Professor: Rhyan Ximenes · 11 Auditor de Sistemas Experiência profissional e a necessidade de...

Professor: Rhyan Ximenes

É uma atividade independente que tem como missão

o gerenciamento de risco operacional envolvido;

Avaliar a adequação das tecnologias e sistemas de

informação utilizados na organização através da:

Revisão e avaliação dos controles;

Desenvolvimento de sistemas;

Auditoria e Segurança em S.I prof.

Rhyan Ximenes 3

Auditoria de Sistemas

Procedimentos de TI;

Infraestrutura;

Operação;

Desempenho e segurança da informação que envolve o

processamento de informações críticas para a tomada

de decisão.


Rhyan Ximenes 4


Verifica a eficácia dos controles e procedimentos de

segurança existentes;

A eficiência dos processos em uso;

Da correta utilização dos recursos disponíveis;


Rhyan Ximenes 5

Auditor de Sistemas

Assessoramento a administração na elaboração de planos e

definição de metas;

Colaboração no aperfeiçoamento dos controles internos,

apontando deficiências e irregularidades que possam

comprometer a segurança e o desempenho organizacional.


Rhyan Ximenes 6

Auditor de Sistemas

O auditor de sistemas tem de se aprimorar com o campo

de atuação (processos);

Atua no processo de extração de informações;

Análise de banco de dados e suportar decisões das demais

áreas de auditoria.


Rhyan Ximenes 7

Auditor de Sistemas

A necessidade global de referências nesse assunto, para o

exercício dessa profissão, promoveram a criação e

desenvolvimento de melhores práticas como:

COBIT;

COSO;

ISSO 27001;

ITIL.


Rhyan Ximenes 8

Auditor de Sistemas

A formação acadêmica do auditor de sistemas pelos

motivos acima acaba sendo multidisciplinar:

Análise de sistemas;

Ciência de Computação;

Administração com ênfase em TI;

Advocacia com foco em Direito da Informática - direito

digital e correlatos.


Rhyan Ximenes 9

Auditor de Sistemas

Certificação CISA – Certified Information Systems

Auditor, oferecida pela ISACA – Information Systems

and Control Association;

É uma das mais reconhecidas e avaliadas por organismos

internacionais;


Rhyan Ximenes 10

Auditor de Sistemas

Processo de seleção consta de uma prova extensa que

requer:

Conhecimentos avançados;


Rhyan Ximenes 11

Auditor de Sistemas

Experiência profissional e a necessidade de manter-se

sempre atualizado;

Através de uma política de educação continuada (CPE)

na qual o portador da certificação deve acumular carga

horária de treinamento por período estabelecido.


Rhyan Ximenes 12

Auditor de Sistemas

Aborda aspectos como:

Integridade;

Disponibilidade;

Confidencialidade;

Aderência às normas (conformidade);


Rhyan Ximenes 13


Obs.: Sistemas ainda em desenvolvimento podem ser avaliados e

acompanhados.

Entrada;

Processamento e saída de dados;

Efetividade;

Satisfação e usabilidade de um sistema de informação em

particular.


Rhyan Ximenes 14


São baseadas nos instrumentos desenvolvidos e aplicados

na auditoria externa;

São instrumentos que o auditor possui para atingir suas

metas, definidas no planejamento de auditoria,

independente do tipo de auditoria praticada;

As ferramentas de auditoria podem ser classificadas em:

Generalistas, Especializadas e de utilidade geral.


Rhyan Ximenes 15

Ferramentas de Auditoria

São softwares que podem processar, simular, analisar

amostras, gerar dados estatísticos, sumarizar e outras funções que o auditor desejar;

Vantagens:

Pode processar diversos arquivos ao mesmo tempo;

Processa vários tipos de arquivos em vários formatos;

Permite integração sistêmica com vários tipos de softwares e hardwares;

Reduz a dependência do auditor em relação ao especialista de informática.


