Auditoria em Sistemas Computacionais

SumrioIntroduo

Introduo

Estudar

e analisar o ambiente corporativo e assegurar que as metas e objetivos de TI esto sendo alcanados e os controles chaves esto sendo aplicados.

2

Objetivos da AuditoriaAs diretrizes de gerenciamento descrevem e sugerem atividades de avaliao para serem executadas para cada controle de alto nvel. Entre os principais objetivos temos: Fornecer gerenciamento com segurana razovel de que os objetivos de controle estejam sendo alcanados;

Onde exister pontos fracos de controle significantes, ser verificado os riscos resultantes; Aconselhar a administrao em aes corretivas;

3

Definio de Auditoria Definio de Auditoria: ISO/IEC 17799:2001 Verificao de Conformidade Tcnica.

Definio do Dicionrio Aurlio:Exame analtico e pericial que segue o desenvolvimento das operaes contbeis, desde o incio at o balano; auditagem No devemos utilizar o termo Exame pois este est mais

relacionado com o processo pericial ou de anlise forense.

O termo Auditoria de Sistemas Comprometidos ilustra a confusocomum entre Auditoria e Percia.

Auditoria = Verificao4

ConceitosFuno da auditoria de sistemas promover adequao, reviso, avaliao e recomendaes para o aprimoramento dos controles internos nos sistemas de informao da empresa, bem como avaliar e utilizao do recursos humanos, materiais e tecnolgicos envolvidos no processamento dos mesmos (Schimidt, 2006)

5

Conceitos

6

Aplicaes

Programao Segura Sistemas e informaes computadorizadas Centro de computao Desenvolvimento de Sistemas em Geral

7

O que Auditar?No se pode controlar o que no se pode medir a) b) c) d) e) f) Fidelidade da Informao Segurana fsica e lgica da Informao Conformidade legal Conformidade com boas prticas Eficincia e Eficcia dos Recursos e Resultados Obedincia s polticas8

Auditoria Pr-Ativa x ReativaAuditoria Pr-Ativa Ao pela qual uma situao observada atravs da coleta de informaes para eventual comparao com um estado anterior e/ou futuro. Pode ser entendida como uma ao que visa identificar possveis falhas antes que uma ameaa potencial seja concretizada.

Auditoria Reativa Coleta de informaes e evidnciasaps a identificao de uma violao. parte da atividade de anlise forense, a qual fornece informaes sobre as aes ocorridas e que sero utilizadas para prover as correes necessrias assim como para o aumento do grau de segurana.9

AmeaaAmeaa: O termo ameaa foi muito bem definido por Karen Olsen na seguinte publicao do NIST (National Institute of Standards and Technology): Security in Open Systems SP 800-7. Ameaa uma circunstncia, condio, ou evento que possui potencial para causar estrago para o corpo tcnico ou recursos de rede na forma de destruio,divulgao, modificao de dados, negao de servio,fraude, desperdcio e/ou abuso.10

Tipos de Auditoria Auditoria Remota: Quando o processo de auditoria controlado e executado fora das instalaes que so alvo do processo.

Auditoria Local: Realizao da atividade dentro do ambiente que est sendo auditado.

Auditoria Fsica: Processo de verificao das condies de segurana fsica de um sistema, como por exemplo se a sala de servidores possui fechadura e se esta realmente funciona.

11

Tipos de Auditoria Auditoria Lgica: Auditoria que verifica as demais condies nofsicas que fazem parte do processo e/ou sistema.

Auditoria de Permetro: Atividade de mapeamento da infraestrutura de rede responsvel pela delimitao e/ou segmentao. A auditoria de permetro permite verificar externamente qual a parte visvel da infraestrutura.

Auditoria de Conformidade: Permite avaliar e/ou validar umasituao frente a uma norma ou requisitos.

12

Passos de uma Auditoria O processo de auditoria deve sempre ser autorizado e seguir as normase/ou legislao pertinente.

A auditoria fornece uma fotografia instantnea da situao encontrada. As informaes geradas pela auditoria devem ser armazenadas conforme a poltica da empresa. Deve-se manter um histrico de todas as atividades realizadas no processo de auditoria, incluindo horrios de realizao, durao dos eventos e mtodos utilizados no processo.

13

Dinmica

Cite ferramentas que conhece em patlaformas ex: Windows

14

Ferramentas de AuditoriaNMAP http://nmap.org/ http://nmap.org/dist/nmap-5.00-setup.exe http://nmap.org/dist/nmap-5.00-win32.zip

NESSUShttp://www.nessus.org/nessus/ http://www.nessus.org/download/

15

Lista de Exerccio

1-) A auditoria de sistemas computacionais deve ser vista como um projeto? Justifique 2-) Quais as dificuldades enfrentadas pela auditoria na empresa?

16