação, repassado os conhecimentos técnicos básicos, esclarecendo suas dúvidas ou

atendendo às solicitações de consultoria, quando for preciso. A troca de experiências

deve ser estimulada pela gerência.

PLANEJAMENTO E EXECUÇÃO

PLANEJAMENTO

A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua

realização. Além de estabelecer os recursos necessários à execução dos trabalhos de

auditoria, a área de verificação, as metodologias, os objetivos de controle e os

procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de

informação sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerência.

Pesquisa de Fontes de Informações

Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possível de

informações sobre a entidade auditada e seu ambiente de informática (plataforma de

hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento,

principais sistemas, etc.). Com essas informações poderá esboçar seu plano de auditoria e

partir para a fase de delimitação dos trabalhos.

Esse conhecimento prévio do ambiente de informática da entidade auditado permite ao

auditor ter uma noção do grau de complexidade de seus sistemas e, então, estabelecer os

recursos e os conhecimentos técnicos necessários à equipe da auditoria.

Saber com antecedência o tipo de ambiente computacional com o qual o auditor vai se

deparar é, sem dúvida, bastante vantajoso, já que haverá mais tempo para se preparar

tecnicamente ou para incluir um especialista na equipe.

A equipe precisará manter contato e entrevistar pessoas-chaves da entidade.]

As principais fontes de informações sobre a entidade auditada são relatórios de auditorias

anteriores, base de dados, documentos ou páginas da entidade na Internet, notícias

veiculadas na imprensa, visitas anteriores à entidade e relatórios da auditoria interna.

Definindo Campo, Âmbito e Sub-áreas

A partir do momento em que foi decidida a realização de uma auditoria e já existem

informações suficientes sobre a entidade e seu ambiente computacional, a equipe delimita

sua atuação, definindo o campo, o âmbito e as sub-áreas a serem auditadas. O campo da

auditoria é composto por objeto, período de fiscalização e natureza.

No caso de auditorias de informática, a natureza é auditoria da tecnologia da informação,

quase sempre com enfoque operacional (exame dos aspectos econômicos, de eficiência e

eficácia). O objeto auditado pode englobar um sistema computacional específico; uma,

várias ou todas as seções do departamento de informática; ou até mesmo toda a

organização (em termos de políticas de informática e segurança de informações ou nos

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 13 -

casos em que o negócio da organização resume-se à prestação de serviços

computacionais). O período de uma auditoria da TI depende diretamente do âmbito (grau

de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe.

Além da definição do campo, são determinadas a amplitude e a exaustão dos processos de

auditoria, incluindo uma limitação racional dos trabalhos a serem executados.

Tendo sido definido o conjunto campo e âmbito da auditoria, é fixada, então, a área de

verificação. Essa área delimita de modo muito preciso os temas da auditoria e, em função

do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas.

É aconselhável coordenar o número de sub-áreas a serem auditadas com a magnitude ou

complexidade do objeto da auditoria, isto é, para ambientes extensos ou de grande

complexidade, convém limitar a quantidade de controles a serem verificados para que a

equipe realize um trabalho de qualidade.

Após a definição das áreas e sub-áreas a serem auditadas, o auditor retorna à fase de

pesquisa para relacionar as fontes de consulta especializadas necessárias durante a

auditoria, tais como livros técnicos, manuais de auditoria, artigos especializados, sites na

Internet especializados em segurança ou outras áreas específicas de informática.

NEGOCIANDO COM A GERÊNCIA

A definição dos aspectos citados no item anterior facilita o trabalho da equipe de auditoria

e evita as falsas expectativas, tanto nos membros da equipe como de sua gerência.

Área de

Verificação

Controles de

Acesso Lógico

Backup

Avaliação da

eficácia dos

controles

Campo

Segurança de

informações da

empresa

De 01/01/2007 a

01/07/2007

Auditoria da TI

Controles de

acesso físico

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 14 -

Evitando Falsas Expectativas

Quando a gerência da equipe de auditoria espera um trabalho de verificação breve, sucinto

e preliminar de um sistema de informática e a equipe executa uma auditoria extremamente

detalhada e aprofundada, ninguém fica satisfeito. A gerência tende a cobrar

insistentemente a conclusão do trabalho, por considerá-lo apenas uma análise superficial,

enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas dentro do

prazo exíguo.

Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, não

necessariamente em auditorias da TI. Antes de iniciar a execução propriamente dita da

auditoria, é recomendável que a equipe sempre discuta e defina claramente, com sua

gerência, o campo da auditoria, o grau de profundidade de sua verificações e o nível de

capacitação técnica e profissional necessário para auditar as sub-áreas escolhidas. Dando

assim uma noção próxima da realidade dos resultado da auditoria e permite à equipe

definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os

procedimentos de auditoria mais adequados para garantir a realização de um trabalho de

auditoria compatível com as expectativas da gerência.

Definindo os Recursos Necessários

● Recursos humanos

● Recursos econômicos

● Recursos técnicos

METODOLOGIAS

Entrevistas

o Entrevistas de apresentação

- Apresentação da equipe, cronograma das atividades, objetivos, áreas,

período, metodologias. Estrutura do relatório (resultado da auditoria).

o Entrevistas de coleta de dados

- Coleta de dados sobre os sistemas ou ambiente de informática. Nessa

entrevista podem ser identificados os pontos fortes e fracos de controle,

falhas e possíveis irregularidades. O entrevistado deve saber de antemão

como serão usados esses dados e conhecer o relatórios a cerca da entrevista.

o Entrevistas de discussão de deficiências encontradas

- Ao término das investigações são apresentadas as deficiências

encontradas. Ao discuti-las podem ser apresentadas justificativas para essas

deficiências, podendo ser desconsiderada as falhas ou relatadas as

justificativas.

o Entrevista de encerramento

É apresentado o resumo dos resultados (pontos fortes, falhas mais

relevantes, comentários, recomendações).

Uso de Técnica ou Ferramentas de Apoio (Catas)

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 15 -

Técnicas Para Análise de Dados

o dados coletados e auditados com auxílio de softwares de extração de dados,

de amostragem, de análise de logs e módulos ou trilhas de auditoria

embutidas nos próprios sistemas aplicativos da entidade.

Técnicas Para Verificação de Controles de Sistemas

o testar a efetividade dos controles dos sistemas do auditados. Analisar sua

confiabilidade, determinar se estão operando corretamente a ponto de

garantir a fidedignidade dos dados.

o Massa de dados de teste, simulações, software de comparação de programas

e rastreamento de processamento.

Outras Ferramentas

o planinhas eletrônicas, editores de texto, bancos de dados e softwares para

apresentações.

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a

serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de

auditoria.

Os objetivos de controle norteiam a auditoria, para realizar uma avaliação, é necessário um

modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.

Este modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor

em cada área específica.

Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas

razões:

Segurança – dados e sistemas importantes para a organização, onde a

confidencialidade, integridade e a disponibilidade são essenciais.

Atendimento a solicitações externas – verificação de indícios de

irregularidade motivados por denúncia ou solicitação de órgão superior.

Materialidade – alto valor econômico-financeiro dos sistemas

computacionais.

Altos custos de desenvolvimento – sistemas de alto custos envolvem

altos riscos.

Grau de envolvimento dos usuários – o não envolvimento dos usuários

no desenvolvimento de sistemas, acarreta sistemas que em geral não

atendem satisfatoriamente às suas necessidades.

Outsourcing/Terceirização – efeitos da terceirização no ambiente de

informática.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 16 -

Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações)

que permitem obter e analisar as informações necessárias à formulação do parecer do

auditor.

Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de

auditoria descrevem padrões individualizados, mais detalhados, dentro de cada objetivo de

controle.

A partir do momento em que foram definidas a área de verificação e as sub-áreas a serem

auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza

procedimentos de auditoria para testar se os respectivos objetivos de controles estão sendo

seguidos pela entidade.

EXECUÇÃO

No transcurso da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis

para a consecução dos objetivos da auditoria. Os resultados da auditoria (achados e

conclusões) devem ser suportados pela correta interpretação e análise dessas evidências.

Evidência física – observações de atividades desenvolvidas pelos

funcionários e gerentes, sistemas em funcionamento, local

equipamentos, etc.

Evidência documentária – resultado da extração de dados, registro de

transações, listagens, etc.

Evidência fornecida pelo auditado - transcrições de entrevistas, cópias

de documentos cedidos, fluxogramas, políticas internas, e-mails

trocados com a gerência, justificativas, relatórios, etc.

Evidência analítica - comparações, cálculos e interpretações de

documentos.

Toda essa documentação, geralmente organizada em papéis de trabalho, deve estar

disponível para auxiliar a equipe na elaboração do relatório. Nem todas as evidências

podem ser investigadas detalhadamente e descritas no relatório final, o auditor deve

analisar cada caso segundo a sua importância para a consecução dos objetivos, tempo e

esforço necessários para esclarecer todos seus pontos nebulosos.

Uma evidência considerada incompatível com a auditoria em execução, pode servir como

indicativo para outra auditoria. A manutenção dos papéis de trabalho é essencial tanto para

a elaboração do relatório da auditoria em questão, como para o planejamento de futuras

auditorias.

RELATÓRIO

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 17 -

Nos relatórios da auditoria, a equipe, apresenta seus achados e conclusões, bem como os

fatos sobre a entidade auditada, comprovações recomendações e determinações. A

linguagem utilizada nos relatórios deve ser compatível com quem irá recebê-los.

A quem se Dirige o Relatório?

Dependendo do motivo que levou à realização da auditoria, o relatório pode se

encaminhado à diretoria da organização, ao organismo que financia a entidade auditada ou

ao organismo responsável pelo controle de auditoria geral da entidade. Faz-se necessário

identificar os pontos mais relevantes e adaptar o relatórios de acordo com o público alvo.

Relatórios preliminares

Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são

coletadas informações preliminares sobre a entidade, seus sistemas, os recursos

necessários, a composição da equipe, metodologias, objetivos de controle e procedimentos

a serem adotados. Uma estrutura de relatório deve ser definida e todas essas informações

devem ser transcritas para o relatório.

Durante os trabalhos de campo, é importante documentar tudo que foi feito, observado e

dito pelos entrevistados. Os textos referentes a cada entrevista podem ser utilizados no

relatório. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado, antes da

revisão final do relatório os assuntos tratados durante a entrevista, evitando mal-entendidos

ou desvios de interpretação.

Ao término das investigações de cada área, um relatório parcial deve ser apresentado

contendo as deficiências encontradas (entrevista para discussão de deficiências

encontradas). As justificativas apresentadas podem ser anexadas ao parecer.

Relatório final

O relatório final deve se revisado por toda a equipe de auditores, a fim de evitar

inconsistências, erros ou lacunas em relação aos padrões e práticas da organização

auditada. Uma crítica externa, também e conveniente nesse ponto.

Estrutura

Dados da entidade auditada - nome, endereço, natureza jurídica,

relação de responsáveis, etc.

Síntese - um breve resumo do conteúdo. É útil para a alta direção obter

uma visão geral e rápida dos principais pontos da auditoria.

Dados da auditoria - objetivos, período de fiscalização, composição da

equipe, metodologia adotada, natureza da auditoria, e objeto (controles

gerais, desenvolvimento de sistemas, aplicativo específico, etc.).

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 18 -

Introdução - histórico da entidade, conclusões de auditorias anteriores,

estrutura hierárquica do departamento de informática, sua relação com

outros departamentos, descrição do ambiente computacional, evolução

tecnológica, principais sistemas e projetos.

Falhas detectadas - apresenta em detalhes, as falhas e irregularidades

detectadas durante a auditoria. Além das descrições, são apresentados

comentários iniciais, justificativa do auditado e o parecer final da equipe

para cada falha (preferências e recomendações). É aconselhável dividi-la

por sub-áreas fiscalizadas, para haver um encadeamento lógico de

idéias.

Conclusão - síntese dos pontos principais do relatório e as

recomendações ou determinações finais da equipe para a correção das

falhas ou irregularidades encontradas.

Pareceres da gerência superior - as gerências superiores podem dar

seu parecer a respeito dos achados e recomendações da equipe de

auditores, concordando integralmente ou em partes com os pontos de

vista da auditoria, ou ainda discordando inteiramente.

AUDITORIA – PLANEJAMENTO E EXECUÇÃO

Organização do trabalho da auditoria

Planejamento

1. Passo - conhecer o ambiente: levantamento de dados do ambiente, fluxos de

processamento, recursos humanos, materiais, arquivos, relatórios, telas, etc.

2. Passo - determinar pontos de controle (processos críticos)

3. Passo - definir objetivos da auditoria: técnicas, prazos, custos, nível de

tecnologia a ser utilizada.

4. Passo - estabelecer critérios para a análise de risco.

5. Passo - análise de risco.

6. Passo - hierarquização dos pontos de controle.

Definição da equipe

1. Passo - escolher equipe: perfil e histórico profissional, experiência na

atividade, conhecimentos específicos, formação acadêmica, línguas

estrangeiras, disponibilidade para viagem, etc.

2. Passo - programar a equipe: gerar programas de trabalho, selecionar

procedimentos apropriados, incluir novos procedimentos, classificar

trabalho por visita, orçar tempo e registrar o realizado.

3. Passo - executar trabalho - dividir as tarefas de acordo com a formação,

experiência e treinamento dos auditores, efetuar supervisão para garantir a

qualidade do trabalho e certificar que as tarefas foram feitas corretamente.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 19 -

4. Passo - revisar papéis: verificar pendências e rever o papel de cada auditor

para suprir as falhas encontradas.

5. Passo - avaliação da equipe: avaliar o desempenho, elogiando os pontos

fortes e auxiliando no reconhecimento e superação de fraquezas do auditor,

ter um sistema de avaliação de desempenho automatizado.

Documentação do trabalho

1. Relatório de fraquezas de controle interno

Objetivo do projeto de auditoria, pontos de controle auditados, conclusão

alcançada a cada ponto de controle, alternativas de solução propostas.

