AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Transcrição

1 Segurança e Auditoria de Sistemas de Informação (TASAS) FUNDAMENTOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 2/3

2 AGENDA 1. GERENCIAMENTO DE RISCO 2. CONTROLES

3 FUNDAMENTOS DE AUDITORIA DE SI 1. GERENCIAMENTO DE RISCO

4 GERENCIAMENTO DE RISCO Monitora o grau de risco de um sistema de informação, expondo as ameaças e probabilidades de acontecer algo não desejado ou imprevisto Fig. 3

5 SITUAÇÃO CONSIDERE O SEGUINTE CENÁRIO Há uma rede de grande porte com diversos pontos de acesso: internet, filiais, extranet (parceiros) etc. Existem diversos tipos de ameaças às quais a rede está exposta: Falha humana intencional Falha humana não intencional Acidentes Fig. 4 Desastres naturais e ocorrências inesperadas

6 SITUAÇÃO (cont.) A rede de filiais está protegida por um firewall, possui banco de dados e servidor de autenticação, hospeda subredes de vendas, estoque e contabilidade Considere os dados envolvidos, hardware, software, instalações e RH sujeitos a diversas ameaças 1. Qual a probabilidade de algo ruim acontecer? 2. Quais as soluções e custos envolvidos (custo X benefício) p/ gestão do risco a um nível aceitável?

7 NÍVEIS DE RISCO RISCO PROBABILIDADE Baixíssimo Praticamente impossível Baixo Médio Alto Pode ocorrer uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano) Pode ocorrer uma vez em 100 dias (ou uma vez a cada dez dias) Pode ocorrer uma vez por dia (ou 10 vezes por dia) Fonte: MANOTTI, p. 24

8 NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

9 NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

10 NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

11 NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

12 NÍVEIS DE RISCO - Exemplo Fonte: adaptado de IMONIANA (2017).

13 MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).

14 MATRIZES DE RISCO Fonte: adaptado de IMONIANA (2017).

15 AMEAÇAS E CONSEQUÊNCIAS As ameaças e consequências mostram situações em que falhas, humanas ou não, acontecem nos SI e devem ser consideradas para uma boa auditoria Diversas metodologias são adotadas para análise de risco e avaliação de ameaças Cabe ao auditor escolher a mais adequada a cada situação A experiência vai determinar as melhores escolhas

16 AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA INTENCIONAL AMEAÇAS Acesso irrestrito a documentos eletrônicos Hackers, Crackers, Criminosos profissionais Vírus Espionagem industrial Fonte: adaptado de MANOTTI, p. 24 CONSEQUÊNCIAS Alteração, destruição indevida ou roubo de informações Custos de backup e recuperação de dados Interrupção dos negócios Vazamento de informações para concorrência Fig. 5

17 AMEAÇAS E CONSEQUÊNCIAS DE FALHA HUMANA NÃO INTENCIONAL AMEAÇAS Operador ou técnico incapaz Falhas no controle de entrada de dados Pessoal desmotivado Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Retrabalhos Perda de capital intelectual Fig. 6

18 AMEAÇAS E CONSEQUÊNCIAS DE ACIDENTES AMEAÇAS Falha no equipamento de ar-condicionado Desmoronamento do edifício Destruição de dados, discos, documentos, relatórios Rompimento de canos de água ou esgoto Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Paradas Perda dos dados Perda financeira Informações imprecisas Fig. 7

19 AMEAÇAS E CONSEQUÊNCIAS DE DESASTRES NATURAIS E OCORRÊNCIAS INESPERADAS AMEAÇAS Umidade Enchentes Tempestades/ trovões Variação de energia Fonte: adaptado de MANOTTI, p. 25 CONSEQUÊNCIAS Danos a equipamentos Ferimentos, perda de vidas Perda financeira Interrupção dos negócios Fig. 8

20 METODOLOGIA OCTAVE Metodologia pública/gratuita Desenvolvida pela Universidade Carnegie Mellon (EUA) Usada para a realização de Análise de Risco e Avaliação de ameaças, ativos e vulnerabilidades críticas

21 METODOLOGIA OCTAVE O PROCESSO Fig. 9

22 METODOLOGIA OCTAVE DESCRIÇÃO DO PROCESSO Fase 1: Visão Organizacional Ativos Ameaças Práticas atuais Vulnerabilidades organizacionais Requerimentos de segurança Fase 2: Visão Tecnológica Componentes-chave Vulnerabilidades técnicas Fase 3: Estratégia e Plano de Desenvolvimento Riscos Estratégia de proteção Planos de mitigação (atenuação)

23 O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (1/3) Ativos relacionados a informação importantes para a organização. Ex.: sistemas e infraestrutura de TI Foco na análise dos riscos nos ativos críticos, se suportam direta ou indiretamente a atividade-alvo da organização Relacionamentos entre ativos críticos, ameaças e vulnerabilidades (organizacionais e técnicas) Ex.: uma senha de administrador (ativo crítico) é divulgada/obtida indevidamente (vulnerabilidade), cai em mãos erradas (ameaça) e permite acesso indevido ao sistema contábil da organização (impacto)