Rhyan Ximenes 16

Ferramentas generalistas

São softwares que podem processar, simular, analisar

amostras, gerar dados estatísticos, sumarizar e outras

funções que o auditor desejar;

Desvantagens:

O processamento das aplicações envolve gravação de dados

em separado para serem analisados em ambientes distintos,

poucas aplicações poderiam ser feitas em ambiente online;

Se o auditor precisar rodar cálculos complexos, o software

não poderá dar esse apoio;

Entre outros.


Rhyan Ximenes 17


Audit Command Language (ACL):

Ferramenta mais modernas para extração de informações de

banco de dados, tratamento e análise;

Detecção de erros e riscos gerais do negócio associados a

dados transacionais incompletos, imprecisos e

inconsistentes;

O diferencial em ao Excel e Access é o fato de trabalhar com

grandes volumes de transações distribuídas em diversas

operações e em sistemas diferentes.


Rhyan Ximenes 18


Interactive Data Extraction & Analisys (IDEA):

É um software para extração e análise de dados utilizado para

controles internos e detecção de fraudes;

Vantagens:

Cria um registro de todas as alterações feitas em um arquivo

(banco de dados) e mantém uma trilha de auditoria com

registro das operações;

Permite importar e exportar dados em uma variedade de

formatos;

Pode ler e processar milhões de discos em poucos segundos;


Rhyan Ximenes 19


Pentana:

Permite a realização de planejamento de auditoria, planejamento e

monitoramento de recursos, controle de horas, registro de check-lists,

programas de auditoria, desenho e gerenciamento de plano de ação

etc.

Útil para governança, controle de riscos e adequação as leis.


Rhyan Ximenes 20


Pentana:

Características:

Apresenta resultados em gráficos coloridos com alta

resolução;

Produz relatórios sensíveis ao contexto e popula

automaticamente documentos MS Office com base em

relatórios de auditoria e formulários;

Gera relatórios em tempo real em todas as linhas de

negócios;

Entre tantos outros.


Rhyan Ximenes 21


São softwares desenvolvidos especialmente para executar certas

tarefas em uma circunstância definida;

O software pode ser desenvolvido pelo próprio auditor, pelos

especialistas da empresa auditada ou por um terceiro contratado pelo

auditor;


Rhyan Ximenes 22

Ferramentas especializadas

Vantagem:

Atende a demandas mais específicas, como crédito imobiliário,

leasing, cartão de crédito e outras funções que exijam tarefas

especializadas no segmento de mercado;

Desvantagens:

Pode ser muito caro, uma vez que seu uso será limitado ou restrito

a apenas um cliente;

As atualizações deste software podem transformar-se em um

problema.


Rhyan Ximenes 23

Ferramentas especializadas

São softwares utilitários utilizados para executar algumas funções

muito comuns de processamento, como sortear arquivos, sumarizar,

concatenar, gerar relatórios etc.;

Não foram desenvolvidos para executar trabalhos de auditoria,

portanto, não tem recursos tais como verificação de totais de controles,

ou gravação das trilhas de auditoria;

Vantagem:

Podem ser utilizadas como “quebra-galho” na ausência de outros

recursos.


Rhyan Ximenes 24

Ferramentas de utilidade geral

Antes de tudo é necessário fazer um levantamento dos riscos

para delimitar o nível de risco em que a empresa está;

Só depois é traçado um nível de risco aceitável, que é aquele em

que a empresa pode funcionar.

Análise de Riscos

Auditoria e Segurança em S.I prof. Rhyan Ximenes

26

Que cuidados deve-se ter?

- Na avaliação do risco aceitável, é necessário cuidado ao se aceitar

um determinado risco, mas se não for possível minimizá-lo, é

importante que se tenha um plano de resposta a incidentes.

Análise de Riscos


27

É fato que não é possível eliminar totalmente um risco que está

inserido no cenário da empresa, mas é possível minimizá-lo;

Para isso, temos que conhecer bem quais são as ameaças a que

a empresa está susceptível e quais são as vulnerabilidades que

existem na empresa.