2. Certificado de controle interno

Indica se o ambiente está em boa, razoável ou má condição em relação aos

parâmetros de controle interno. Apresenta a opinião da auditoria em termos

globais e sintéticos.

3. Relatório de redução de custos

Explicita as economias financeiras a serem feitas coma a aplicação das

recomendações efetuadas. Base para a realização das análises de retorno de

investimento e do custo/benefício da auditoria de sistemas.

4. Manual da auditoria do ambiente auditado

Armazena o planejamento da auditoria, os pontos de controle testados e

serve como referência para futuras auditorias. Compõe-se de toda a

documentação anterior já citada.

5. Pastas contendo a documentação da auditoria de sistemas

Contem toda a documentação do ambiente e dos trabalhos realizados como:

relação de programas, relação de arquivos do sistema, relação de relatórios e

telas, fluxos, atas de reuniões, etc.

Apresentação dos resultados

Objetividade na transmissão dos resultados

Esclarecimento das discussões realizadas entre a auditoria e os auditados

Clareza nas recomendações das alternativas de solução

Coerência da atuação da auditoria

Apresentação da documentação gerada

Explicação do conteúdo de cada documento

Técnicas de auditoria em programas de computador

Correlação de arquivos e análise dos dados

1. Análise do fluxo do sistema

2. Identificação do arquivo a ser auditado

3. Entrevista com o analista / usuário

4. Identificação do código / layout do arquivo

5. Elaboração do programa para auditoria

6. Cópia do arquivo a ser auditado

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 20 -

7. Aplicação do programa de auditoria

8. Análise dos resultados

9. Emissão de relatórios

10. Documentação

Simulação de dados

Elaboração de massa de teste a ser submetida ao programa ou rotina, deve prever as

seguintes situações:

1. Transações com campos inválidos,

2. Transações com valores no limite,

3. Transações incompletas,

4. Transações incompatíveis,

5. Transações em duplicidade.

Passos:

1. Compreensão da lógica do programa

2. Simulação dos dados (pertinentes ao teste a ser realizado)

3. Elaboração dos formulários de controle

4. Transcrição dos dados para o computador

5. Preparação do ambiente de teste

6. Processamento do teste

7. Avaliação dos resultados

8. Emissão de opinião sobre o teste

AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO

CONTROLES ORGANIZACIONAIS

Os controles organizacionais são políticas, procedimentos e estrutura organizacional

estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades

relacionadas à área da informática. Abrangem todos os controles adotados pela gerência

em termos administrativos e institucionais.

Os controles organizacionais são os pontos de partida da maioria das auditorias de

sistemas, é a partir deles que se pode ter uma idéia das políticas adotadas pela instituição e

como os aspectos de segurança são considerados pela alta administração.

É necessário que durante o planejamento da auditoria, o auditor, analise a estrutura adotada

pela entidade auditada, seus diversos componentes e o relacionamento do departamento

com outros setores da organização. De acordo com a estrutura, o auditor deve adaptar os

objetivos de controle e os procedimentos a serem adotados e, posteriormente, verificar se

os controles organizacionais são adequados.

É importante que o auditor determine se as medidas administrativas estabelecidas pelo

auditado são suficientes para garantir o controle adequado das atividades do departamento

de informática e se essas atividades satisfazem os objetivos de negócio da organização.

Responsabilidades Organizacionais

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 21 -

O departamento de informática deve ter uma estrutura organizacional bem definida, com as

responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas.

É aconselhável que o departamento de informática seja suficientemente importante na

estrutura hierárquica para que possa estabelecer seus objetivos estratégicos e ter certa

independência dos demais departamentos.

Dependendo do tamanho da organização, pode existir uma gerência para controle de

qualidade e uma gerência, ou departamento, responsável por segurança da informações,

geralmente com estreitas ligações com o setor de informática.

As unidades internas do departamento devem ser bem definidas, com níveis de autoridade

e responsabilidades. As descrições dos cargos no departamento e as habilidades técnicas

necessárias para exerce-las devem ser estabelecidas e documentadas, podendo ser

utilizadas, posteriormente, na avaliação de desempenho dos funcionários.

É necessário que o auditor verifique, primeiramente, se existe uma gerência superior de

informática, com influência junto ao comitê executivo da organização. A inexistência

dessa gerência, por si só, já pode sinalizar uma falta de prestígio ou de reconhecimento dos

serviços prestados pelo departamento de informática. Nesse caso, há maior probabilidade

de o departamento não receber os recursos e atenção necessários para atingir seus

objetivos. A falta de recursos pode causar maiores riscos de segurança e baixa qualidade de

sistemas.

A equipe de auditoria deve também verificar se os funcionários do departamento têm

conhecimento de suas responsabilidades e seu papel na organização. È aconselhável que

essas definições sejam documentadas formalmente.

Políticas, Padrões e Procedimentos

Políticas, padrões e procedimentos são a base para o planejamento gerencial, o controle e a

avaliação das atividades do departamento de informática. A experiência tem demonstrado

que pelo menos as políticas e os padrões devem ser estabelecidos pela alta gerência para

que sejam considerados na prática pelas gerências intermediarias. É importante ter em

mente que as políticas definem as diretrizes institucionais e o relacionamento entre os

diversos departamentos.

Portanto, é essencial que as políticas, para merecerem a atenção das gerências

intermediárias e de todos os funcionários, sejam estabelecidas pelo nível hierárquico

superior da organização e divulgada a todos. A partir das políticas, são estabelecidos os

padrões que, no caso do departamento de informática, podem ser padrões para aquisição de

recursos; projetos, desenvolvimentos, alteração e documentação de sistemas; operação do

centro de informática e prestação de serviços de informática.

O passo seguinte é a definição de procedimentos mais detalhados que atendam às políticas

e aos padrões preestabelecidos. Os procedimentos descrevem a forma como as atividades

deverão ser executadas e, muitas vezes, são definidos pelo departamento de informática e

aprovadas pela alta gerência.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 22 -

Para o auditor, as políticas delineiam os controles gerenciais da organização. A partir delas,

surgem padrões, procedimentos e controles mais específicos, relacionados a uma

determinado assunto. Quando mais efetivo o cumprimento às políticas da organização,

maior a probabilidade de os controles organizacionais serem também eficazes.

Entretanto, é importante que o auditor leve em consideração que cada entidade tem

objetivos gerenciais e organizacionais diferentes e, consequentemente, as políticas, os

padrões e procedimentos também serão diferentes. O auditor deve ser flexível e considerar

as particularidades de cada entidade para que suas recomendações sejam realmente

aplicáveis em cada caso. Recomendações absurdas depõem contra a qualidade da auditoria

e o bom nome do auditor.

Estratégia de Informática

O comitê de informática ou a alta gerência, após inúmeras discussões, formaliza a

estratégia de informática à organização em um documento conhecido como plano diretor

de informática ou estratégia de informática. Esse documento serve como base para

qualquer investimento na área de informática, já que traça os objetivos e projetos futuros

da organização.

O maior risco associado à falta ou ineficiência de uma estratégia de informática é o

desenvolvimento de sistemas que não satisfaçam os objetivos de negócio da organização,

acarretando perdas econômicas e investimentos sem resultado.

É interessante que a equipe de auditoria tenha conhecimento do plano estratégico da

entidade para reunir informações importantes ao planejamento de futuras auditorias. A

equipe poderá saber o direcionamento que será dado ao ambiente computacional da

entidade nos próximos anos.

Em sua análise, é necessário que o auditor considere o tamanho da organização e a

importância da informática para a continuidade de seus negócios e sua sobrevivência no

mercado. Com relação ao plano estratégico, o auditor deve analisar o relacionamento entre

a estratégia de informática e a estratégia de negócios da organização e as previsões de

mudanças a curto e médio prazos. É importante também verificar a forma de divulgação do

plano e seu nível de aprovação. Por se tratar de um plano estratégico, normalmente deve

ser aprovado pela alta gerência.

Política Sobre Documentação

É recomendável que a organização defina uma política sobre documentação, estabelecendo

padrões de qualidade e classificação quanto à confidencialidade (documentos secretos,

confidenciais, de uso interno, de uso restrito). A documentação de todos os sistemas

computacionais deve ser completa, atualizada e pelo menos uma cópia deve ser mantida

em local seguro. A classificação dos documentos pretende restringir o acesso não

autorizado a informações cruciais para a organização.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 23 -

A política de documentação estabelece padrões para edição, formatação, apresentação

visual e estrutura básica de documentação e ainda regras para classificação, aprovação e

alterações na documentação já existentes.

Sem uma documentação adequada e atualizada, identificar as causa de erros nos

aplicativos pode se tornar uma tarefa complexa e demorada. Com uma política de

documentação correta, pode-se ainda evitar a repetição de erros e práticas não autorizadas

pela equipe de desenvolvimento de sistemas.

Para a equipe de segurança e auditoria, a documentação também é muito importante, pois é

por meio dela que consegue muitas informações sobre os sistemas auditados ou ambiente

computacional, relevantes para as investigações de segurança. A falta de documentação

adequada pode dificultar os trabalhos da equipe.

Gerência de Recursos Humanos

As causas mais frequentes de acesso não autorizado, perda de dados ou pane nos sistemas

informatizados são erros, omissões, sabotagem, extorsão ou invasões criminosas

provocados por pessoas contratadas pela própria organização. Os acidentes ambientais, as

falhas de hardware e software e os invasores externos aparecem em segundo plano.

Os funcionários mal intencionados têm tempo disponível e liberdade de vasculhar as mesas

de outros funcionários, ler e copiar documentos e informações internas ou confidenciais.

Sabem como a organização funciona e que tipo de informações seriam valiosa para a

concorrência. A espionagem industrial, por exemplo, costuma utilizar funcionários

insatisfeitos como mão-de-obra.

Os ex-funcionários são igualmente interessantes para a concorrência. Muitas vezes essas

pessoas prejudicam sua antiga instituição de maneira não intencional, simplesmente pelo

fato de saberem o que sabem. Apesar de não terem mais acesso direto às informações

internas, eles conhecem os procedimentos de segurança, a forma de atuação da empresa,

seus hábitos e vulnerabilidades.

Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usuários internos,

é aconselhável que a organização estabeleça políticas, controles e procedimentos

enfocando a área de pessoal. As atividades dos funcionários devem ser controladas por

meio de procedimentos de operação e supervisão documentados, e políticas adequadas de

seleção, treinamento, avaliação de desempenho, segregação de funções e interrupção de

contratos de trabalho.

Plano de Contratação e Desenvolvimento de Pessoal

A gerência de informática deve traçar um plano de contratação e desenvolvimento de

pessoal, visando manter uma equipe tecnicamente preparada para atender aos objetivos do

departamento, com capacidade para operar o ambiente computacional atual e acompanhar

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 24 -

os avanços tecnológicos na área de informática. É essencial que a gerência anteveja as

futuras necessidades do departamento em termos técnicos e quantitativos.

Seleção de Pessoal

As políticas de seleção de pessoal devem ser definidas de tal maneira que a equipe seja

composta de pessoas confiáveis, com nível técnico compatível com sua atividades, de

preferência, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo

garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As políticas

podem se aplicadas tanto na contratação temporária de prestadores de serviços ou

consultores. Em alguns casos, a contratação de pessoal deve ainda atender a requerimentos

legai, tais com exigência de concursos públicos para quadros do governo e apresentação de

certificados técnicos emitidos por associações profissionais.

Nas contratações de novos funcionários, normalmente são analisadas suas referências,

incluindo empregos anteriores, formação profissional, experiência técnica e ficha criminal.

É recomendável instituir um acordo de confidencialidade e códigos de conduta. Os novos

contratados devem ter conhecimento de suas responsabilidade e de seu papel na

organização. O mesmo cuidado deve ser tomado na contratação de consultores ou

prestadores de serviços.

Treinamento

A gerência deve manter seu quadro de profissionais tecnicamente atualizado e apto a

desempenhar suas funções atuais e futuras, de acordo com o plano estratégico de

informática. É importante estimular a toca de experiências e o repasse de conhecimentos

adquiridos a outros membros da equipe, dessa forma, a capacitação profissional se

multiplica internamente na organização e o conhecimento não fica restrito a uma única

pessoa ou grupo.

Avaliação de Desempenho

Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e

padrões preestabelecidos. Toda avaliação é intrinsecamente subjetiva, pois, envolve

aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa

subjetividade, é aconselhável que o processo avaliativo se baseie em critérios mais

objetivos, levando em consideração formação profissional, nível de responsabilidade,

experiência, treinamento, conduta e consecução de metas.

Rodízio de Cargos e Férias

O rodízio de cargos e a instituição de férias regulares podem atuar como controles

preventivos contra fraudes ou atividades não autorizadas. O funcionário, sabendo que outra

pessoa pode, de uma hora para outra, exercer suas funções e detectar irregularidades por

ele cometidas, ficará menos inclinado a praticar atos não autorizados ou fraudulentos.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 25 -

Essas medidas não são infalíveis, é claro, mas podem reduzir os riscos de atos não

autorizados por um longo período de tempo.

Segregação de Funções

A segregação de funções tem como objetivo evitar que um indivíduo detenha o controle de

todas as fases de um processo qualquer e caia na tentação de praticar algum ato ilícito,

fraudulento ou não autorizado. Segregação significa basicamente que os estágio de uma

transação ou processo são distribuídos a pessoas diferentes, de forma que uma única pessoa

não seja capaz de ter controle do início ao fim. A divisão de responsabilidades, entre

grupos ou funcionários distintos dentro do departamento, de certa forma promove o

controle mútuo das atividades desempenhadas por cada grupo ou funcionário. Com isso,

aumenta a probabilidade de serem detectados erros, omissões e fraudes.

Dependendo do risco associado, do tamanho da organização e de sua estrutura hierárquica,

a segregação de funções pode ser mais, ou menos, rígida, específica ou detalhada. Quanto

menor a organização, mais difícil é separar suas funções. Normalmente as atividades que

envolvem recursos financeiros são as mais críticas para a organização e,

conseqüentemente, as mais controladas. Em geral, essas atividades são distribuídas a vários

indivíduos e sujeitas a um controle mais rígido. A supervisão gerencial é imprescindível

para que a política de segregação de funções tenha resultados satisfatórios.

Na época em que começaram a ser feitas auditorias de sistemas, os auditores costumavam

verificar apenas se os operadores dos computadores não tinham acesso aos programas e se

os programadores não operavam os equipamentos. Isso fazia sentido e era suficiente

naquele tempo. Hoje, com a complexidade dos sistemas operacionais modernos e as

diferentes plataformas de hardware e software, o auditor deve avaliar a segregação de

funções sob outro prisma, já que novas funções foram introduzidas no modelo

organizacional do departamento de informática.

O acesso aos recursos computacionais e às informações sobre bases de dados, programas,

controles internos das aplicações, etc. só deve ser dado a quem realmente necessita desses

recursos e informações para desempenhar suas funções. Se todos tiverem o conhecimento e

os meios para alteração de dados, por exemplo, basta haver um motivo para que ocorram

fraudes contra a organização.

A segregação de funções pretende assegurar que as transações e os processos são

autorizados e registrados adequadamente e os recursos (equipamentos, software e

informação) estão protegidos.

Pode também ser uma forma de controle de qualidade e detecção de erros por inabilidade

ou incompetência técnica.

Na prática, no entanto, com os constantes cortes de investimentos nas organizações, o

quadro de pessoal do departamento de informática tem sido cada vez mais reduzido. Em

algumas organizações, devido à diminuição do quadro, pode ser difícil implementar a

segregação de funções. Se o auditor se deparar com um caso semelhante, é aconselhável

adaptar sua análise e suas recomendações de acordo com a problemática da organização e

buscar outros controles que possam compensar os riscos da falta de segregação de funções.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 26 -

Interrupção do Contrato de Trabalho

Assim como as políticas de contratação de pessoal, são igualmente importantes as políticas

e os procedimentos para lidar com o afastamento, voluntários ou não, de funcionários.

Essas políticas devem definir as medidas a serem adotadas no caso do término de um

contrato de trabalho, principalmente no que diz respeito ao acesso aos sistemas, dados e

recursos patrimoniais da organização. Seu objetivo é a proteção dos recursos

computacionais e das informações da organização contra ex-funcionários insatisfeitos.

Normalmente, ao interromper o contrato de trabalho, os ex-funcionários são solicitados a

devolver crachás de identificação, chaves e quaisquer equipamentos ou material da

organização (bips, laptops, calculadoras, microcomputadores, impressoras, livros). Além

disso são desativadas as rotinas de pagamento de pessoal, senhas e privilégios de acesso

lógico aos recursos computacionais e informações.

Gerência de Recursos

Os recursos computacionais devem ser gerenciados de tal forma que atendam às

necessidades e objetivos da organização com relação à informática, levando em

consideração os aspectos de economicidade, eficiência e eficácia.

Aquisição de Equipamentos e Softwares

É recomendável que o departamento estabeleça um plano de equipamentos e softwares,

baseado na análise de desempenho do ambiente atual, na demanda reprimida de serviços de

informática, no planejamento de capacidade e no plano estratégico de informática. Deve

seguir os padrões de contratação adotados na organização, as regras estabelecidas em leis,

se for o caso (obrigatoriedade de processo licitatório, por exemplo), e comparar preços e

requisitos técnicos de produtos de fornecedores diferentes. É importante ter em mente que

nem sempre o mais barato é o melhor ou o mais adequado para atender às suas

necessidades. Os critérios de seleção devem aliar aspectos econômicos, de eficiência, de

eficácia, efetividade e qualidade.

Manutenção e Hardware e Software

Para reduzir a possibilidade de ocorrência de falhas e interrupções inesperadas que possam

causar impacto no funcionamento normal dos sistemas computacionais, é aconselhável que

a manutenção preventiva de hardware ocorra de acordo com os padrões de cada

equipamento (normalmente sugeridos pelo próprio fabricante).

Também os pacotes de software devem sofrer manutenções, tais como aplicação de

correções (distribuídas pelo fornecedor) e atualizações de releases ou versões mais seguras

e confiáveis).

Outsourcing, Terceirização e

Contratação de Consultoria Externa

A terceirização ou prestação de serviços de informática ocorre quando uma empresa

independente presta qualquer tipo de serviço relacionado à informática para outra

organização. Essa prestação de serviços pode envolver alguns ou todos os estágios de

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 27 -

processamento e desenvolvimento dos sistemas, e utilização de mão-de-obra especializada,

em ambiente computacional de propriedade da empresa contratada ou da organização

contratante. Normalmente, os motivos que levam uma organização a optar pela contratação

de serviços externos de informática são custos, problemas de espaço físico para instalação

dos equipamentos e quadro reduzido de especialistas em informática.

O termo outsourcing é usado quando o cliente contrata uma empresa especializada para

prover por completo todos os serviços de informática necessários para a organização.

Local, equipamentos, software e pessoal são da empresa contratada. Com o outsourcing, a

organização pode concentrar esforços em sua área de negócios e apenas gerenciar os

serviços de informática providos pela empresa contratada.

A organização pode restringir a prestação de serviços de informática em algumas áreas

específicas, contratando a melhor opção no mercado para desempenhar as atividades

especializadas. As áreas do departamento de informática geralmente terceirizadas são

manutenção de hardware e software, desenvolvimento de sistemas, operação do centro de

processamento de dados (CPD) e suporte técnico a microcomputadores.

Mesmo quando a organização decide manter um ambiente computacional próprio, pode

necessitar de serviços externos providos por consultores especializados para desempenhar

atividades bem definidas. Isso ocorre quando o quadro de funcionários do departamento de

informática não está suficientemente capacitado ou treinado para desempenhar tais

atividades e a gerência considerou a contratação de consultoria externa uma opção melhor

do que o investimento em treinamento de pessoal.

Os trabalhos de auditoria em uma organização que optou pela terceirazação de alguns

serviços, outsourcing ou contratação de consultoria externa devem enfocar as cláusulas

contratuais, as políticas e os procedimentos de segurança de informações de organização.

Eventualmente, dependendo do tipo de terceirização, pode ser necessário auditar a própria

instalação do prestador de serviços, para verificar os controles aplicados.

Principais Motivos

Os principais motivos que levam uma organização a decidir pela terceirização, outsourcing

ou contratação de consultoria técnica externa são:

● Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos,

software e manter um quadro técnico de profissionais de informática).

● Restrições de fluxo de caixa (a compra de equipamentos pode envolver quantias

muito altas, acima das possibilidades da organização, por outro lado o pagamento

pela prestação de serviços terceirizados pode ser bem inferior).

● Mão-de-obra especializada (a organização pode necessitar de serviços de um

especialista apenas por um determinado período de tempo. Manter esse especialista

em sua folha de pagamento pode ser mais oneroso, considerando que seus serviços

sejam utilizados ocasionalmente).

● Resolução de problemas (quando um prestador de serviços é contatado, assume

todas as responsabilidades de entregar o serviço dentro do prazo e de acordo com

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 28 -

os padrões e preços predefinidos. Caso ocorram problemas, a responsabilidade de

solucioná-los é inteiramente do prestador de serviços. A organização apenas cobra

o cumprimento do contrato sem se envolver na resolução dos problemas).

● Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos

por prestadores de serviços são entregues em prazos menores, devido às exigências

contatuais e à sua maior experiência prática na área).

Riscos Envolvidos

A contratação de serviços externos sempre envolve alguns riscos. É importante que a

equipe de auditoria revise o contrato e certifique-se de que a gerência detém controle

adequado sobre o serviço propriamente dito e sobre informação institucional manipulada

por pessoas externas à organização. Independentemente de o processamento ser efetuado

nas instalações da organização ou da firma prestadora de serviços, o auditor deve ter

acesso a todas as informações de controle. Em alguns casos, para que o auditor possa atuar

na firma prestadora de serviços, é necessária a inclusão de cláusula específica no contrato

de prestação de serviços.

Entre outros aspectos, a organização deve se assegurar de que os controles de segurança

praticados pelo prestador de serviços são compatíveis com os padrões e os procedimentos

adotados internamente. Para reduzir esse risco, são recomendadas cláusulas contratuais que

responsabilizem o contratado a garantir a segurança dos dados de seu cliente.

Outro risco que vale a pena ser lembrado é a possibilidade de a organização, com o passar

dos anos, tornar-se dependente do prestador de serviços, a tal ponto de comprometer seus

negócios caso o prestador de serviços interrompa suas atividades ou faça exigências

descabidas pra dar continuidade a seu trabalho. Além disso, a experiência adquirida pelo

prestador de serviços nos sistemas da organização dificulta a troca de prestador de serviços

ao término do contrato. Podem se passar meses até que um novo contratado assuma as

mesmas atividades com qualidade equivalente. Para reduzir esse risco, devem ser incluídas

cláusulas contratuais que definam o repasse de informações e documentação do prestador

de serviços para o cliente ou para um novo contratado.

É essencial que a organização ainda tome o cuidado de incluir cláusulas contratuais que

permitam alterações nos sistemas ou outros serviços, de acordo com as novas diretrizes

traçadas pela organização. Essas cláusulas são especialmente importantes no caso de

entidades do setor público, onde as mudanças das chefias de Governo implicam em

mudanças de metas e estratégias das instituições governamentais.

Com a contratação de serviços técnicos externos corre-se o risco de perder ou diminuir a

experiência e a habilidade técnicas de seus próprios profissionais. Isso acaba reduzindo

também a capacidade de o cliente lidar com problemas técnicos futuros ou negociar os

aspectos especializados com o prestador de serviços, por desconhecimento dos termos

técnicos e de novas tecnologias.

Além disso, a contratação de técnicos fora do quadro do departamento de informática pode

originar ressentimentos na equipe interna, por ter sido considerada incapaz para executar as

mesmas atividades. Pode surgir um clima de descontentamento, queda de produtividade ou

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 29 -

boicote dos profissionais do quadro com relação aos prestadores de serviços, dando origem

a um ambiente propício para atos não autorizados, fraudes, erros, omissões e sabotagem.

Por experiência prática, pode-se dizer que uma vez terceirizados os serviços de

informática, dificilmente a organização retornará essa atividade. A probabilidade de

continuarem sendo terceirizados é muito maior. Portanto, é uma decisão relativamente

definitiva a ser tomada com todo o cuidado, face à quantidade de riscos envolvidos.

Contratos

Toda prestação de serviços deve ser formalizada por um contrato. É imprescindível que

esse contrato seja revisado pelo departamento jurídico da organização e apresentado ao

auditor, quando solicitado. A organização, na definição do contrato, deve atentar para os

seguintes detalhes:

● Custos básicos e taxas adicionais – o contrato deve apresentar claramente todos os

custos envolvidos.

● Direitos de ambas as partes ao término do contrato – especialmente importante

quando a organização não detém conhecimento suficiente para executar os mesmos

serviços sem contar com o prestador de serviços.

● Possíveis indenizações, no caso de perdas provocadas por uma das partes – quebra

de segurança de acesso a informações confidenciais, violação de direitos de

copyright ou de propriedade intelectual, etc.

● Direitos de propriedade sobre os dados – é essencial que fique bem claro no

contrato que os dados pertencem à organização e não ao prestador de serviços.

● Direitos de propriedade intelectual – deve ser estabelecido quem terá direitos sobre

o software desenvolvido ou mantido pelo prestador de serviços.

● Repasse de informações técnicas e documentação – cláusula particularmente

importante quando há troca de prestador de serviços ou extinção do contrato.

● Possibilidade de alterações – quanto mais longo o contrato, maior a probabilidade

de os sistemas precisarem de alterações. É necessário que o contrato estabeleça

quando, como e que tipo de alterações serão aceitas.

● Padrões de segurança – deve ser especificado que o prestador de serviços é

obrigado a se adequar aos padrões de segurança definidos pela organização.

● Padrões de qualidade – o contrato deve descrever os padrões de qualidade

esperados pela organização (tempo de resposta, disponibilidade dos serviços,

documentação padronizada, tempo de processamento, prazo de entrega de sistemas

desenvolvidos, suporte técnico, etc.).

Riscos Inerentes ao Controle

Organizacional Inadequado

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 30 -

A alta gerência tem a responsabilidade de salvaguardar os recursos que compõem o

patrimônio da organização. Para tanto, é necessário estabelecer políticas que assegurem o

controle organizacional adequado, compatível com os riscos envolvidos.

Os riscos mais comuns são a violação da segurança de aceso a recursos computacionais e

dados, implicando em fraudes, erros, perda de dados e roubo de equipamentos; e o

planejamento inadequado do crescimento computacional, podendo acarretar desperdício de

investimento ao subutilizar os recursos de informática ou, por outro lado, sobrecarregar o

sistema atual, degradando ou tornando indisponíveis os serviços computacionais oferecidos

aos usuários. Uma equipe insatisfeita ou ressentida com a gerência, capaz de sabotar o

sistema computacional, ou uma equipe ineficiente que não cumpre com suas

responsabilidades (falha causada por políticas de seleção de pessoal e treinamento

inadequado), podem aumentar o risco de ocorrência de erros e fraudes. A perda de dados e

informações sobre os dados e aplicativos manipulados por prestadores de serviços, são

outros riscos freqüentes.

Lista de Verificações

Os aspectos apresentados a seguir podem ser utilizados como uma lista de verificações,

tanto pela gerência de sistemas, quanto pela equipe de auditoria. Para essa gerência, a lista

pode servir como um conjunto de tarefas a serem realizadas para implementar os controles

organizacionais. Para a equipe de auditoria, essas mesmas verificações podem ser

traduzidas em procedimentos de auditoria a serem adotados.

A lista proposta a seguir não tem a pretensão de cobrir todos os pontos a serem verificados.

Seu objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem

fazer parte dessa lista. Cabe ao gerente de sistemas e ao auditor utilizá-la como um ponto

de partida na elaboração de suas próprias listas de verificações.

