Professor: Rhyan Ximenes

Transcrição

1 Professor: Rhyan Ximenes

2

3 Auditoria de Sistemas É uma atividade independente que tem como missão o gerenciamento de risco operacional envolvido; Avaliar a adequação das tecnologias e sistemas de informação utilizados na organização através da: Revisão e avaliação dos controles; Desenvolvimento de sistemas; Rhyan Ximenes prof. 3

4 Auditoria de Sistemas Procedimentos de TI; Infraestrutura; Operação; Desempenho e segurança da informação que envolve o processamento de informações críticas para a tomada de decisão. Rhyan Ximenes prof. 4

5 Auditor de Sistemas Verifica a eficácia dos controles e procedimentos de segurança existentes; A eficiência dos processos em uso; Da correta utilização dos recursos disponíveis; Rhyan Ximenes prof. 5

6 Auditor de Sistemas Assessoramento a administração na elaboração de planos e definição de metas; Colaboração no aperfeiçoamento dos controles internos, apontando deficiências e irregularidades que possam comprometer a segurança e o desempenho organizacional. Rhyan Ximenes prof. 6

7 Auditor de Sistemas O auditor de sistemas tem de se aprimorar com o campo de atuação (processos); Atua no processo de extração de informações; Análise de banco de dados e suportar decisões das demais áreas de auditoria. Rhyan Ximenes prof. 7

8 A necessidade global de referências nesse assunto, para o exercício dessa profissão, promoveram a criação e desenvolvimento de melhores práticas como: COBIT; COSO; ISSO 27001; ITIL. Auditor de Sistemas Rhyan Ximenes prof. 8

9 Auditor de Sistemas A formação acadêmica do auditor de sistemas pelos motivos acima acaba sendo multidisciplinar: Análise de sistemas; Ciência de Computação; Administração com ênfase em TI; Advocacia com foco em Direito da Informática - direito digital e correlatos. Rhyan Ximenes prof. 9

10 Auditor de Sistemas Certificação CISA Certified Information Systems Auditor, oferecida pela ISACA Information Systems and Control Association; É uma das mais reconhecidas e avaliadas por organismos internacionais; Rhyan Ximenes prof. 10

11 Auditor de Sistemas Processo de seleção consta de uma prova extensa que requer: Conhecimentos avançados; Rhyan Ximenes prof. 11

12 Auditor de Sistemas Experiência profissional e a necessidade de manter-se sempre atualizado; Através de uma política de educação continuada (CPE) na qual o portador da certificação deve acumular carga horária de treinamento por período estabelecido. Rhyan Ximenes prof. 12

13 Auditoria de Sistemas Aborda aspectos como: Integridade; Disponibilidade; Confidencialidade; Aderência às normas (conformidade); Obs.: Sistemas ainda em desenvolvimento podem ser avaliados e acompanhados. Rhyan Ximenes prof. 13

14 Auditoria de Sistemas Entrada; Processamento e saída de dados; Efetividade; Satisfação e usabilidade de um sistema de informação em particular. Rhyan Ximenes prof. 14

15 Ferramentas de Auditoria São baseadas nos instrumentos desenvolvidos e aplicados na auditoria externa; São instrumentos que o auditor possui para atingir suas metas, definidas no planejamento de auditoria, independente do tipo de auditoria praticada; As ferramentas de auditoria podem ser classificadas em: Generalistas, Especializadas e de utilidade geral. Rhyan Ximenes prof. 15

16 Ferramentas generalistas São softwares que podem processar, simular, analisar amostras, gerar dados estatísticos, sumarizar e outras funções que o auditor desejar; Vantagens: Pode processar diversos arquivos ao mesmo tempo; Processa vários tipos de arquivos em vários formatos; Permite integração sistêmica com vários tipos de softwares e hardwares; Reduz a dependência do auditor em relação ao especialista de informática. Rhyan Ximenes prof. 16

17 Ferramentas generalistas São softwares que podem processar, simular, analisar amostras, gerar dados estatísticos, sumarizar e outras funções que o auditor desejar; Desvantagens: O processamento das aplicações envolve gravação de dados em separado para serem analisados em ambientes distintos, poucas aplicações poderiam ser feitas em ambiente online; Se o auditor precisar rodar cálculos complexos, o software não poderá dar esse apoio; Entre outros. Rhyan Ximenes prof. 17

18 Ferramentas generalistas Audit Command Language (ACL): Ferramenta mais modernas para extração de informações de banco de dados, tratamento e análise; Detecção de erros e riscos gerais do negócio associados a dados transacionais incompletos, imprecisos e inconsistentes; O diferencial em ao Excel e Access é o fato de trabalhar com grandes volumes de transações distribuídas em diversas operações e em sistemas diferentes. Rhyan Ximenes prof. 18