Análise de Riscos


28

Uma ameaça é uma situação de perigo a qual a empresa está

sujeita;

De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças:

- As ameaças intencionais;

- As não intencionais;

- As relacionadas aos equipamentos;

- E as relativas a um evento natural.

Ameaças


29

Ameaças intencionais: - São oriundas de pessoas que, por algum motivo, tem a intenção de

efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques;

Esta pessoa pode ser externa ou interna à empresa;

Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização;

Os invasores externos à organização são, em sua maioria, crackers e espiões industriais.

Tipos de ameaças


30

Ameaças não intencionais:

- Também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como um funcionário novo que ainda não foi informado dos procedimentos de segurança.

Tipos de ameaças


31

Ameaças relacionadas aos equipamentos:

- Nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento;

Um firewall que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede.

Tipos de ameaças


32

Depois de se fundamentar bem sobre a segurança das

informações, os objetivos, as ameaças, as vulnerabilidades, os

ataques e as ferramentas de

segurança, é chegada a hora entender como implementar uma

política de segurança e porque ela é importante.

Política de segurança


33

Uma política de segurança é um conjunto de regras que definem

a forma de uso dos recursos e das informações pelas pessoas

envolvidas no processo;

É a lei que rege a segurança das informações da empresa e deve

ser cumprida a todo custo, com vista a prezar pela organização,

controle e qualidade da segurança, evitando surpresas

indesejáveis.



34

Ela é criada dentro da própria corporação, atendendo as

necessidades já relacionadas na análise de riscos e se adequando

constantemente às mudanças na empresa no passar dos anos.



35

Todo funcionário deve estar ciente da política de segurança

local e sempre que uma pessoa nova passa a fazer parte do

grupo deve ser devidamente treinada e informada das regras e

punições.



36

Existem duas filosofias de política de segurança:

- A política de permissão;

- E a política de proibição.



37

A política de segurança pode conter outras

políticas específicas, como: Política de senhas:

- Define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.

Política de backup: - Define as regras sobre a realização de cópias de segurança, como

tipo de mídia utilizada, período de retenção e freqüência de execução.



38

Política de privacidade: - Define como são tratadas as informações pessoais, sejam elas de

clientes, usuários ou funcionários.

Política de confidencialidade:

- Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.

Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP):

- Também chamada de "Termo de Uso" ou "Termo de Serviço“;

- Define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.



39

Compartilhamento de senhas;

Divulgação de informações confidenciais;

Envio de boatos e mensagens contendo spam e códigos maliciosos;

Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;

Cópia e distribuição não autorizada de material protegido por direitos autorais;

Ataques a outros computadores;

Comprometimento de computadores ou redes;

Entre outros.

Algumas situações abusivas (não

aceitável)


40

Inicialmente tudo é permitido e só depois algumas coisas são

negadas;

A proibição é a exceção;

O funcionário recebe uma lista de proibições, o que não estiver na lista, é permitido;

Existem mais permissões que proibições, portanto é uma política mais aberta.

Na política de permissão:


41

Inicialmente proíbe-se tudo e aos poucos vão se dando algumas

permissões;

A permissão é a exceção;

O funcionário recebe uma lista de permissões, ou seja, o que ele pode fazer;

O que não constar na lista é proibido;

Existem mais proibições que permissões, portanto é uma política mais restritiva.

Já na política de proibição:


42

Principais Ameaças


43

Principais Obstáculos


44

Medidas de Segurança

Política de Segurança;

Política de utilização da Internet e Correio Eletrônico;

Política de instalação e utilização de softwares;

Plano de Classificação das Informações;

Auditoria;


45


Análise de Riscos;

Análise de Vulnerabilidades;

Análise da Política de Backup;

Plano de Ação Operacional;

Plano de Contingência;

Capacitação Técnica;

Processo de Conscientização dos Usuários.