Lista de Verificações

Controles organizacionais:

✔ Estabelecer e divulgar um plano estratégico de informática compatível com as

estratégias de negócios da instituição, o qual deve ser periodicamente traduzido em

planos operacionais que estabeleçam metas claras de curto prazo.

✔ Estabelecer, documentar e divulgar, a todos os funcionários, as políticas de

informática e os padrões a serem adotados na instituição.

✔ Atender às obrigações legais e contratuais, em relação a aspectos administrativos e

de segurança.

✔ Definir as responsabilidades de cada unidade organizacional e seus cargos

hierárquicos para que os serviços de informática possam ser prestados

adequadamente.

✔ Instituir política de contratação e treinamento de pessoal.

✔ Monitorar e avaliar o desempenho dos funcionários.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 31 -

✔ Evitar a centralização excessiva de poderes e atividades.

✔ Instituir segregação de funções.

✔ Estabelecer procedimentos de controle de trabalho de funcionários.

✔ Na constatação de serviços terceirizados, estabelecer critérios rígidos para seleção,

treinamento, controle de acesso a informações corporativas, controle de atividades

e aceitação de produtos.

✔ Estabelecer claramente em contrato os direitos e os deveres do prestador de

serviços, os padrões de qualidade e de segurança a serem seguidos.

✔ Definir uma política sobre documentação, estabelecendo padrões de qualidade e

classificação quanto à confidencialidade.

✔ Manter documentação atualizada dos sistemas, aplicativos e equipamentos

utilizados.

✔ Elaborar manuais de instrução para o desempenho das atividades no departamento

de informática.

✔ Elaborar plano de aquisição de equipamentos baseado na análise de desempenho

dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos

imprescindíveis para a continuidade dos negócios da instituição.

✔ Obedecer aos prazos recomendados de manutenção preventiva dos equipamentos e

aplicar as correções necessárias nos pacotes de software.

✔ Estabelecer acordos de nível de serviço quanto à disponibilidade dos recursos

computacionais e seu desempenho em condições normais e emergenciais.

✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter

genérico, tais como segurança de informações, controles de acesso, planejamento

de contingências e continuidade de serviços.

Controles de Mudanças

Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, é quase

certo que será necessário, de tempos em tempos, atualizar a plataforma de hardware, a

versão do sistema operacional ou incorporar melhorias no código das aplicações

desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanças ou

detectar fraudes durante a fase de transição, é importante controlar o processo de

mudanças. Todas as alterações devem ser autorizadas, documentadas, testadas e

implementadas de forma controlada. Para tanto, as organizações devem definir um

procedimento padrão de mudanças, o qual norteará todo o processo. É imprescindível

garantir que a mudança não comprometa a funcionalidade do sistema além dos limites

previamente definidos.

O que Pode Provocar uma Mudança?

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 32 -

Raramente um ambiente computacional se mantém inalterado por um longo período de

tempo. As mudanças tecnológicas, muitas vezes, são as responsáveis por mudanças mais

radicais, como troca de equipamentos, metodologia de trabalho ou sistema operacional. A

seguir serão apresentados alguns fatores que levam a uma mudança no ambiente de

informática.

Atualização tecnológica do parque computacional.

Maior demanda por capacidade de processamento ou de armazenamento (troca ou

atualização de hardware – computador, discos, memória) identificada pela gerência

de planejamento de capacidade e desempenho.

Manutenção periódicas (troca de componentes de hardware, troca de versão de

software, aplicação de correções).

Identificação de problemas com o sistema a partir dos constantes registros feitos

pelo help-desk.

Insatisfação dos usuários com aspectos do sistema, tais como: telas de interface

pouco amigáveis, navegação confusa entre as diversas telas, baixo tempo de

resposta, constante indisponibilidade, dados incorretos nos relatórios gerados, etc.

Identificação de vulnerabilidades do sistema em termos de segurança.

Operação ineficiente ou complicada – uma mudança poderá facilitar o trabalho dos

operadores, administradores de bancos de dados, gerente de rede, atendentes do

help-desk, etc.

Mudança dos objetivos do sistema, incluindo alterações na legislação ou norma a

que o sistema atende.

Procedimentos de Controle de Mudanças

Os procedimentos de controle de mudanças podem variar de uma organização a outra e

dependem do tipo de mudança envolvida. Abaixo será apresentado um exemplo de

possíveis procedimentos relacionados com mudanças em aplicativos.

1. Uma solicitação de mudança é feita por um ou mais usuários.

2. É feito um registro da solicitação, análise de sua factibilidade e dos possíveis

impactos que a mudança pode acarretar no sistema e em outros sistemas

relacionados.

3. Uma especificação da alteração de programa é feita e submetida à aprovação

gerencial.

4. Em um ambiente de teste, o programador efetua alterações ou desenvolve um novo

sistema.

5. São definidos procedimentos de retorno.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 33 -

6. As modificações são testadas em um ambiente controlado de desenvolvimento.

7. Durante o teste, é verificado se as modificações seguem os padrões de programação

e documentação da organização.

8. É feita uma simulação no ambiente de produção, fora do horário normal de

funcionamento.

9. São feitos acertos em função dos resultados dos testes.

10. Depois de todos esses passos e de sua documentação, o programa está pronto para

ser colocado em produção.

Os controles sobre a modificação de programas aplicativos ajudam a garantir que somente

modificações autorizadas sejam implementadas.

Sem um controle apropriado, existe o risco de que características de segurança sejam

omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos ou

ameaças programadas sejam introduzidos. Por exemplo, um programador pode modificar o

código de um programa para burlar os controles e obter acesso a dados confidenciais; a

versão errada de um programa pode ser implantada, ocasionando processamentos errados

ou desatualizados; ou ainda um vírus pode ser introduzido, prejudicando o processamento.

Mudanças de Emergência

De tempos em tempos ocorrem problemas com os sistemas em produção, ou com os

equipamentos de informática, que precisam ser sonados o mais rápido possível. Nesses

casos, é necessário executar mudanças de emergência. Essas mudanças não podem

aguardar o procedimento normal de controle de mudanças e devem ser implementadas o

quanto antes.

Mesmo sendo uma emergência, é recomendável que a organização se planeje para esse tipo

de situação e seja capaz de controlá-la. Provavelmente muitos passos do procedimento

normal não serão seguidos de imediato, como documentação, por exemplo. Porém, assim

que a situação emergencial estiver resolvida, deve ser retomado o processo normal de

controle, complementando o que já foi feito durante a emergência.

Controle de Versão

Os procedimentos de controle de versão são importantes porque garantem que todos os

usuários utilizam a versão correta do pacote de software ou aplicativo. A utilização

indiscriminada de versões diferentes de software pode acarretar problemas sérios, já que as

transações são processadas de forma diferente, a partir de dados diferentes e gerando

resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e

confiabilidade.

A versão atual de software ou aplicativo pode ser colocada em uma biblioteca de

programas, distribuída ou acessada por todos da organização. Essa biblioteca deterá

informações sobre as alterações feitas e um histórico de versões.

Riscos Associados a Controles de Mudanças Inadequados

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 34 -

Os principais riscos associados a controles de mudanças inadequados são:

Uso de software ou hardware não autorizado, gerando incompatibilidade no

sistemas e dados.

Processamento e relatórios incorretos, levando, por exemplo, a decisões gerenciais

de negócios totalmente equivocadas, pagamentos errôneos ou registro incorreto de

transações.

Insatisfação do usuário, acarretando perda de produtividade, entrada de dados

incorretos, etc.

Dificuldades de manutenção por falta de documentação adequada.

Mudanças acidentais ou deliberadas, sem devida autorização, causando, por

exemplo, erros de processamento e liberação de informações confidenciais a

usuários não autorizados.

Mudanças de emergência não controladas, acarretando perda de dados e corrupção

de arquivos.

Lista de Verificações

Os aspectos de segurança apresentados a seguir podem ser utilizados como uma lista de

verificações, tanto pela gerência de sistemas, quanto pela equipe de auditoria. Para essa

gerência, a lista pode servir como um conjunto de tarefas a serem realizadas para

implementar os controles de mudanças. Para a equipe de auditoria, essas mesmas

verificações podem servir como procedimento de auditoria a serem adotados.

A lista proposta abaixo não tem a pretensão de cobrir todos os pontos a serem verificados.

Seu objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem

compor essa lista. Cabe ao gerente de sistemas e ao auditor utilizá-las como um ponto de

partida na elaboração de sus próprias listas de verificações.

Lista de Verificações

Controle de mudanças:

✔ Documentar todas as modificações e implementá-las apenas se aprovadas pela

gerência.

✔ Avaliar o impacto das mudanças antes de implementá-las e o efeito da sua não

implementação.

✔ Definir os recursos necessários para implementar a alteração e os recursos

futuros necessários para sua manutenção.

✔ Testar exaustivamente os programas antes de colocá-los em produção.

✔ Preparar um plano de restauração da situação anterior, caso algo dê errado na

implantação da mudança.

✔ Estabelecer procedimentos para alterações de emergência.

✔ Após os testes e a aprovação, impedir qualquer nova alteração. Se esta for

necessária, deve ser submetida a novos testes e aprovação.

✔ Planejar a mudança de forma a minimizar o impacto no processamento normal

dos sistemas e serviços prestados aos usuários.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 35 -

✔ Comunicar com antecedência aos usuários sobre a programação de mudanças

que possam alterar o processamento normal dos sistemas por eles utilizados.

✔ Manter e analisar periodicamente log das atividades de mudanças.

✔ Manter controle das versões dos softwares utilizados.

✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de

caráter genérico, tais como controles organizacionais, segurança de

informações, controles de acesso, planejamento de contingências e

continuidade de serviços, etc.

Controles de Operação dos Sistemas

A operação dos sistemas está relacionada com aspectos de infra-estrutura de hardware e

software. Seu objetivo é liberar os usuários de atividades repetitivas e das

responsabilidades de garantir a disponibilidade dos sistemas e seu funcionamento

adequado.

A equipe de operação requer certos procedimentos ou instruções específicas para processar

cada aplicativo, além de procedimentos gerais relacionados com o ambiente operacional

em que esses aplicativos são executados. É aconselhável que o auditor reveja tanto os

procedimentos gerais quanto os específicos de cada aplicação.

Mudanças na Operação de Sistemas em Função das Novas Tecnologias

A maioria das organizações está sofrendo transformações tecnológicas que acarretam

mudanças significativas na operação dos sistemas, inclusive redução de pessoal. Além

disso, muitas delas, com vários centros de processamento, estão optando pelo

processamento e controle remoto das operações a partir de uma única localidade, já que a

tecnologia de rede de comunicação já possibilita essa facilidade.

Os softwares de automação já substituem algumas atividades dos operadores, como a

colocação de cartuchos de fita nas unidades ou ativação de rotinas a partir de certas

condições de processamento ou de tempo. Esses softwares eliminaram, em grande parte, os

riscos de erros e fraudes na operação. No entanto, os operadores ainda são necessários para

checar a correta ativação dessas rotinas automáticas.

A impressão de relatórios, antes feita somente na sala do computador, hoje, com o

processamento distribuído, é efetuada nos departamentos dos usuários. Não há a

necessidade de distribuição de relatórios aos usuários solicitantes. Mesmo em organizações

que optaram pela impressão centralizada, a intervenção dos operadores é menor, graças a

inovações tecnológicas no hardware e no software de controle de impressão.

Na antiga organização de processamento de dados, a área de operações era a principal

preocupação da auditoria. O operador tinha controle quase que total do processamento de

dados e aplicações, podendo burlar controles de acesso, adulterar seqüências de

processamento de programas ou inserir dados incorretos. Apesar de algumas dessas

atividades não autorizadas ainda serem possíveis, o controle sobre a atuação dos

operadores é maior, já que várias de suas atividades hoje são automatizadas e,

conseqüentemente, mais fáceis de serem controladas pela gerência.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 36 -

Em função dessas mudanças, alguns procedimentos de auditoria tradicionais parecem

arcaicos nos dias de hoje. É importante que o auditor adapte seus objetivos de auditoria e

procedimentos de acordo com o ambiente computacional a ser auditado.

Funções Tradicionais de Operação de Sistemas

Operação na Sala do Computador

Os operadores são responsáveis pela operação dos equipamentos, computadores e

periféricos, monitorando seu funcionamento e respondendo a mensagens por eles geradas.

Em centros de processamento de pequeno porte, são responsáveis ainda pela operação da

rede de telecomunicações. Os operadores, por princípio, não podem introduzir dados no

sistema ou alterar programas e arquivos. Sua função limita-se ao processamento dos

sistemas em produção, devidamente desenvolvidos pelos programadores e aprovados pela

gerência.

É recomendável que todas as atividades dos operadores sejam registradas em logs para que

posteriormente possam ser auditadas. Com esses logs são muito extensos e pouco

amigáveis, já existem pacotes de software que analisam os logs e geram relatórios mais

sintéticos para auxiliar na identificação de atividades de processamento inadequadas ou

não autorizadas, tais como: alteração de parâmetros de segurança durante a carga inicial do

programa (IPL – initial program load ou boot dos sistemas); violações de segurança

registradas pelo software de controle de acesso; uso não autorizado de programas

utilitários; abends (abnormal ends) de programa; instalação não autorizada de novos

softwares ou processamento fora do horário normal de expediente.

Escalonamento do Serviço

Os serviços em produção são introduzidos no computador pelo escalonamento de serviços.

Esses serviços podem ser um processo ou seqüência de processos batch e arquivos

preparados para serem rodados durante a noite ou em segundo plano (background). Em

ambientes de grande porte, a linguagem JCL (job control language) contém os parâmetros

necessários para o processamento de jobs (serviços), os quais são introduzidos pelos

operadores. Hoje em dia já existem pacotes de software mais sofisticados que, a partir de

parâmetros preestabelecidos, despacham automaticamente os serviços, sem a intervenção

do operador. O escalonamento de serviços, automático ou não, é o método padrão de

entrada de serviços na fila de processamento do computador. Esse método deve ser

previamente aprovado pela gerência.

