Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Transcrição

1 Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU

2 Aula passada

3 Pergunta É possível saber se as normas, políticas, procedimentos, processos e controles adotados estão funcionando de acordo? Como? Resposta: investigando criteriosamente tais controles! Ou seja, realizando auditorias.

4 Definição A auditoria de segurança de informação é uma atividade devidamente estruturada para examinar criteriosamente a situação de controles que se aplicam à segurança da informação. A atividade deve ser feita por um profissional devidamente qualificado, que irá expressar sua opinião acerca de uma determinada situação, e ao final do processo irá criar um relatório ou parecer.

5 Características O auditor deve: empregar práticas geralmente aceitas, baseadas em um método racional; lidar com responsabilidade e princípios éticos perante os clientes; agir com independência no que se refere à investigação e produção do relato. Exemplos de auditoria de segurança da informação: Testes de invasão; Investigações de ataques (perícias forense).

6 Objetivos 1. Atestar que os controles de segurança em prática são eficientes; 2. Evitar a exposição da organização a riscos que podem provocar danos, se concretizados. No caso de sistemas expostos à Internet, os controles evitam que a organização esteja sujeita a ataques de hackers.

7 Metodologia de Auditoria

8 Tópicos Metodologia de Auditoria de Sistemas de Informação; Metodologia de Auditoria de Segurança da Informação.

9 Metodologiade Auditoria de Sistemas de Informação

10 Tipos de Auditoria 1. Auditoria durante o desenvolvimento de sistemas; 2. Auditoria de sistemas em produção; 3. Auditoria no ambiente tecnológico. 4. Auditoria em eventos específicos.

11 Auditoria durante o desenvolvimento de sistemas Consiste em: Auditar todo o processo de construção de sistemas de informação; Requisitos até a implantação; Auditar também o próprio processo ou metodologia de desenvolvimento.

12 Auditoria de sistemas em produção Consiste em auditar: Procedimentos e resultados dos sistemas já implantados; Segurança, corretude e tolerância a falhas.

13 Auditoria no ambiente tecnológico Consiste em analisar o ambiente de informática em termos de: Estrutura organizacional; Contratos; Normas técnicas; Custos; Nível de utilização de equipamentos; Políticas de segurança; Planos de contingência.

14 Auditoria em eventos específicos Compreende a análise das causas, conseqüências e ações corretivas cabíveis em eventos não cobertos por auditorias anteriores; Dois tipos de eventos: Eventos detectados por outros órgãos e entidades externas; Evento específico e localizado.

15 Metodologiade Auditoria de Sistemasde Informação Maurício Rocha Lyra (2008) propõe a seguinte metodologia, flexível e aderente aos quatro tipos de modalidades de auditoria: 1. Planejamento e controle do projeto de auditoria de sistemas de informação; 2. Levantamento do sistema de informação a ser auditado; 3. Identificação e inventário dos pontos de controle; 4. Priorização e seleção dos pontos de controle do sistema auditado; 5. Avaliação dos pontos de controle; 6. Conclusão da auditoria; 7. Acompanhamento da auditoria.

16 1) Planejamento e controle do projeto de auditoria de sistemas de informação Estabelecimento do planejamento inicial das ações e recursos necessários para a auditoria; Delimitar o escopo da auditoria e os sistemas a serem auditados; Recomenda-se formar uma equipe de trabalho com dois grupos: coordenação e execução; Métodos de planejamento consagrados, como o PMBOK, podem ser utilizados para auxiliar no planejamento das atividades.

17 2) Levantamento do sistema de informação a ser auditado Investigação das informações relevantes sobre o sistema alvo da auditoria; Iniciar o levantamento usando uma abordagem abrangente para fornecer uma visão global do sistema; Realizar entrevistas; Analisar a documentação existente: Diagramas MER; Dicionário de dados; Diagramas de classe; Normas e políticas.

18 3) Identificação e inventário dos pontos de controle Identificar os diversos pontos de controle que merecem ser validados no contexto do sistema escolhido; Cada ponto de controle deve ser relacionado, e seus objetivos, descritos, assim como as funções que eles exercem no sistema; Pontos de controle - situações do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação instalações físicas a senhas de acesso aos sistemas.