19 Ferramentas generalistas Interactive Data Extraction & Analisys (IDEA): É um software para extração e análise de dados utilizado para controles internos e detecção de fraudes; Vantagens: Cria um registro de todas as alterações feitas em um arquivo (banco de dados) e mantém uma trilha de auditoria com registro das operações; Permite importar e exportar dados em uma variedade de formatos; Pode ler e processar milhões de discos em poucos segundos; Rhyan Ximenes prof. 19

20 Ferramentas generalistas Pentana: Permite a realização de planejamento de auditoria, planejamento e monitoramento de recursos, controle de horas, registro de check-lists, programas de auditoria, desenho e gerenciamento de plano de ação etc. Útil para governança, controle de riscos e adequação as leis. Rhyan Ximenes prof. 20

21 Ferramentas generalistas Pentana: Características: Apresenta resultados em gráficos coloridos com alta resolução; Produz relatórios sensíveis ao contexto e popula automaticamente documentos MS Office com base em relatórios de auditoria e formulários; Gera relatórios em tempo real em todas as linhas de negócios; Entre tantos outros. Rhyan Ximenes prof. 21

22 Ferramentas especializadas São softwares desenvolvidos especialmente para executar certas tarefas em uma circunstância definida; O software pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro contratado pelo auditor; Rhyan Ximenes prof. 22

23 Ferramentas especializadas Vantagem: Atende a demandas mais específicas, como crédito imobiliário, leasing, cartão de crédito e outras funções que exijam tarefas especializadas no segmento de mercado; Desvantagens: Pode ser muito caro, uma vez que seu uso será limitado ou restrito a apenas um cliente; As atualizações deste software podem transformar-se em um problema. Rhyan Ximenes prof. 23

24 Ferramentas de utilidade geral São softwares utilitários utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc.; Não foram desenvolvidos para executar trabalhos de auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria; Vantagem: Podem ser utilizadas como quebra-galho na ausência de outros recursos. Rhyan Ximenes prof. 24

25

26 Análise de Riscos Antes de tudo é necessário fazer um levantamento dos riscos para delimitar o nível de risco em que a empresa está; Só depois é traçado um nível de risco aceitável, que é aquele em que a empresa pode funcionar. 26

27 Análise de Riscos Que cuidados deve-se ter? - Na avaliação do risco aceitável, é necessário cuidado ao se aceitar um determinado risco, mas se não for possível minimizá-lo, é importante que se tenha um plano de resposta a incidentes. 27

28 Análise de Riscos É fato que não é possível eliminar totalmente um risco que está inserido no cenário da empresa, mas é possível minimizá-lo; Para isso, temos que conhecer bem quais são as ameaças a que a empresa está susceptível e quais são as vulnerabilidades que existem na empresa. 28

29 Ameaças Uma ameaça é uma situação de perigo a qual a empresa está sujeita; De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças: - As ameaças intencionais; - As não intencionais; - As relacionadas aos equipamentos; - E as relativas a um evento natural. 29

30 Tipos de ameaças Ameaças intencionais: - São oriundas de pessoas que, por algum motivo, tem a intenção de efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques; Esta pessoa pode ser externa ou interna à empresa; Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização; Os invasores externos à organização são, em sua maioria, crackers e espiões industriais. 30

31 Tipos de ameaças Ameaças não intencionais: - Também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como um funcionário novo que ainda não foi informado dos procedimentos de segurança. 31

32 Tipos de ameaças Ameaças relacionadas aos equipamentos: - Nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento; Um firewall que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede. 32

33 Política de segurança Depois de se fundamentar bem sobre a segurança das informações, os objetivos, as ameaças, as vulnerabilidades, os ataques e as ferramentas de segurança, é chegada a hora entender como implementar uma política de segurança e porque ela é importante. 33

34 Política de segurança Uma política de segurança é um conjunto de regras que definem a forma de uso dos recursos e das informações pelas pessoas envolvidas no processo; É a lei que rege a segurança das informações da empresa e deve ser cumprida a todo custo, com vista a prezar pela organização, controle e qualidade da segurança, evitando surpresas indesejáveis. 34

35 Política de segurança Ela é criada dentro da própria corporação, atendendo as necessidades já relacionadas na análise de riscos e se adequando constantemente às mudanças na empresa no passar dos anos. 35

36 Política de segurança Todo funcionário deve estar ciente da política de segurança local e sempre que uma pessoa nova passa a fazer parte do grupo deve ser devidamente treinada e informada das regras e punições. 36

37 Política de segurança Existem duas filosofias de política de segurança: - A política de permissão; - E a política de proibição. 37

38 Política de segurança A política de segurança pode conter outras políticas específicas, como: Política de senhas: - Define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. Política de backup: - Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e freqüência de execução. 38

39 Política de segurança Política de privacidade: - Define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários. Política de confidencialidade: - Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): - Também chamada de "Termo de Uso" ou "Termo de Serviço ; - Define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. 39

40 Algumas situações abusivas (não aceitável) Compartilhamento de senhas; Divulgação de informações confidenciais; Envio de boatos e mensagens contendo spam e códigos maliciosos; Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém; Cópia e distribuição não autorizada de material protegido por direitos autorais; Ataques a outros computadores; Comprometimento de computadores ou redes; Entre outros. 40