É importante que o auditor confirme se existe um método de escalonamento previamente

estabelecido e aprovado, se esse método é controlado por senha para prevenir acesso ou

alterações não autorizadas e se há um método emergencial para submissão de jobs,

devidamente autorizado e aprovado pela gerência.

Gerência de Desempenho e Planejamento de Capacidade

É comum, em departamento de informática maiores, haver uma seção de controle sobre os

arquivos e jobs processados, responsável pela supervisão do desempenho e tempo de

resposta, por exemplo. Seu objetivo é monitorar o desempenho atual e realizar tuning

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 37 -

(sintonia) do sistema, isto é, realizar pequenas modificações capazes de melhorar o

desempenho atual.

Em geral, essa mesma gerência executa o planejamento de capacidade. Esse planejamento

leva em conta o desempenho atual e a demanda reprimida para elaborar estimativas de uso

futuro de capacidade de CPU – Central Processing Unit -, armazenamento em disco e

carga da rede. Seu objetivo é garantir que os sistemas computacionais continuem a

apresentar um nível satisfatório de desempenho e atendam às novas demandas dos

usuários.

Atendimento ao Usuário e Gerência de Problemas

O serviço de atendimento ao usuário é a interface entre usuários e departamento de

informática. Todos os departamentos de informática normalmente têm uma seção como

essa, pois é, o ponto de contato com seus clientes. Todos os problemas e dúvidas dos

usuários são encaminhados a esse serviço, o qual é responsável por registrar todos os

problemas, resolver os mais simples e encaminhar os mais complicados para o especialista

mais capacitado dentro do departamento de informática. Esse serviço é chamado pelos

usuários quando existe um problema com uma impressora, erros nos relatórios, terminais

ou microcomputadores fora do ar ou quando alguém esquece a senha.

Do ponto de vista de controle, a gerência de atendimento ao usuário é uma seção

importante, pois é o ponto de partida para a verificação de problemas ocorridos com os

sistemas informatizados e com o ambiente de informática como um todo. Devem existir

procedimentos padronizados de registro de problemas, desde a reclamação do usuário até a

sua solução. Os registros de problemas geralmente contêm data da ocorrência, nome ou

identificação do usuário reclamante, descrição da falha e da resolução, as possíveis causas

e o responsável por sua resolução. O registro das soluções visa facilitar a resolução de

problemas futuros, similares aos já ocorridos.

É recomendável que o auditor verifique se o serviço de atendimento ao usuário funciona

adequadamente e analise os relatórios de problemas em busca de indícios de

irregularidades ou erros freqüentes de processamento.

Gerência de Meios Magnéticos ou Fitoteca

Embora a maior parte dos dados esteja armazenada, nos dias de hoje, em discos de alta

capacidade diretamente conectados ao computador ou em disquetes e CD-ROMs

gerenciados pelos usuários, ainda existem fitas, em rolo ou cartucho, a serem armazenadas

em local centralizado e seguro. A fitoteca pode armazenar fitas de uso frequente ou fitas

backup da instalação, sendo aconselhável haver um registro de todas as fitas armazenadas e

procedimentos para sua gerência. Os departamentos de informática de grandes

corporações, por manipularem grandes quantidades de fitas, utilizam normalmente um

pacote de software gerenciador de meios magnéticos, o qual mantém um registro de todos

os meios removíveis, os arquivos neles contidos e o local físico em que estão armazenados.

Em algumas organizações são utilizados robôs para manipulação de meios magnéticos,

eliminando, assim, qualquer intervenção de operador.

Independentemente do método utilizado, o auditor deve verificar se os registros são

confiáveis e se os arquivos estão fisicamente seguros, sendo acessados apenas por pessoal

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 38 -

autorizado. Devem ainda existir procedimentos adequados para transporte dos meios

magnéticos , backup e inutilização de seu conteúdo ao serem descartados.

Gerência de Controle de Acesso

Mesmo com as mudanças tecnológicas, ainda existem operadores com acessos

privilegiados para executar tarefas de manutenção de sistemas, por exemplo. O controle de

acesso como um todo é um ponto importantíssimo a ser verificado pelo auditor. Muitas

vezes merece até uma auditoria especial. É necessário que o auditor identifique, no caso

dos operadores, quem tem acesso privilegiado e considere se esse acesso é justificado e

limitado apenas àqueles que realmente necessitam dele. As atividades executadas pelos

operadores devem ser registradas em logs para que posteriormente possam ser auditadas.

Gerência de Backup e Recuperação

Em geral existe, no departamento de informática, uma gerência de backup periódico de

dados, arquivos e sistemas. Em conjunto com a gerência de fitoteca, é responsável pelos

procedimentos de backup e restauração dos sistemas após uma eventualidade.

Manutenção de Hardware

A maioria dos equipamentos de informática e de controle ambiental, como ar condicionado

e sistemas de combate a incêndios, necessitam de manutenção preventiva periódica para

reduzir o risco de falhas inesperadas em seu funcionamento. Normalmente esse serviço é

provido pelo próprio fornecedor do equipamento ou por firmas especializadas contratadas

para esse fim. No caso de microcomputadores e estações de trabalho, não é comum

realizar-se manutenção preventiva.

O auditor, se achar conveniente, pode examinar os contratos de manutenção, seus

cronogramas e os relatórios de problemas registrados pelo help-desk com relação a falhas

de hardware. Dessa forma, pode estimar se o serviço de manutenção está sendo adequado.

Manutenção Remota de Software

Algumas organizações permitem que sua equipe técnica acesse os softwares de suas

inúmeras instalações via linha discada para efetuar manutenções necessárias, geralmente

fora do horário normal de expediente. Essa manutenção, algumas vezes, estende-se até os

fornecedores de hardware e software , os quais mantêm uma central de atendimento aos

seus clientes e realizam, remotamente, atualizações em seus produtos.

O acesso remoto, apesar de ter como objetivo a manutenção de hardware e software, não

deixa de ser uma porta aberta para acesso indesejados, uma fragilidade da segurança dos

sistemas. É essencial que todas as atividades realizadas remotamente sejam registradas e

revisadas pela equipe de segurança da organização. Por outro lado, se devidamente

controlado, por meio de senhas, perfis de acesso e outros artifícios de segurança, o acesso

via linha discada para manutenções pode melhorar significativamente a continuidade dos

serviços , já que os problemas de produção podem ser resolvidos mais rapidamente.

Gerência de Rede

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 39 -

Essa gerência tem a responsabilidade de garantir que a rede de comunicação opere

normalmente e de fornecer aos usuários acesso à rede de acordo com o nível de serviço

previamente estabelecido. Em geral, há uma equipe de operadores especialmente treinada

para realizar as operações de rede, dada a complexidade dessa atividade.

Acordos de Nível de Serviço

As organizações com uma boa administração dos serviços de informática geralmente

fazem acordos de nível de serviço entre o departamento de informática e os departamentos

de usuários. Usuários e departamento de informática estabelecem níveis de serviço em

termos de quantidade, qualidade e disponibilidade de sistemas. Cabe ao auditor verificar se

o acordo de nível de serviço é cumprido e se os usuários estão satisfeitos com os serviços

prestados pelo departamento de informática.

Os acordos nada mais são do que contratos de prestação de serviços internos que

descrevem os serviços a serem prestados, o horário de funcionamento e a disponibilidade

do serviço (percentual de disponibilidade, tempo de recuperação após a ocorrência de uma

falha e tempo entre falhas), as medidas de desempenho e de segurança, incluindo plano de

contingências. Os acordos podem ainda conter detalhes sobre o serviço de atendimento ao

usuário.

Documentação dos Procedimentos de Operação

Para garantir a operação correta e segura de todos os sistemas computacionais, a

organização deve possuir procedimentos de operação documentados de forma clara e

simples. É importante que essa documentação contenha informações, como procedimentos

de inicialização, manipulação dos arquivos de dados, escalonamento de serviços,

tratamento de erros, backup e recuperação dos sistemas. Normalmente contém

procedimentos de segurança, de limpeza e conservação do ambiente onde se encontram os

equipamentos e números de telefone dos técnicos de suporte aos sistemas (equipe interna

ou dos fornecedores de hardware e software).

Tradicionalmente a documentação não é feita de forma adequada ou não é atualizada como

deveria ser. Em geral as pessoas não gostam de documentar, por considerarem essa

atividade repetitiva, desgastante e sem importância. O auditor deve recomendar que se faça

uma documentação adequada, tanto dos procedimentos de operação quanto de todos os

aspectos envolvendo os sistemas da organização. Por meio da documentação pode-se

auditar com maior facilidade. Além disso, a documentação pode ser uma ótima fonte de

informações para recém-contratados e para a manutenção dos sistemas.

Política de Contratação e Treinamento de Operadores

A contratação de operadores deve seguir os critérios apresentados anteriormente, no que

diz respeito à política de pessoal. A equipe de operações deve ter habilidades, experiência e

treinamento suficientes para executar seu trabalho adequadamente.

Riscos Inerentes a Controles de Operação Inadequados

A falta ou ineficiência dos controles de operação pode acarretar problemas, como perda ou

corrupção de aplicativos e dados, resultante de uso incorreto ou não autorizado de

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 40 -

utilitários de sistema; funcionamento incorreto de aplicativos, gerando informações

errôneas; sobrecarga do sistema ou falta de espaço de armazenamento, impossibilitando a

execução de novas transações ou serviços; insatisfação dos usuários com o departamento

de informática por não serem auxiliados adequadamente pelo serviço de atendimento ao

usuário; falta de backup e planejamento de contingência, aumentando os riscos de

indisponibilidade dos sistemas por um longo período de tempo.

Lista de Verificações

Os aspectos de segurança apresentados a seguir podem ser utilizados como uma lista de

verificações, tanto pela gerência de sistemas, quanto pela equipe de auditoria. Para essa

gerência, a lista pode servir como um conjunto de tarefas a serem realizadas para

implementar os controles de operação de sistemas, e para a equipe de auditoria, essas

mesmas verificações podem ser traduzidas em procedimentos de auditoria a serem

adotados.

A lista proposta a seguir não tem a pretensão de cobrir todos os pontos a serem verificados.

Seu objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem

compor essa lista. Cabe ao gerente de sistemas e ao auditor utilizá-la como um ponto de

partida na elaboração de suas próprias listas de verificações.

Lista de Verificações

Controles de operação de sistemas:

✔ Distribuir adequadamente a carga de trabalho entre os operadores, levando

em consideração os períodos de pico e a natureza de cada atividade de

operação.

✔ Supervisionar as atividades de operação dos sistemas.

✔ Analisar o desempenho dos sistemas, visando o planejamento de capacidade

mais adequado às necessidades dos usuários.

✔ Implementar uma gerência de problemas, de forma que os problemas

reportados pelos usuários e identificados pela equipe de informática possam

ser registrados, analisados e corrigidos adequadamente.

✔ Instituir uma equipe de help-desk para auxiliar os usuários na utilização dos

recursos computacionais e registrar os problemas por eles identificados.

✔ Manter um histórico dos problemas ocorridos e suas respectivas soluções,

com objetivo de facilitar a resolução de problemas futuros.

✔ Estabelecer procedimentos de controle de acesso a arquivos e programas em

dispositivos de armazenamento de dados (discos, fitas e cartuchos),

terminais e estações de trabalho.

✔ Estabelecer uma rotina de backup e recuperação dos sistemas, aplicativos e

dados.

✔ Produzir e manter atualizados manuais de operação de sistemas, aplicativos

e equipamentos.

✔ Estabelecer mecanismos para minimizar os impactos provocados por falhas

de hardware ou software.

✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de

caráter genérico, tais como controles organizacionais, segurança de

informações, controles de acesso, planejamento de contingências e

continuidade de serviços, etc.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 41 -

Controles sobre microcomputadores

Geralmente em um ambiente com microcomputadores há um menor controle físico e

ambiental sobre os equipamentos. Normalmente o ambiente de microcomputadores não é

controlado., já que os equipamentos são instalados em salas comuns, na maioria das vezes

com livre acesso a qualquer pessoa. Dependendo do grau de confidencialidade e

criticidade dos dados e aplicativos processados nesse ambiente, a falta de controle físico e

ambiental pode ser um problema significativo ou não. Com isso, é essencial que a equipe

de segurança e auditoria tenha em mente outros tipos de riscos, vulnerabilidades e

controles a serem avaliados.

Riscos e Controles Específicos

A maioria dos problemas e riscos associados à computação em microcomputadores surge

da falta de controle desse ambiente. Geralmente os usuários agem da forma como acham

melhor.

Há certa dificuldade de conscientizar os usuários quanto à importância da segurança das

informações e das políticas, padrões e práticas de trabalho a serem adotadas.

Controles Organizacionais

Quando não houver um departamento de informática formalmente estabelecido, é

importante que o auditor determine quem tem acesso aos sistemas em microcomputador e

como essas pessoas os utilizam. A documentação é um item importante, devendo incluir os

procedimentos operacionais para processamento dos sistemas, backup e recuperação. A

documentação deve ser suficiente para permitir que alguém, com poucos conhecimentos a

respeito das aplicações especificas, possa processá-las sem problemas e efetuar operações

básicas de backup e recuperação.

Conformidade com a Legislação

A organização deve estabelecer políticas para garantir que seus usuários estejam

conscientes da legislação, obedeçam as normas e não pratiquem a pirataria de software.

Pirataria

A pirataria deve ser uma prática condenada na instituição, não só por ser ilegal e anti-ética,

mas também porque pode ser arriscado utilizar um software sem ter certeza de sua fonte.

É recomendável que o auditor verifique se todos os softwares utilizados foram realmente

contratados pela organização. A equipe de segurança e auditoria pode utilizar ferramentas

de software para auxiliar na tarefa de verificação das licenças de software contidas nos

discos rígidos.

Controles de Acesso Físico e Lógico

O acesso físico a computadores de mesa é normalmente menos controlado do que nos

ambientes de computadores de grande porte, onde tradicionalmente o acesso é restrito por

portas trancadas, fechaduras com segredo, vigilância constante ou circuitos internos de TV.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 42 -

É recomendável que os usuário de micro sejam encorajados a utilizar senhas, criptografia,

proteção automática de tela, pacotes de segurança e, se possível, armazenem os dados

confidenciais em um servidor de arquivos.

Continuidade de Serviços

A gerência de segurança e auditoria pode recomendar o uso de um servidor de arquivos

para armazenamento de dados ao invés do disco rígido local. Normalmente o servidor de

arquivos é administrado pelo departamento de informática e possui procedimentos de

backup periódico de seu conteúdo. Recomendar o uso de estabilizadores e fontes de

energia ininterrupta. Verificar os logs para monitorar mensagens de erro e falhas do

sistema.

Proteção Contra Vírus de Computador

Existem diversos controles que a organização pode usar para reduzir o risco de infecção

por vírus. Alguns são de natureza técnica; outros, administrativos.

Uso de Disquetes e Arquivos via Internet

Todos os disquetes externos e arquivos da Internet de vem ser submetidos ao anti-vírus

possa antes de serem carregados. Disquetes contendo arquivos compactados devem ser

descompactados para que o anti-vírus possa cumprir sua finalidade.

Uso de Software Aprovado pela Gerência

A organização deve estabelecer uma política que controle o conteúdo de seus

microcomputadores, permitindo apenas softwares aprovados pela gerência. Com isso,

pode-se reduzir o risco de difusão de vírus anexados a aplicativos de fontes desconhecidas.

Para garantir o cumprimento da política, a gerência deve realizar auditorias regulares nos

computadores dos usuários, utilizando, se for o caso, sistemas de gerência de rede que

permitam acesso e supervisão remota dos microcomputadores conectados à rede.

É aconselhável manter uma certa padronização de produtos, com o objetivo de facilitar o

treinamento dos usuários e as manutenções de software que se fizerem necessárias.

Procedimentos de Emergência

No caso de todas as medidas preventivas falharem, a organização deve ter um plano de

emergência preparado para lidar com situações de ataque de vírus.Lista de Verificações

Os aspectos de segurança apresentados a seguir podem ser utilizados como uma lista de

verificações, tanto pela gerência de sistemas, quanto pela equipe de auditoria. A lista

proposta a seguir não tem a pretensão de cobrir todos os pontos a serem verificados. Seu

objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem

compor essa lista. Cabe ao gerente de sistemas e ao auditor utilizá-la como um ponto de

partida na elaboração de suas próprias listas de verificações.

Lista de Verificações

Controles sobre microcomputadores:

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 43 -

✔ Manter um inventário dos equipamentos de microinformática.

✔ Instituir controles de entrada e saída de peças e equipamentos, com o

objetivo de evitar ou minimizar a perda ou roubo de equipamentos.

✔ Instruir os usuários de laptops para não armazenarem nesses equipamentos

senhas que possibilitem acesso a sistemas internos ou informações

confidenciais não criptografadas.

✔ Manter, se possível, padronização de produtos de hardware e software.

✔ Utilizar apenas softwares contratados.

✔ Utilizar estabilizadores de energia ou equipamentos similares de proteção

aos microcomputadores.

✔ Manter registro das licenças de software, identificando em que máquinas

estão sendo processadas.

✔ Cadastrar os pacotes de software em demonstração em registros separados

no inventário, para que possam ser tomadas as providencias necessárias

para sua contratação ou sua eliminação da máquina ao término do período

de demonstração.

✔ Cadastrar os pacotes de software adquiridos sem ônus (freeware) em

registros separados no inventário.

✔ Permitir a carga de novos softwares apenas ao administrador do sistemas ou

pessoas por ele autorizadas.

✔ Verificar periodicamente o conteúdo dos discos rígidos dos

microcomputadores e eliminar os softwares que não corresponderem aos

registros do inventário.

✔ Estabelecer uma política contra pirataria de software, prevendo inclusive

punições aos infratores.

✔ Utilizar sempre senhas ou outros mecanismos de identificação e

autenticação dos usuários.

✔ Manter atualizados os anti-vírus em todos os micros da instituição.

✔ Carregar no computador apenas software e dados a partir de fontes

confiáveis, submetendo todos os arquivos externos ao anti-vírus, antes de

serem carregados.

✔ Promover programa de treinamento e conscientização dos usuários quanto à

segurança de informações.

✔ Utilizar proteção automática de tela, com senha.

✔ Utilizar criptografia.

✔ Realizar backup regularmente.

✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos

de caráter genérico, tais como controles organizacionais, segurança de

informações, controles de acesso, planejamento de contingências e

continuidade de serviços, etc.

Controles Sobre Ambiente Cliente-Servidor

O controle e segurança em ambiente cliente-servidor é um desafio à equipe de auditoria e

segurança, já que sua arquitetura se baseia em tecnologias de microinformática e de redes,

as quais não foram originalmente projetas para serem seguras. Quase todos os dispositivos

de segurança nesse ambiente forma projetados posteriormente, em função da necessidade.

É um ambiente bastante heterogêneo, tanto em relação a hardware e software, quanto ao

perfil de usuários. A forma como o sistema operacional e os aplicativos cliente-servidor

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 44 -

são distribuídos logicamente constitui-se um desafio a mais à equipe de segurança. Em

uma auditoria, a equipe pode considerar os componentes separadamente ou como sistemas

integrados. Dependendo do tipo de auditoria e da forma como os componentes foram

distribuídos, a auditoria pode se concentrar no computador central ou em múltiplos

servidores, clientes e rede de comunicações.

Quando comparado ao ambiente de microcomputadores stand-alone (desconectados),

entretanto, o ambiente cliente-servidor apresentar certas vantagens de segurança, já que

permite que a organização mantenha um controle central de seus dados, no que diz respeito

a direitos de acesso, manutenção e backup, e tome medidas preventivas e corretivas de

segurança mais eficazes.

Configuração do Sistema Operacional

A configuração inicial dos sistemas operacionais, distribuída pelos fornecedores,

normalmente não tem como objetivo a segurança. Muito pelo contrário, a configuração

default do sistema é feita na sua forma mais permissiva, facilitando sua instalação e uso, e

habilitando seus componentes e serviços mais populares. As brechas de segurança nas

configurações default dos sistemas operacionais são tantas que tornam sua customização

uma tarefa mais trabalhosa do que deveria ser.

Contas de Usuário

Todo usuário, para acessar algum recurso do ambiente cliente-servidor, precisa ter uma

conta. A conta tem as informações necessárias para que cada usuário seja reconhecido na

rede, tais como nome e senha. Em alguns sistemas operacionais, a conta também tem

outras informações importantes, tais como direitos, permissões de acesso e grupos aos

quais o usuário está associado. É bom esclarecer a diferença entre direito e permissão. Um

direito é uma autorização para o usuário executar certas operações no sistema como um

todo. A permissão, por sua vez, é uma regra, associada a um determinado objeto, que

define quais usuários podem acessar aquele objeto e de que maneira. Os direitos, por serem

válidos para todo o sistema, têm prioridade sobre as permissões. Por exemplo, o usuário

Paulo tem o direito de fazer backup de arquivos e diretórios. Mesmo que o proprietário de

um determinado arquivo não tenha dado a permissão de backup ao Paulo, ele poderá faze-

lo, já que o seu direito prevalece sobre a permissão específica associada àquele arquivo.

Existem alguns tipos de contas de usuário especialmente importantes no que se refere a

segurança:

As contas sem senha ou guest normalmente são usadas em casos excepcionais de usuários

ocacionais ou, como o próprio nome diz, convidados. As contas com senha padronizada

ou default, por sua vez, geralmente são associadas a produtos de software em

demonstração ou teste. Esses dois tipos de contas são enormes brechas de segurança, já que

um invasor, sem muito esforço, pode utilizá-las para acesso inicial ao sistema e, uma vez

conectado, pode tentar acessar, mais facilmente, contas privilegiadas. Seu uso, portanto

não é recomendado.

A conta de administrador, também chamada de root ou super-usuário em ambientes Unix,

é uma conta em se tratando de segurança, pois tem controle completo da operação e

segurança do SO e sobre qualquer arquivo ou diretório. É recomendável que essa conta

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 45 -

seja utilizada apenas pelo responsável pela configuração e segurança da rede, quando as

atividades a serem executadas assim o exigirem. Em outras palavras, sempre utilize uma

conta cujos privilégios são os menores possíveis, isto é, suficientes apenas para executar a

tarefa desejada.

Utilizar contas privilegiadas para realizar tarefas corriqueiras torna o sistemas mais

suscetível à atuação de cavalos de tróia, por exemplo. Se, acidentalmente, um usuário

processar um cavalo de tróia, é melhor que ele tenha pouquíssimos privilégios para que os

danos provados por esse programa sejam limitados aos dados e arquivos particulares do

usuário, sem atingir arquivos confidenciais da instituição ou de configuração do SO.

Grupos

Um grupo é um conjunto de permissões e direitos de acesso que pode ser associado a

vários usuários, sendo um artifício utilizado pelo administrador do sistema para facilitar a

gerência de acesso aos recursos da rede. As contas de usuário que normalmente executam

tarefas semelhantes são reunidas em um grupo e seus direitos de acesso são definidos para

o grupo, evitando definições repetidas para cada usuário individualmente. Os grupos

podem ser usados tanto para ceder como para limitar o acesso a recursos críticos. Por

exemplo, apenas os usuários do grupo Presidência poderão ter acesso à base de dados

confidenciais da empresa. Com grupos, o administrador trata um grande número de

usuários como se fosse uma única conta. Se for necessário alterar qualquer direito de

acesso, isso pode ser feito no grupo, afetando, assim, os direitos de todos os usuários a ele

associados. Dependendo de suas funções na empresa, um usuário pode ser definido em

mais de um grupo.

Permissões de Arquivo e de Diretório

As permissões de arquivo e de diretório determinam se um usuário ou grupo pode acessar

um arquivo ou diretório e como se dará esse aceso. Normalmente o usuário proprietário é

aquele que cria o arquivo ou diretório e cabe a ele definir e alterar as permissões de acesso.

O ambiente Windows NT

O ambiente Windows NT apresenta, como uma de suas características de projeto, uma

arquitetura de segurança, baseada no conceito de domínios, grupos de usuários, permissões

e direitos de acesso, a qual facilita a implementação de uma estrutura computacional mais

controlada. Seus componentes básicos são LSA (Local Security Authority), SAM (Security

Account Manager) e SRM (Security Reference Monitor).

Colocar figura

Subsistema de Segurança – Local Security Authority (LSA)

O subsistema de Segurança (LSA) é o principal componente de arquitetura de segurança

do NT e, por isso, muitas vezes é considerado como o próprio subsistema de segurança.

Dentre suas funções, destacam-se:

● Criação de tokens de acesso durante o processo de logon do usuário;

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 46 -

● Validação do usuário de acordo como seu tipo de permissão de acesso;

● Controle e gerência da política de segurança e auditoria no ambiente NT;

● Manutenção de log de mensagens de auditoria geradas pelo monitor de segurança

(SRM).

O LSA, para realizar seus objetivos de segurança, utiliza os serviços providos pelos outros

componentes do subsistema.

Gerenciador de Informações de Segurança – Security Account Manager (SAM)

Esse componente mantém uma base de dados de segurança com informações de todas as

contas de grupo e usuários. Apesar de ser transparente ao usuário, o SAM presta, ao LSA,

os serviços de validação de usuários, comprando as informações digitadas no processo de

logon com as informações anteriormente armazenadas na base de dados. Dependendo da

arquiterura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma

base SAM para cada estação de trabalho ou domínio. A validação, nesse caso, pode ocorrer

de forma centralizada (na base SAM da máquina controladora do domínio) ou

descentralizada (na base SAM da estação de trabalho).

Monitor de Segurança – Security Reference Monitor (SRM)

O monitor de segurança tem como função garantir o cumprimento das políticas de

validação de acesso e de geração de logs de auditoria estabelecidas pelo subsistema LSA,

protegendo recursos e objetos contra acesso ou alterações não autorizadas. Para tanto, o

monitor valida o acesso a arquivos e diretórios, testa os privilégios de aceso dos usuários e

gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a

objetos. Para poder acessar qualquer objeto, o usuário é submetido, de forma transparente,

à validação do SRM. O SRM compara as informações do descritor de segurança do objeto

pretendido com as informações de segurança da token de acesso do usuário e toma a

decisão se o acesso deve ser permitido ou não.

Processo de Logon

A intenção do NT com o usuário inicia-se com uma medida de segurança preventiva.

Antes de fornecer seus dados, o usuário é orientado a pressionar simultaneamente as teclas

CTRL+ALT+DEL, a fim de detectar aplicativos rodando em segundo plano (background).

O processamento em background é um artifício bastante utilizado por cavalos de Tróia, na

tentativa de capturar as informações de logon do usuário. Em seguida, é apresentada a tela

de autorização, na qual o usuário preenche sua identificação, senha e domínio ou servidor

que pretende acessar. Essa fase do logon só será realizada com sucesso se a identificação e

a senha do usuário estiverem corretas. Se apenas uma delas estiver certa, o NT envia

mensagem de falha de autorização do usuário, sem indicar o campo incorreto. Esse

procedimento também é uma medida preventiva, no caso de pessoas não autorizadas

estarem tentado adivinhar os dados de um usuário.

A fase seguinte é a da autenticação do usuário. As informações digitadas pelo usuário são

repassadas pelo subsistema de segurança (LSA) ao gerenciador de informações de

segurança (SAM), o qual as compara com as informações da base de contas de usuários do

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 47 -

domínio pretendido. Se a identificação e a senha do usuário corresponderem aos dados de

alguma conta da base de dados, o servidor avisa à estação de trabalho que a autenticação

daquele usuário foi satisfatória.

