Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia

Tamanho: px

Começar a partir da página:

Download "Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia"

Orlando Silveira Costa
7 Há anos
Visualizações:

1 Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia 1

2 Motivação Violação do Painel do Senado Federal Alterando e registrava votos de senadores ausentes, por exemplo, cassação do Luís Estêvão. Regina Célia Borges, diretora da Prodasen, adulterou mecanismo que preservava sigilo dos senadores. Auditoria de profissionais da Unicamp detectou que o sistema era seguro contra ações externas mas vulnerável a agentes do próprio sistema.

3 O que é Auditoria? Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.

4 Quem faz a Auditoria? Auditoria Interna: realizada por departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Auditoria Externa: realizada por instituição externa e independente da entidade fiscalizada Auditoria Articulada: Trabalho conjunto de auditorias internas e externas.

5 Como fazer auditoria? Auditoria Horizontal: Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. Auditoria Orientada: Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes.

6 Onde fazer auditoria? Auditoria de programas de governo Auditoria de planejamento estratégico Auditorias administrativa, contábil, financeira, legalidade Auditoria operacional... Auditoria de Tecnologia da Informação

7 Auditoria de Tecnologia da Informação É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade.

8 Auditoria de Tecnologia da Informação Auditoria da Segurança de Informações Auditoria da Tecnologia da Informação Auditoria de Aplicativos

9 Auditoria de Tecnologia da Informação Auditoria da Segurança de Informações Auditoria da Tecnologia da Informação Auditoria de Aplicativos

10 Auditoria de Segurança das Informações Determina a postura da organização com relação à segurança das suas informações.

11 Auditoria de Segurança das Informações Qual o escopo da avaliação? Avaliação da política de segurança Controles de acesso lógico Controles de acesso físico Controles ambientais Planos de contingências e continuidade dos serviços

12 Auditoria de Tecnologia da Informação Auditoria da Segurança de Informações Auditoria da Tecnologia da Informação Auditoria de Aplicativos

13 Auditoria da Tecnologia da Informação Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização.

14 Auditoria da Tecnologia da Informação Qual o escopo da avaliação? Organizacionais De mudanças De operação dos sistemas Sobre bancos de dados Sobre computadores Sobre ambientes cliente-servidor

15 Auditoria de Tecnologia da Informação Auditoria da Segurança de Informações Auditoria da Tecnologia da Informação Auditoria de Aplicativos

16 Auditoria de Aplicativos Voltada para a segurança e o controle de aplicativos específicos.

17 Auditoria de Aplicativos Qual o escopo da avaliação? Desenvolvimento de sistemas aplicativos Entrada, processamento e saída de dados Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida

18 Fases da Auditoria Planejamento Execução Relatório

19 Fases da Auditoria Planejamento Execução Relatório

20 Planejamento da Auditoria Pesquisar Fontes de Informação Definir Campo, Âmbito e Sub-Áreas Definir os Recursos Necessários Metodologia Definir Objetivos e Procedimentos

21 Pesquisar Fontes de Informação Deixar o máximo de informações disponíveis. Estabelecer os recursos e conhecimentos técnicos necessários. Exemplos: hardware, SO, sistemas de segurança, aplicativos e responsáveis pela área.

22 Definir Campo, Âmbito e Sub-Áreas Área de Verificação DEPARTAMENTO DE INFORMÁTICA Âmbito Avaliação da eficácia dos controles Campo Objeto Período Naturez a Segurança de informações 01/08 a 30/09/2002 Audit. TI Sub 1 Sub 2 Sub 3 Controles de Acesso Físico Controles de Acesso Lógico Backup

23 Definir os Recursos Necessários Humanos: equipe escolhida de acordo com o grau de complexidade, componentes e ferramentas utilizadas. Econômicos: previsão de gastos. Técnicos: levantar dispositivos de hardware, software e documentos técnicos a serem utilizados.

24 Definir a Metodologia Entrevistas: utilizadas para apresentação, coleta de dados, discussão e encerramento. Técnicas e Ferramentas Verificação de Controles de Sistemas: sistemas operando de forma correta e produzindo dados fidedignos. Exemplo: simulações, comparação de programas, mapeamento e rastreamento do processamento. Análise dos Dados: Amostragens e Logs.

25 O que são Logs? Conjuntos de software que residem dentro dos sistemas de importância subestimada que ajudam a solucionar problemas, detectar anomalias na rede, rastrear os passos de um invasor ou ajudar a solidificar seu caso em um tribunal caso seja necessário.

26 Definir Objetivos e Metodologia Norteiam a auditoria em várias áreas especializadas e organizacionais. Avaliador deve utilizar um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita. O modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica.

27 Fases da Auditoria Planejamento Execução Relatório

28 Execução da Auditoria Equipe deve reunir evidências confiáveis, relevantes e úteis para os objetivos da auditoria. Todas essas evidências devem estar organizadas nos papéis de trabalhos, para facilitar a elaboração do relatório.

29 Execução da Auditoria Tipos de Evidências: Físicas Documentárias Fornecidas pelo Auditado Analíticas (comparações, cálculos, etc)

30 Fases da Auditoria Planejamento Execução Relatório

31 Relatório O relatório final deve conter evidências, conclusões, recomendações e determinações. Deve ser claro, objetivo, sem uso exagerado de termos técnicos. Estrutura Típica: Dados da entidade auditada Resumo Dados da auditoria Não-conformidades detectadas Conclusão

32 Referências C. Dias. Segurança e Auditoria da Tecnologia da Informação. Axcel Books, LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação.

Documentos relacionados

Conteúdo Programático Completo

Conteúdo Programático Completo 1. ORIENTAÇÕES MANDATÓRIAS 1.1 Padrões Aplicáveis 1.1.1 Orientações Mandatórias 1.1.2 Orientações Fortemente Recomendadas 1.1.3 Representação Gráfica da Hierarquia das Normas