46

Backups;

Antivírus;

Firewall;

Detecção de Intruso (IDS);

Servidor Proxy;

Filtros de Conteúdo;

Sistema de Backup;



47

Monitoração;

Sistema de Controle de Acesso;

Criptografia Forte;

Certificação Digital;

Teste de Invasão;

Segurança do acesso físico aos locais críticos.



48

Autorização, em segurança da informação, é o mecanismo

responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional;

Os recursos incluem:

- Arquivos;

- Programas de computador;

- Dispositivos de hardware;

- Funcionalidades disponibilizadas por aplicações instaladas em um sistema;

Nível de autorização


49

Proteção de perímetro;

Detecção de anomalias e intrusão;

Proteção contra infecção;

Identificação de vulnerabilidades;

Backup/recovery.

Defesas contra ameaças


50

Como funcionam?

- Realizam o monitoramento de redes;

- Plataformas e aplicações visando a detecção de atividades não

autorizadas;

- Ataques;

- Mau uso e outras anomalias de origem interna ou externa.

Detecção de anomalias e intrusão


51

Que tipos de métodos são empregados?

- Empregam métodos sofisticados de detecção que variam desde

o reconhecimento de assinaturas, que identificam padrões de

ataques conhecidos;

- Até a constatação de desvios nos padrões de uso habituais dos

recursos de informação.



52

Os Intrusion Detection Systems (IDS) são as ferramentas mais

utilizadas nesse contexto e atuam de maneira passiva, sem

realizar o bloqueio de um ataque, podendo atuar em conjunto

com outros elementos (ex.: firewalls) para que eles realizem o

bloqueio.



53

Uma evolução dos IDS são os Intrusion Prevention Systems

(IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques;

Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores.



54

Outras ferramentas importantes nesta categoria são:

- Os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao

longo da rede, utilizam informações de perfil de tráfego dos diversos

roteadores e switches para imediatamente detectar ataques desconhecidos,

ataques distribuídos (Distributed Denial of Service – DDoS) e propagação de

worms.



55

Garantem que os sistemas e os recursos de informação neles

contidos não sejam contaminados;

Incluem, principalmente, os antivírus e filtros de conteúdo.

Proteção contra infecção


56

Os antivírus ganham cada vez mais sofisticação, realizando a

detecção e combate de ameaças que vão além dos vírus,

incluindo trojans, worms, spyware e adware.

Proteção contra infecção


57

Ameaças relativas a um evento natural:

- Os fenômenos naturais e incidentes estão presentes no nosso cotidiano;

Muitas vezes são inevitáveis, não dependem da ação direta de pessoas para acontecer e normalmente não temos a quem responsabilizar, portanto cabe a segurança das informações proteger os equipamentos deste tipo de

Ameaça;

Tipos de ameaças


58

Exemplos de eventos naturais:

- Incêndio;

- Queda de energia;

- Terremoto;

- Enchente;

- Ventanias e até mesmo ataques terroristas nas proximidades, que apesar de nos parecer tão improváveis, são constantes em outros países.

Tipos de ameaças


59

Uma vulnerabilidade é uma falha que pode ser explorada para

se conseguir efetuar um ataque;

É importante que se conheça todas as vulnerabilidades

existentes na empresa, por menor que ela seja;

A partir da lista de vulnerabilidades existentes, podemos

perceber onde as ameaças podem aparecer.

Vejamos uma tabela que aponta possíveis vulnerabilidades e as

ameaças que podem surgir em cada uma delas:

Vulnerabilidades


60

Vulnerabilidade X Ameaça


61


Rhyan Ximenes 62

Professor: Rhyan Ximenes · 11 Auditor de Sistemas Experiência profissional e a necessidade de...

Documents

Transcript of Professor: Rhyan Ximenes · 11 Auditor de Sistemas Experiência profissional e a necessidade de...