O subsistema de segurança (LSA) constrói, então, uma token de acesso para aquele

usuário, contendo seu nome, identificação de segurança, grupos de usuários a que pertence

e privilégios de acesso. Essa token será associada a todo e qualquer processo executado por

aquele usuário. O subsistema Win32 cria um processo para o usuário, associando-o à token

e, ao final do procedimento de logon, é apresentada a tela do gerenciador de programas.

Controle de Acesso Discricionário

Os controles de acesso discricionário permitem, aos proprietários de recursos, aos usuários

com acesso à conta de administrador e aos usuários com autorização para controlar os

recursos do sistema, especificar quem pode acessar seus recursos e que tipo de ações

podem realizar com eles. Esses controles podem ser associados a usuário específicos, a

grupos de usuários, a ninguém ou a todos os usuários conectados à rede. No NT as

definições de acesso podem ser feitas pelas seguintes ferramentes:

● Gerenciador de usuários em domínios (definições das políticas de segurança e

administração de contas de usuários e grupos);

● Gerenciador de arquivos (compartilhamento de arquivos e diretórios);

● Gerenciador de impressão (compartilhamento de impressora na rede);

● Painel de controle (definição de limites de compartilhamento de recursos na rede,

ativação e desativação de serviços de rede).

Tokens de Acesso

Com foi descrito anteriormente no processo de logon, o subsistema de segurança (LSA)

constrói uma token de acesso para cada usuário, contendo seu nome, identificação de

segurança, grupos de usuários a que pertence e privilégios de acesso. Essa token é

associada a todo e qualquer processo executado por aquele usuário. Sempre que o usuário

ou um processo a ele associado tentar acessar um objeto, os dados de sua token

(identificação, grupos a que pertence e privilégios) são comparados aos dados da lista de

controle de acesso do objeto, mais especificamente, às entradas de controle de acesso. O

acesso só será permitido se as informações compradas forem compatíveis.

Listas de Controle de Acesso

As listas de controle de acesso são uma forma adicional de controle de acesso a recursos.

Todo e qualquer recurso, seja um arquivo, diretório ou impressora, tem um proprietário, o

qual decide quem pode ter acesso ao recurso e o que pode fazer com ele. O usuário pode

especificar e controlar o impedimento de acesso ou o compartilhamento de objetos por ele

criados ou controlados. As permissões de acesso a um determinado objeto são definidas

nas chamadas entradas de controle de acesso (ACE – Acces Control Entry), as quais são

associadas a uma lista de controle de acesso no momento em que o usuário define os

controles de acesso discricionário para o objeto em questão. Se o usuário não definir esses

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 48 -

controles de acesso, é criada uma lista de controle de acesso padrão (default) para o objeto.

Os dados dessa entradas são checados com a token de acesso do usuário, quando é

solicitado acesso ao objeto.

Ferramentas de Segurança e Auditoria

Gerenciador de Usuários em Domínios – User Manager for Domains

Essa ferramenta é usada para administrar a segurança nos domínios e computadores

associados ao Windows NT. Com ela, pode-se criar novos usuários e grupos, estabelecer as

políticas de definição de contas de usuários, direitos de acesso e relacionamentos de

confiança, e especificar atributos de segurança para cada usuário. Apenas o administrador

do sistema tem o privilégio de gerencia e alterar a configuração estabelecida pelas

ferramentas de segurança.

Contas de Usuários

O acesso aos recursos computacionais só é permitido após a entrada de um nome de conta

e uma senha válidos. Para controlar as contas de usuário, o gerenciador de usuários do NT

utiliza as seguintes facilidades:

● Política de contas – controla as definições e alterações de senhas, como por

exemplo, tamanho da senha, prazos máximo e mínimo para alteração, bloqueio da

conta ou da estação de trabalho após um certo limite de tentativas de logon

frustradas, etc.

● Política de direitos do usuário – controla os direitos explícitos que podem ser

designados a contas de usuários e grupos, tais como os direitos a acessar um

computador localmente ou pela rede, restaurar e fazer backup de arquivos e

diretórios, acessar e manipular o log de segurança, etc.

● Perfil de usuário - contém informações sobre a forma de interação do usuário com

qualquer estação de trabalho da rede. Os perfis podem ser criados pelo

administrador para estabelecer ambientes seguros, onde o usuário só consegue

interagir com o sistema por meio de formas preestabelecidas. Independentemente

da estação de trabalho acessada, será apresentado ao usuário o mesmo ambiente

interativo, já que este está associado ao seu perfil e não à estação de trabalho. Com

essa ferramenta, o administrador pode criar, por exemplo, um perfil para cada tipo

de função na empresa, o qual poderá ser associado a vários usuários que exerçam

aquela função. Dessa forma, várias contas de usuário podem utilizar um ambiente

comum de interação com a rede, facilitando a gerência de controle.

Grupos

No NT, o administrador, na definição e manutenção de direitos e permissões de acesso,

pode estabelecer três níveis de contas:

● Contas de usuário – cada usuário tem uma conta protegida por senha, associada a

direitos e permissões de acesso individualizados. As contas podem ser definidas

localmente ou em nível de domínio;

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 49 -

● Grupos locais – conjunto de contas de usuários, definido em cada estação de

trabalho, com direitos e permissões de acesso comuns àquele domínio local;

● Grupos globais – conjunto de contas de usuários, definido em nível de domínio,

com direitos e permissões de acesso comuns a múltiplos domínios.

Assim como no caso das contas de usuários, também há grupos que merecem uma atenção

especial do auditor e da equipe de segurança, tais como os grupos de administrador e de

operadores do servidor, por terem acesso privilegiado ao sistema, na execução de várias

tarefas administrativas e de segurança, e usuários guest, pro serem capazes de acessar a

rede sem necessidade de senha.

Domínios e Relacionamento de Confiança

Um domínio é um conjunto de computadores, agrupados por motivos administrativos, que

compartilham uma base de dados de usuários e uma política de segurança, facilitando a

gerência e o controle de segurança da rede. Em um domínio, cada usuário tem uma única

conta para acessar a rede a partir de qualquer computador do domínio. O administrador,

por sua vez, precisa manter apenas uma conta para cada usuário e estabelecer uma única

política de segurança para todo o conjunto.

A máquina controladora do domínio mantém uma base de dados contendo os nomes de

contas e senhas de todos os usuários registrados no domínio. Uma vez que o usuários tenha

sua conta nessa bases de dados, o controlador permitirá seu logon em qualquer máquina

associada àquele domínio.

Em redes mais complexas, com inúmeros domínios, a segurança normalmente é

estabelecida a partir de relacionamentos de confiança. Esses relacionamentos nada mais

são que ligações entre domínios que possibilitam a um usuário com conta em um domínio

acessar recursos de outros domínios da rede. Esses relacionamentos simplificam a gerência

da rede ao combinar dois ou mais domínios em uma unidade administrativa. Resumindo,

existem duas vantagens na abordagem de relacionamentos de confiança. Do ponto de vista

do usuário, é necessária uma única conta e senha para cada usuário acessar recursos de

vários domínios e, do ponto de vista gerencial, o administrador pode gerenciar vários

domínios de forma centralizada. Em termos de segurança, o estabelecimento de relações de

confiança requer, entretanto, planejamento adequado e conhecimento detalhado da rede.

Gerenciador de Arquivos e Diretórios

O Windows NT suporta mais de um tipo de sistema de arquivos, vale a pena mostrar as

diferenças entre eles, quanto aos aspectos de segurança e auditoria.

NT File System (NTFS)

Esse sistema de arquivos é exclusivo do NT. Não provê criptografia e não pode ser usado

em disquetes. No caso de falha do sistema ou do disco, o NTFS provê recuperação de

dados. Por ser o único a utilizar o sistema de segurança de arquivos e diretórios do NT

(menu de segurança do gerenciador de arquivos). Através do menu de segurança do

gerenciador de arquivos, pode-se definir as permissões de arquivos e diretórios, em

volumes NTFS, para usuários e grupos de usuários. O proprietário pode definir uma

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 50 -

combinação dos seguintes tipos de acesso: nenhum acesso, ler (R), gravar (W), executar

(X), apagar (D), alterar permissão (P), tomar propriedade (O) e acesso total.

File Allocation Table (FAT)

Esse sistema de arquivos é o mais usuado em computadores pessoais já que os arquivos

por ele gerados podem ser lidos pelos sistemas operacionais MS-DOS, Windows NT e

OS/2.

High Performance File System (HPFS)

O HPFS foi criado para o sistema operacional OS/2. Os arquivos por ele gerados podem

ser lidos pelos sistemas operacionais OS/2 e NT (versões anteriores a 4.0).

Em volumes FAT e HPFS, não é possível definir permissões individualmente a arquivos e

diretórios, a não ser nos casos de compartilhamento, quando as permissões são definidas

para o compartilhamento e não para os arquivos e diretórios individuais. Apenas o NTFS

possibilita a definição de listas de controle de acesso.

Segurança de Dados

O servidor Windows NT suporta as seguintes facilidades de segurança de dados:

● RAID 0 a 5 - a tecnologia RAID (Redundant Array of Inexpensive Disk) é uma

estratégia de tolerância a falhas padronizada pela indústria e categorizada nos

níveis de 0 a 5. O NT possibilita que, com o hardware adequado, seja

implementado RAID até o nível 5. Esse nível permite o particionamento dos discos

físicos, com código de correção de erro armazenado como paridade, de forma que

tanto o arquivo gravado como a paridade são seccionados e distribuídos por vários

drives de disco, melhorando também o desempenho das operações de I/O nos

discos;

● Hot fixing – recuperação de setores de disco durante a operação de I/O. Ao

identificar um setor defeituoso, o NT move os dados para um setor sem defeito e

isola o setor defeituoso;

● Backup – operação de cópia de arquivos e diretórios para salvaguardar seu

conteúdo. O programa de backup é uma das ferramentas administrativas do

gerenciador de programas do NT.

● Last Known Good Configuration – permite ao usuário restaurar a última

configuração de sistema que estava operando corretamente;

● Disco de reparo emergencial - permite ao usuário restaurar o sistema a seu estado

inicial de configuração (configuração original da máquina), quando não for mais

possível restaurar a última configuração do sistema em operação correta.

● Fonte de força ininterrupta (UPS – Uninterruptible Power Supply) – permite a

conexão de uma bateria ao computador para que o sistema continue processando

normalmente, mesmo na ocorrência de uma falha de fornecimento de energia.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 51 -

Logs

O servidor NT registra em logs (arquivos históricos) uma série de eventos importantes para

a gerência, segurança e auditoria da rede. Existem três tipos de log:

● Log de sistema – grava erros, mensagens de alerta ou informações geradas pelo

sistema;

● Log de aplicativo – grava erros, mensagens de alertar ou informações geradas pelo

software aplicativo.

● Log de segurança – grava tentativas de logon válidas e inválidas, e eventos

relacionados com o uso de recursos.

Na configuração padrão, apenas o administrador do sistema tem acesso ao log de

segurança, enquanto que os logs de sistema e de aplicativos podem ser acessados por

qualquer usuário. No caso de domínios, o log de segurança é mantido no servidor

controlador do domínio e contém informações sobre eventos ocorridos no controlador e em

todos os outros servidores do domínio. No caso de estações de trabalho stand-alone, os

eventos são gravados no log de segurança da própria estação.

Os eventos gravados no log de segurança podem ser divididos nas seguintes categorias:

● Eventos de sistema – tentativas de logon e logoff, alterações de política de

segurança, criação, alteração e eliminação de contas de usuários e grupos;

● Eventos relacionados com arquivos, diretórios, configuração dos arquivos de log,

nível de acesso a impressoras e acesso remoto a servidores.

Pela natureza dos eventos gravados no log de segurança, esse log é uma ótima fonte de

informações para a gerência de segurança e auditoria na rede NT.

O ambiente Unix

A segurança do sistema Unix é basicamente implementada por direitos de acesso de

usuários e grupos. Todo programa Unix é processado com a permissão de algum usuário

ou grupo. Um servidor Unix, por exemplo, pode rodar vários serviços, como controle de

impressão, login remoto ou e-mail, e cada um desses serviços está associado a uma conta

de usuário. Portanto, as contas de usuários e as permissões de acesso são a chave da

segurança no ambiente Unix.

Contas de Usuários

Todo usuários de um computador Unix precisa ter uma conta. A conta é dividida em duas

partes: o nome da conta, também chamada username, e a senha. O nome da conta é um

identificador que define para o computador quem é o usuário e a senha é um autenticador,

isto é, ela prova ao computador que o usuário é realmente quem diz ser.

Nos sistemas Unix uma pessoa ter mais de uma conta. Porém cada conta terá um username

diferente, composto de 1 a 8 caracteres.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 52 -

Para controlar seus usuários, o Unix utiliza um arquivo de senhas, chamado /etc/passwd.

Cada linha desse arquivo contém um registro de banco de dados cujos campos informam,

por exemplo, o nome da conta, a senha criptografada, números de identificação de usuário

e de grupo, e outros dados relacionados com a conta daquele usuário específico. Para

dificultar o acesso de invasores às senhas dos usuários, o Unix utiliza um sistema de senhas

criptografadas para que não seja necessário armazenamento de senhas reais.

Para entrar no sistema, o usuário se identifica, ao digitar o nome da sua conta, e se

autentica, ao digitar sua senha. O Unix checa se a conta existe e se a senha digitada

corresponde àquela conta. SE uma das informações não estiver correta, o processo de

logon é interrompido.

Usuários Especiais

Além das contas de usuários pessoais, existem ainda contas Unix especiais, sem associação

com uma pessoa, que executam funções de sistema. A mais importante delas é o chamado

superusuário ou root. A conta root é utilizada pelo próprio sistema para realização de

funções básicas, como o processo de logon de usuários, gravação de informações de

contabilização de uso de recursos, gerência de recursos de entrada/saída, etc. O acesso do

root aos recursos e arqivos do sistema é praticamente irrestrito. O uso dessa conta,

portanto, só deve ser feito em casos especiais, pelo administrador do sistema, quando for

imprescindível ter os direitos de acesso do root para realizar as tarefas.