41 Na política de permissão: Inicialmente tudo é permitido e só depois algumas coisas são negadas; A proibição é a exceção; O funcionário recebe uma lista de proibições, o que não estiver na lista, é permitido; Existem mais permissões que proibições, portanto é uma política mais aberta. 41

42 Já na política de proibição: Inicialmente proíbe-se tudo e aos poucos vão se dando algumas permissões; A permissão é a exceção; O funcionário recebe uma lista de permissões, ou seja, o que ele pode fazer; O que não constar na lista é proibido; Existem mais proibições que permissões, portanto é uma política mais restritiva. 42

43 Principais Ameaças 43

44 Principais Obstáculos 44

45 Medidas de Segurança Política de Segurança; Política de utilização da Internet e Correio Eletrônico; Política de instalação e utilização de softwares; Plano de Classificação das Informações; Auditoria; 45

46 Medidas de Segurança Análise de Riscos; Análise de Vulnerabilidades; Análise da Política de Backup; Plano de Ação Operacional; Plano de Contingência; Capacitação Técnica; Processo de Conscientização dos Usuários. 46

47 Medidas de Segurança Backups; Antivírus; Firewall; Detecção de Intruso (IDS); Servidor Proxy; Filtros de Conteúdo; Sistema de Backup; 47

48 Medidas de Segurança Monitoração; Sistema de Controle de Acesso; Criptografia Forte; Certificação Digital; Teste de Invasão; Segurança do acesso físico aos locais críticos. 48

49 Nível de autorização Autorização, em segurança da informação, é o mecanismo responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional; Os recursos incluem: - Arquivos; - Programas de computador; - Dispositivos de hardware; - Funcionalidades disponibilizadas por aplicações instaladas em um sistema; 49

50 Defesas contra ameaças Proteção de perímetro; Detecção de anomalias e intrusão; Proteção contra infecção; Identificação de vulnerabilidades; Backup/recovery. 50

51 Como funcionam? - Realizam o monitoramento de redes; - Plataformas e aplicações visando a detecção de atividades não autorizadas; - Ataques; Detecção de anomalias e intrusão - Mau uso e outras anomalias de origem interna ou externa. 51

52 Detecção de anomalias e intrusão Que tipos de métodos são empregados? - Empregam métodos sofisticados de detecção que variam desde o reconhecimento de assinaturas, que identificam padrões de ataques conhecidos; - Até a constatação de desvios nos padrões de uso habituais dos recursos de informação. 52

53 Detecção de anomalias e intrusão Os Intrusion Detection Systems (IDS) são as ferramentas mais utilizadas nesse contexto e atuam de maneira passiva, sem realizar o bloqueio de um ataque, podendo atuar em conjunto com outros elementos (ex.: firewalls) para que eles realizem o bloqueio. 53

54 Detecção de anomalias e intrusão Uma evolução dos IDS são os Intrusion Prevention Systems (IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques; Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores. 54

55 Detecção de anomalias e intrusão Outras ferramentas importantes nesta categoria são: - Os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao longo da rede, utilizam informações de perfil de tráfego dos diversos roteadores e switches para imediatamente detectar ataques desconhecidos, ataques distribuídos (Distributed Denial of Service DDoS) e propagação de worms. 55

56 Proteção contra infecção Garantem que os sistemas e os recursos de informação neles contidos não sejam contaminados; Incluem, principalmente, os antivírus e filtros de conteúdo. 56

57 Proteção contra infecção Os antivírus ganham cada vez mais sofisticação, realizando a detecção e combate de ameaças que vão além dos vírus, incluindo trojans, worms, spyware e adware. 57

58 Tipos de ameaças Ameaças relativas a um evento natural: - Os fenômenos naturais e incidentes estão presentes no nosso cotidiano; Muitas vezes são inevitáveis, não dependem da ação direta de pessoas para acontecer e normalmente não temos a quem responsabilizar, portanto cabe a segurança das informações proteger os equipamentos deste tipo de Ameaça; 58

59 Tipos de ameaças Exemplos de eventos naturais: - Incêndio; - Queda de energia; - Terremoto; - Enchente; - Ventanias e até mesmo ataques terroristas nas proximidades, que apesar de nos parecer tão improváveis, são constantes em outros países. 59

60 Vulnerabilidades Uma vulnerabilidade é uma falha que pode ser explorada para se conseguir efetuar um ataque; É importante que se conheça todas as vulnerabilidades existentes na empresa, por menor que ela seja; A partir da lista de vulnerabilidades existentes, podemos perceber onde as ameaças podem aparecer. Vejamos uma tabela que aponta possíveis vulnerabilidades e as ameaças que podem surgir em cada uma delas: 60

61 Vulnerabilidade X Ameaça 61

62 Rhyan Ximenes prof. 62