24 O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (2/3) Grau de exposição dos ativos em contexto operacional, como os ativos conduzem os negócios e o risco envolvido na vulnerabilidade da segurança Estratégia de proteção para melhoria dos processos, como plano de implementação de controles (técnicos, operacionais) para mitigação (gerenciamento) Razão de custo X benefício, onde a implementação do controle seja sempre inferior ao montante das perdas ocasionais

25 O QUE AVALIAR EM UMA ANÁLISE DE RISCO DE TI (3/3) Depois que as ameaças potenciais são identificadas, devem ser reduzidas a um subconjunto de ameaças relevantes a um ambiente de TI específico A identificação dos riscos significativos assegura que a empresa alocará de forma adequada seus recursos às medidas de segurança para os riscos identificados

26 FUNDAMENTOS DE AUDITORIA DE SI 2. CONTROLES

27 CONTROLES GERAIS DE TI Situação-exemplo: Melhorar o relacionamento e exceder em 20% o número de clientes Quais as necessidades operacionais a serem consideradas para atingir o objetivo: Aumento da capacidade de processamento? Aumento da banda larga nos links de comunicação? Maior número de canais de comunicação (Internet, Extranet, WAP)? Quais os riscos a serem assumidos para atingir esse objetivo: Trabalhar com nível limite de processamento? Maior exposição a ataque de hackers? Maior possibilidade de fraudes?

28 COMO OS CONTROLES GERENCIAM OS RISCOS ATIVIDADES DE CONTROLE: Planejamento de capacidade Monitoração da largura de banda (desempenho/disponibilidade) Adoção de métodos de autenticação forte (biometria/senhas fortes) Gerenciamento de incidentes CONTROLES consistem nas políticas e procedimentos que ajudam a garantir que as estratégias de negócio sejam atendidas, com ações necessárias para gestão de riscos inerentes a estas estratégias Deve haver garantia que estes procedimentos sejam periodicamente executados a fim de assegurar a aderência ao respectivo controle

29 TIPOS DE CONTROLE 1/8 CONTROLES PREVENTIVOS Prevenção do problema Segregação física do CPD (porta-cofre) Segregação lógica da rede Inteligência artificial (análise de comportamento do cliente) para evitar fraudes Ex.: João tenta usar cartão de crédito às 3h da manhã para comprar R$ 8.000,00 em carne no açougue

30 TIPOS DE CONTROLE 2/8 CONTROLES DETECTIVOS Detecção do problema Identificação de tráfego suspeito na rede Análise forense Trilhas de auditoria Logs de firewall Sensores de detecção de incêndio

31 TIPOS DE CONTROLE 3/8 CONTROLES CORRETIVOS Correção do problema antes das perdas ocorrerem Verificar integridade das informações em aplicativos Ex.: sistema de plano de saúde realiza indevidamente lançamentos de ginecologia para pacientes homens

32 TIPOS DE CONTROLE 4/8 GARANTIR A SEGURANÇA DE SISTEMAS Grande importância devido ao crescimento do uso de diversas redes de comunicação (voz e dados) Maior eficácia nos controles permite maior confiança nas comunicações e servidores, prevenindo acessos não autorizados, invasões por crackers, hackers etc.

33 TIPOS DE CONTROLE 5/8 GERENCIAR DADOS Controles de processamento das informações nos aplicativos Visam garantir integridade e confiabilidade às transações realizadas

34 TIPOS DE CONTROLE 6/8 GERENCIAR OPERAÇÕES Controle de programação e execução de tarefas dos operadores Monitoração do desempenho Procedimentos de contingência Gerenciamento e planejamento da capacidade do ambiente de TI Uso de recursos computacionais e de comunicação (processamento, largura de banda etc.)

35 TIPOS DE CONTROLE 7/8 GERENCIAR CONFIGURAÇÕES Eficácia dos controles de aquisição, implementação e manutenção dos sistemas operacionais, banco de dados, telecomunicações e utilitários de segurança

36 TIPOS DE CONTROLE 8/8 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS APLICATIVOS Uso de boas práticas de desenvolvimento e mapeamento dos controles de segurança, conforme o risco do processo a ser automatizado Visam racionalizar o alto custo operacional na implementação destes, após o desenho e implementação dos sistemas de informação da empresa

37 REFERÊNCIAS IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2ª ed. 6ª reimpr. São Paulo: Atlas, pp. LEITE, Dirceu. Fundamentos de Auditoria de SI. Slides. Disponível offline. MANOTTI, Alessandro. Curso Prático de Auditoria de Sistemas. Rio de Janeiro: Ciência Moderna, pp. BASTOS, L.R. Auditoria de Sistemas: aula 1. Disponível em: < Acesso em 15 abr IMAGENS Fig. 1: Fig. 2: Fig. 3: Fig. 4: Fig. 5: Fig. 6: Fig. 7: Fig. 8: Fig. 9: Fig. 10: Fig. 11: Fig. 12: adaptado de Fig. A: adaptado de

38 112