Por ter todos esses poderes, o superusuário é a principal brecha de segurança do Unix.

Uma vez obtidos os privilégios do superusuário (descobrindo sua senha e logando como

root), o invasor pode fazer praticamente qualquer coisa no sistema. Por isso, o principal

objetivo dos invasores do Unix é descobrir sua senha e tornar-se o superusuário.

Grupos

Todo usuário, além de ter uma conta, também pertence a um ou mais grupos. No processo

de criação de conta, o administrador do sistema designa pelo menos um grupo para aquele

usuário. Para identificar todos os grupos existentes no sistema, pode-se listar o arquivos

/etc/group. Cada linha desse arquivo corresponde a um grupo e contém informações como

nome, identificador e lista de usuários participantes do grupo.

Do ponto de vista de segurança, os arquivos etc/passwd e /etc/group são altamente

importantes. Um invasor, ao ter acesso ao arquivo de grupos, por exemplo, pode altera-lo,

incluindo a si próprio em um grupo com acesso privilegiado ao arquivo de senhas. No

arquivo de senhas pode tornar-se o superusuário, alterando a identificação de usuário para

0 e, a partir daí, usufruir de todos os seus privilégios.

Técnicas de Administração da Segurança de Contas de Usuários

Programas para quebrar a segurança de suas próprias senhas.

Geradores de senhas

Arquivos de senhas shadow

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 53 -

Controle de data de expiração de senhas

Bloqueio de contas que não serão usadas por um período de tempo

Nomes de contas não óbvios ou uso de alias

Ferramentas de Segurança e Auditoria

Além de instalar todos os patches (correções) distribuídos pelo fornecedor do sistema

Unix, existem outras precauções de segurança a serem tomas, como backup do sistema,

desabilitação dos serviços de rede desnecessários e definição criteriosa das contas, grupos

e permissões de acessos a arquivos e diretórios. Essas precauções estão associadas a

atividades administrativas que podem, e devem, ser planejadas com antecedência. O

objetivo dessas medidas é limitar a quantidade de pontos possivelmente vulneráveis a

acessos não autorizados e indisponibilidade do sistema. Para auxiliar nas tarefas de

identificação de falhas de segurança do Unix, existem programas, chamados security

scanner, que testam o sistema em busca de brechas de segurança e fragilidade de

configuração já conhecidas. Como exemplo desses softwares destacam-se COPS –

Computer Oracle and Password System, que roda localmente e detecta senhas fáceis de

serem descobertas e problemas de segurança na configuração do sistema operacional;

SATAN – Security Analysis Tool for Auditing Network; e ISS – Intenet Security Scanner.

Estes dois últimos testam a máquina na rede em busca de falhas no software do servidor,

identificando brechas de segurança e serviços de rede que tornam as máquinas vulneráveis.

Essas ferramentas podem ser baixadas da Internet gratuitamente.

Logs

O Unix mantém diversos tipos de log que podem auxiliar na tarefa de auditoria do sistema,

já que, por meio de sua análise, pode-se identificar se o sistema está operando

normalmente ou não, e se foi utilizado por pessoas não autorizadas, por exemplo. O

sistema Unix pode ser customizado de maneira a registrar apenas as atividades que o

administrador do sistema julgar necessárias. A recomendação é que registre tudo e se

utilize filtros, a partir de situações previamente definidas como autorizadas e corretas, para

limitar o número de registros a serem verificados manualmente pelo administrador. Se

ainda assim a massa de dados for muito grande, recomenda-se refinar os filtros.

A codificação desses filtros pode ser uma tarefa bastante complexa e enfadonha. Para

minimizar os esforços de codificação, existem programas de análise de logs, disponíveis na

Internet, que monitoram o sistema Unix e tomam algumas ações de acordo com padrões

predeterminados. Convém lembrar que de nada valerão os registros do log se estes não

forem revisados periodicamente pela gerência de segurança.

Modems e Dispositivos de Comunicação

Por serem um elo entre a organização e o ambiente externo, os modems são uma

preocupação a mais à equipe de segurança e auditoria. Os modems podem ser usados por

usuário interno, devidamente autorizado, para divulgação, ao ambiente externo, de

informações confidenciais ou para acesso não autorizado de pessoas externar à organização

aos recursos computacionais internos.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 54 -

Como existem vários tipos de modems no mercado, a primeira recomendação é seguir as

orientações de conexão e configuração contidas no manual do fornecedor. Uma medida de

segurança aconselhável é manter o número de telefone do modem sob certo sigilo,

divulgando-o apenas às pessoas que precisam utiliza-lo. A divulgação ampla e sem

critérios do número do modem aumenta as chances de alguém tentar usa-lo para invadir

seus sistemas.

Com relação às linhas telefônicas, é recomendável que sejam ainda analisadas outras

medidas de proteção, tais como: proteção de acesso físico às linha, evitando a possibilidade

de um invasor conseguir conectar fisicamente um outro modem à sua linha, interceptar as

ligações, descobrir identificações e senhas de usuários e redirecionar o fluxo de

informações; e proteção ao acesso físico a outros dispositivos de comunicação, como

conectores e repetidores. É aconselhável avaliar a possibilidade de uso de fibras óticas, por

serem mais difíceis de serem grampeadas, e de criptografia, para dificultar a compreensão

das mensagens transmitidas na comunicação. Outra boa opção é utilizar linhas privadas,

mais seguras e mais rápidas, caso as ligações via modem sejam feitas para poucas

localidade específicas e a confidencialidade de dados ou a necessidade de melhor

desempenho justifique os custos mais latos de uma linha privada.

Firewall

Seguindo a mesma filosofia das paredes contra incêndio, os firewalls são dispositivos

utilizados na proteção de redes de computadores contra ataques externos, dificultando o

trânsito de invasores entre as redes.

Os sistemas tradicionais de rede, sem firewall, normalmente permitem acesso direto ao

mundo externo a partir de qualquer máquina conectada na rede interna e vice-versa. Sua

segurança, portanto, é extramente frágil, pois a existência de um único computador sem

proteção pode comprometer todo o aparato de segurança de rede, permitindo acesso a

invasores a partir daquele computador inseguro. Com acesso a um dos computadores da

rede, o invasor pode capturar senhas de usuários e alterar a configuração de software até

mesmo de outros computadores conectados. Portanto, esse tipo de implementação não só é

difícil de administrar em termos de segurança como também é quase impossível detectar

uma invasão.

A gerência de segurança, portanto, lançando mão dessa barreira entre a rede interna e o

mundo externo, pode concentrar seus esforços de proteção da rede institucional na

configuração do firewall, ao invés de proteger, contra invasões externas, cada uma das

máquinas ligadas à rede interna. Os firewalls são normalmente configurados para permitir

certas operações e limitar ou impedir outras. Acredita-se que a instalação de um firewall,

corretamente configurado, é capaz de reduzir os riscos de invasão em pelo menos 20%.

Porém, é importante ressaltar que, antes de se conectar ao mundo externo e implantar essa

barreia, a organização deve considerar outras medidas de segurança.

O firewall é constituído de duas partes. A primeira delas é normalmente implementada na

prática por roteadores com filtros. O roteador atua como uma ligação entre as redes interna

e externa, sendo responsável pelo bloqueio de todos os pacotes de dados entre as duas

redes, a não se que tenham sido gerados ou destinados para o gateway ou outras máquinas

posicionadas entre o gateway e o roteador (máquinas sacrificadas). Pode ser configurado

para limitar o tráfego de pacotes segundo seus protocolos.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 55 -

A outra parte do firewall é denominada gateway. Todo o tráfego de pacotes entre a rede

interna e externa passa primeiro pelo gateway, cujo software decide se o tráfego será

permitido ou rejeitado. Sua configuração reforça os cuidados do roteador por meio de

medidas de segurança, como por exemplo, a autenticação de usuários. Por ser o

responsável pelo tráfego de dados entre as duas redes, sua configuração deve ser feita com

cautela, levando em consideração alguns aspectos de segurança, por exemplo:

Na manter no gateway contas de usuários, programas utilitários, arquivos de senhas

e serviços de nomes, pois podem facilitar o trabalho de possíveis invasores à rede

interna;

Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no

log para posterior análise pela equipe de segurança e auditoria;

Monitorar as atividades do gateway;

Desabilitar todos os serviços de rede considerados desnecessários.

Numa implementação de firewall com um roteador e um computador como gateway, o

roteador restringe a comunicação entre as redes interna e externa, repassando o tráfego

entre elas obrigatoriamente pelo computador definido como gateway, o qual permite ou

não o tráfego, após submeter os pacotes às regras de filtragem previamente estabelecidas.

O software do gateway atua como intermediário, recebendo os pacotes, analisando-os,

armazenando informações em logs e repassando-os se satisfizerem as condições dos filtros.

Toda atenção da política de segurança de firewalls deve se voltar para configuração dos

filtros que permitem ou rejeitam o tráfego de rede.

É importante que a equipe de segurança tenha em mente que todo programa, protocolo ou

serviço de rede liberado pelo gateway pode representar uma ameaça à segurança de toda a

rede. Seu objetivo é, portanto, dificultar o acesso à rede e não o contrário.

Independentemente do tipo de firewall utilizado, a segurança da rede interna depende da

segurança do servido de firewall, pois qualquer um que tiver acesso a esse servidor ou for

capaz de reconfigurar seus filtros, provavelmente será capaz de acessar, com facilidade,

outros computadores da rede interna. Entretanto, vale ressaltar que o fato de ter um firewall

não quer dizer que os outros controles e verificações de segurança possam ser

abandonados. Um firewall bem configurado consegue minimizar alguns riscos, mas não

todos.

Riscos Associados ao Ambiente Cliente-Servidor

Os principais riscos associados a esse ambiente são acesso não autorizado provocado por

contas com senhas frágeis ou sem senhas, erros de configuração e má definição de

domínios, relacionamentos de confiança, grupos, permissões, privilégios de acesso, filtros

de firewall, etc. Acesso não autorizado a arquivos de senhas, uso não autorizado de

privilégios, monitoramento não autorizado de tráfego da rede, alteração ou eliminação de

eventos e atividades do arquivo de log, bugs de software e interceptação da comunicação

entre computadores também são riscos comuns nesse ambiente.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 56 -

Lista de Verificações

Controles sobre microcomputadores:

✔ Participar dos fóruns de segurança disponíveis na internet.

✔ Utilizar as versões mais atualizadas dos patches (correções) divulgados e

distribuídos pelos fornecedores de software.

✔ Utilizar softwares de auditoria de segurança, tais como COPS, SATAN, etc.

✔ Utilizar criptografia.

✔ Na configuração do sistema operacional, desabilitar as features

desnecessárias.

✔ Utilizar o menor número possível de contas de usuário

✔ Verificar as definições de domínio e relacionamentos de confiança.

✔ Verificar a definição dos grupos de usuários (usuário que fazem parte dos

grupos e seus direitos de acesso).

✔ Verificar as permissões de acesso, principalmente a arquivos de

configuração do sistema operacional e a arquivos considerados

confidenciais, de forma a restringir acessos desnecessários.

✔ Utilizar mecanismos ou pacotes de verificação de senhas, como Crack, para

testar senhas frágeis escolhidas pelos usuários.

✔ Eliminar contas inativas, dormentes ou sem senhas.

✔ Auditar com certa freqüência os arquivos de senha (inclusive shadow) com

o objetivo de identificar inconsistência, adições não autorizadas, criação de

novas contas, contas sem senha ou alterações de identificação de usuário.

✔ Evitar utilizar contas guest ou default. Se forem necessárias, utilizá-las

apenas em ambiente controlado.

✔ A senha do administrador ou root deve ser de conhecimento altamente

restrito, sendo recomendado utilizar o acesso como root o menor tempo

possível.

✔ Evitar entrar no sistema a partir de contas com privilégios acima dos

estritamente necessários.

✔ Eliminar os serviços de rede desnecessários, especialmente aqueles

considerados como mais suscetíveis à ação de invasores.

✔ Monitorar o sistema e analisar os logs regularmente.

✔ Realizar backup regularmente e manter pelo menos uma cópia em outra

localidade (off-side).

✔ Se possível, implementar redundância (espelhamento, RAID, ect.).

✔ Implementar mecanismos de controle de acesso via modem, de tal forma

que a conexão seja desfeita sempre que a ligação ou processo de login for

interrompido ou terminado.

✔ Utilizar modems com senha.

✔ Bloquear a reprogramação do modem por usuários não autorizados.

✔ Prover acesso via linha discada apenas a usuários formalmente autorizados.

✔ Desabilitar ou manter fisicamente seguros conectores ou repetidores de rede

que não estiverem sendo utilizados.

✔ Limitar o acesso físico aos dispositivos de rede, tais como cabos,

roteadores, repetidores, e terminadores.

✔ Monitorar o uso da rede de telecomunicações, com o objetivo de avaliar seu

desempenho, detectar e eliminar falhas de comunicação.

AUDITORIA E SEGURANÇA DE SISTEMAS

Profesora. Mislene Dalila

Fonte:

Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000

Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004

Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999

- 57 -

✔ Manter os equipamentos de monitoramento da rede de telecomunicações em

local de acesso controlado.

✔ Estabelecer políticas ou procedimentos para download de arquivos da

Internet.

✔ Configurar o firewall de maneira que sejam filtrados ou inibidos todos os

serviços ou protocolos de rede desnecessários para a instituição.

✔ Configura o servidor de firewall de tal forma que este não seja também

servidor de arquivos ou de nomes.

✔ Eliminar do servidor de firewall arquivos de senhas, contas de usuários,

compiladores e utilitários de desenvolvimento de software.

✔ Não estabelecer relacionamento de confiança com máquinas externas.

✔ Registrar em logs e monitorar todas as operações efetuadas no servidor de

firewall.

✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos

de caráter genérico, tais como controles organizacionais, segurança de

informações, controles de acesso, planejamento de contingências e

continuidade de serviços, etc.