19 3) Identificação e inventário dos pontos de controle - Exemplos Suponha que uma auditoria sobre um ataque de negação de serviço do site da um organização esteja em curso. Após o planejamento e o levantamento de informações, os pontos de controle devem ser identificados. Nesse caso, alguns pontos de controle incluem: 1. Código do site da organização; 2. Datacenter; 3. Política de segurança referente aos controles de acesso; 4. Empresa que desenvolveu o site da organização; 5. Firewall da organização.

20 4) Priorização e seleção dos pontos de controle do sistema auditado Priorizar os pontos que foram selecionados na etapa anterior com base em: Grau de risco existente no ponto; Existência de ameaças; Disponibilidade dos recursos; A priorização deverá ser revisada ao longo do trabalho.

21 5) Avaliação dos pontos de controle Auditoria propriamente dita; Realizar testes de validação dos pontos de controle seguindo as especificações determinadas anteriormente; Aplicar técnicas de auditoria que evidenciem falhas ou fraquezas do controle interno.

22 6) Conclusão da auditoria Após a execução dos testes de validação dos pontos de controle, deve-se elaborar um relatório de auditoria; O relatório deve conter o diagnóstico da situação atual dos pontos de controle; Cada ponto de controle deverá sofrer revisão e avaliação, após um prazo dado para tomada de medidas corretivas.

23 7) Acompanhamento da auditoria Também chamada de follow-up; O acompanhamento da auditoria deve ser efetuado até que todas as recomendações tenham sido executadas ou até um nível tolerável pela organização.

24 Metodologiade Auditoria de Segurança da Informação

25 Metodologia de Auditoria de Segurança da Informação Rodrigues e Fernandes (2009) propõem o seguinte processo simplificado para auditoria de segurança da informação: 1. Gestão do projeto ou do programa de auditoria; 2. Decisão sobre o propósito da auditoria; 3. Identificação de objetos e pontos de controle; 4. Definição de técnicas para obter evidências e procedimentos de controle; 5. Montagem da roteirização de auditoria; 6. Coleta e registro de evidências em papéis de trabalho; 7. Verificação, validação e avaliação de evidências; 8. Produção de pareceres e outros entregáveis; 9. Acompanhamento pós-auditoria.

26 Diferenças entre as metodologias 1. Gestão do projeto ou do programa de auditoria; 2. Decisão sobre o propósito da auditoria; 3. Identificação de objetos e pontos de controle; 4. Definição de técnicas para obter evidências e procedimentos de controle; 5. Montagem da roteirização de auditoria; 6. Coleta e registro de evidências em papéis de trabalho; 7. Verificação, validação e avaliação de evidências; 8. Produção de pareceres e outros entregáveis; 9. Acompanhamento pós-auditoria.

27 4) Definição de técnicas para obter evidências e procedimentos de controle Exemplos de técnicas gerais para a obtenção de evidências numa auditoria: 1. Entrevista e questionário; Análise documental; Conferência de cálculos; 4. Cruzamento ou correlação de informações; 5. Exame ou inspeção física; 6. Observação direta da atividade/sistema; 7. Corte das operações e o rastreamento.

28 4) Definição de técnicas para obter evidências e procedimentos de controle Procedimentos de controle são conjuntos de verificações que permitem obter evidências para analisar as informações; Dois tipos de procedimentos de controle (testes): Testes de controle (observância) - executados por meio de observação do funcionamento dos controles existentes, e visam obter razoável confiança de que os controles estão em efetivo funcionamento e cumprimento; Testes substantivos - demandam mais criatividade e esforço do auditor e são aplicados quando há dúvidas acerca da adequação do controle já testado.

29 5) Montagem da roteirização da auditoria Roteiro dos procedimentos e testes que serão ou poderão ser executados pelo auditor; A roteirização é montada para uniformizar procedimentos e usar de forma eficiente o tempo em que estará no ambiente do auditado; A roteirização descreve a seqüência de passos a seguir, e deve ser sucinta e objetiva, para facilitar a execução pelo auditor.

30 6) Coleta e registro de evidências em papéis de trabalho A coleta é feita no ambiente auditado; A roteirização detalhada orienta as ações dos auditores em campo durante a coleta e análise de evidências; Papeis de trabalho: constituem os registros das evidências, ações e decisões realizadas pelo auditor. São preparados no ambiente do auditado, mas são de propriedade do auditor. Exemplos: Formulários preenchidos com a execução da roteirização; Registros de análises e testes de controle e outras anotações de interesse.

31 Exemplo de relatório de auditoria

32 Exemplo Relatório de auditoria interna produzido pelo DTIC do IFSC: