Segurança Computacional. Rodrigo Fujioka

Transcrição

1 Segurança Computacional Rodrigo Fujioka

2 Segurança Computacional Auditoria da Tecnologia da Informação

3 Auditoria da Tecnologia da Informação A Auditoria da TI é uma auditoria operacional, analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade. A abrangência desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização do departamento de informática

4 Auditoria - Ambiente de Informática Segurança dos outros controles; Segurança física; Segurança lógica; Planejamento de contingências; Operação do centro de processamento de dados.

5 Auditoria Organização do Departamento de Informática Aspectos administrativos da organização; Políticas, padrões, procedimentos, responsabilidades organizacionais, gerência pessoal e planejamento de capacidade; Banco de dados; Redes de comunicação e computadores; Controle sobre aplicativos: Desenvolvimento, Entradas, processamento e saídas.

6 Sub-áreas da Auditoria de TI Auditoria da tecnologia da informação Auditoria da segurança de informações Auditoria de aplicativos

7 Auditoria da Tecnologia da Informação É abrangente, engloba todos os controles que podem influenciar a segurança de informação e o correto funcionamento dos sistemas de toda a organização: Controles organizacionais; De mudança; De operação de sistemas; Sobre Banco de Dados; Sobre microcomputadores; Sobre ambiente cliente-servidor.

8 Auditoria da Segurança de Informações Determina a postura da organização com relação à segurança. Avalia a política de segurança e controles relacionados com aspectos de segurança institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve: Avaliação da política de segurança; Controles de acesso lógico; Controles de acesso físicos; Controles ambientais; Planos de contingência e continuidade de serviços.

9 Auditoria de Aplicativos Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo atende: Controles sobre o desenvolvimento de sistemas aplicativos; Controles de entradas, processamento e saída de dados; Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida.

10 Segurança e Auditoria de Sistemas Equipe de Auditoria

11 Gerente da Equipe Habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI; determinar forma de atingir a capacitação e os métodos de treinamento mais eficazes.

12 Gerente da Equipe Conhecimentos necessários: Conhecimento na área (se possível experiência anterior) Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou serviços de consultoria técnica de informática. Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado para a realização da auditoria. Dependendo do âmbito (abrangência, profundidade) diferentes níveis de conhecimento podem ser exigidos, supridos pela equipe básica (interna) com treinamentos ou contratação de mão-de-obra especializada.

13 Gerente da Equipe Conhecimentos técnicos: Sistemas operacionais, Software básico, Banco de dados, Processamento distribuído, Software de controle de acesso, Segurança de informações, Plano e contingência, e de recuperação e Metodologias de desenvolvimento de sistemas.

14 Gerente da Equipe Conhecimentos em auditoria: Técnicas de auditoria, Software de auditoria e extração de dados Outras capacidades relevantes: Princípios Éticos, Bom relacionamento, Comunicação oral e escrita, Senso crítico, Conhecimento específico na área (finanças, pessoal, estoque...)

15 Composição da Equipe Opções para a formação da equipe: Consultoria externa Desenvolver a capacidade técnica de TI nos auditores Desenvolver técnicas de auditagem no pessoal de TI Dependendo do tamanho da organização, capacidade dos profissionais, prazos, objetivos e relação custo - beneficio uma das alternativas será eleita.

16 Consultoria Externa Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do trabalho) Consultores externos somente para tarefas específicas (conhecimento especializado). Pontos críticos: custos, contrato e controle sobre atividades. Definição de objetivos precisos e pontos de controle. Recomendável: bom relacionamento, transferência de conhecimentos. Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos membros da equipe e da gerencia da organização), com o objetivo de evitar as mesmas falhas no futuro.

17 Segurança e Auditoria de Sistemas Planejamento e Execução

18 Etapas da atuação do auditor de sistemas 1.Compreensão do ambiente 2.Análise do ambiente e determinação das situações mais sensíveis 3.Elaboração de uma massa de testes 4.Aplicação da massa de testes 5.Análise das situações 6.Emissão da opinião quanto ao ambiente auditado 7.Debate com os profissionais da área auditada para discussão das alternativas recomendadas 8.Acompanhamento da implantação da solução proposta 9.Auditoria da solução implantada 10. Novas auditorias no ambiente

19 Planejamento de atividades Plano estratégico de longo prazo Plano estratégico de médio prazo Plano operacional

20 Planejamento estratégico de longo prazo Período de 3 a 5 anos, objetivos amplos, abrange toda a instituição, aprovado pela alta gerência. Define metas de gerencia de auditoria da TI: Modo de atuação, Recursos (pessoal, equipamento, recursos financeiros), Necessidade de treinamento. É aconselhável revisar e atualizar o plano anualmente.

21 Planejamento estratégico de médio prazo Programa das atividades anuais gerados pelo plano de longo prazo, aprovado pela gerência intermediária. Define os objetivos macros das auditorias do ano seguinte, deve ser flexível para aceitar alterações necessárias.

22 Plano operacional Baseia-se nas auditorias individualizadas, contém detalhes exatos: objetivos a serem atingidos, áreas a serem auditadas, recursos necessários, prazos, objetivos de controle e procedimentos a serem seguidos. Plano específico de uma determinada auditoria.

23 Fases de uma auditoria genérica: Levantamento de auditoria Coleta de dados Análise de dados Opinião técnica

24 Planejamento e Execução Na fase de planejamento, são identificados os instrumentos necessários a sua execução: Recursos, Área de verificação, Metodologia, Objetivos de controle, Procedimentos, Pesquisa de fontes de informação, Acordo com a gerência.

25 Planejamento e Execução Pesquisa de fontes de informação Informações necessárias a elaboração do plano: Plataforma de hardware, Sistemas operacionais, Tipo de processamento, Metodologia de desenvolvimento, Principais sistemas, Entre outras

26 Planejamento e Execução Fontes: Relatórios de auditorias anteriores, Base de dados, Documentos ou páginas da entidade na Internet, Notícias publicadas na imprensa, Visitas anteriores e Relatórios de auditoria interna.

27 Definindo campo, âmbito e sub-áreas A partir das informações iniciais é definido o campo(objeto, período e natureza) Objeto: Sistema computacional específico(um ou vários), Departamento de informática, Toda a organização Políticas de informática Segurança de informação Período: Mês, semestre, ano, período fiscal Depende do âmbito(grau de profundidade) Não confundir com prazo Natureza: Auditoria de TI Enfoque operacional Aspectos econômicos, Eficiência e eficácia

28 Definindo campo, âmbito e sub-áreas Âmbito: Amplitude Exaustão Limitação racional Área: Delimita os temas da auditoria: área de verificação. É função do objeto e da natureza da auditoria. Pode ser subdividida em subáreas. Controles de acesso, Backup, Desenvolvimento de sistemas, Etc.

29 Definindo campo, âmbito e sub-áreas Uma vez definido campo, âmbito e sub-áreas, as fontes de informações devem ser revistas para consultas especializadas: Livros técnicos, Manuais de auditoria, Artigos especializados, Sites na Internet especializados em segurança, Outras áreas especializadas.

30 Acordo com a gerência Com o intuito de garantir um bom trabalho dos auditores e um resultado esperado pela organização, os detalhes do plano devem ser bem entendidos pela gerencia da instituição. Falsas expectativas Definições claras Recursos necessários Humanos, Econômicos e Técnicos