Apostila Auditoria Segurança V8

AUDITORIA E SEGURANA DE SISTEMAS Prof.
Biluka
AUDITORIA E SEGURANA DE SISTEMAS

CONCEITOS E ORGANIZAO DA AUDITORIA
Auditoria: - exame comprobatrio relativo s atividades contbeis e financeiras de uma empresa ou instituio; auditagem. Auditor: - que ou aquele que ouve; ouvinte; - tcnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de sua especialidade; - perito de contabilidade a quem se d a incumbncia de examinar minuciosamente e dar parecer sobre as operaes contbeis de uma empresa ou instituio, atestando a correo ou incorreo das mesmas e a veracidade do balano geral; - magistrado, juiz togado com jurisdio privativa ou cumulativa na Justia Militar. Conceitos de bsicos A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. A atividade de auditoria pode ser divida em trs fases: planejamento, execuo e relatrio. Campo, mbito e rea. O campo da auditoria compe-se de aspectos como: objeto a ser fiscalizado, perodo e natureza da auditoria. Objeto: entidade a ser auditada (completa ou parcialmente, rgo ou funo). Perodo: espao de tempo sobre o qual a auditoria ir atuar. Natureza: o tipo de auditoria executada numa entidade. O mbito da auditoria constitui-se da amplitude e exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados, nvel de aprofundamento e grau de abrangncia. A rea de verificao o conjunto formado por campo e mbito de auditoria. A rea delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria.
Fonte: Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000 Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004 Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
-1-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

Objeto
Camp o rea de Verificao mbit o
Perodo Natureza
Sub 1
Sub 2
Sub 3
Controles, objetivos de controle, procedimentos, achados de auditoria, papis de trabalho e recomendaes de auditoria. O controle a monitorao, fiscalizao ou exame minucioso, que obedece a determinadas expectativas, normas, convenes sobre as atividades de pessoas, rgos, ou sobre produtos a fim de no haver se desviarem das normas preestabelecidas. Podemos classificar os controles em trs tipos: Controles preventivos: preveno de erros, omisses ou fraudes (previne, evita, antes da ocorrncia). Controles detectivos: deteco de erros, omisses ou fraudes e ainda relatar sua ocorrncia (por exemplo, software de controle de acesso e relatrios de tentativas de acesso no autorizado a um determinado sistema). Controles corretivos: usado para reduzir impacto ou corrigir erros, uma vez detectados (por exemplo, planos de contingncia). Os objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, so traduzidos em procedimentos de auditoria. Os procedimentos de auditoria formam um conjunto de aes (verificaes e averiguaes) que permitem obter e analisar as informaes necessrias formulao do parecer do auditor. recomendado, que, antes de iniciar a auditoria, seja definida a lista de procedimento, ou seja, a relao dos pontos a serem verificados. Entidades fiscalizadoras (RF, TCU) costumam ter manuais de auditoria contendo objetivos de controle e procedimentos de auditoria preestabelecidos para cada rea de verificao ou natureza de auditoria. Os achados de auditoria so fatos significativos observados pelo auditor durante a execuo da auditoria. Esses fatos, no necessariamente, erros, falhas ou fraudes, podem ser pontos fortes da instituio, rgo, funo ou produto devem ser relevantes e baseados em dados e evidncias incontestveis.
-2-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Os papis de trabalho so registros que evidenciam atos e fatos observados pelo auditor (documentos, tabelas, planilhas, listas de verificaes, arquivos informatizados, etc.). Esses papis do suporte ao relatrio de auditoria, neles esto o registro da metodologia adotada, procedimentos, verificaes, fontes de informaes, testes e outras informaes relacionadas ao trabalho executado pelo auditor. As recomendaes de auditoria so feitas na fase de relatrio, so medidas corretivas possveis, a fim de corrigir deficincias detectadas durante a auditoria. Dependendo da competncia ou posio hierrquica do rgo de controle em relao entidade auditada, as recomendaes podem se transformar em determinaes a serem cumpridas. Natureza da auditoria No existe padro classificatrio (tipologia) dos diversos tipos de auditoria existentes, a seguir apresentamos alguns tipos mais comuns, classificados de acordo com os seguintes aspectos: rgo fiscalizador o Auditoria interna Realizada por rgo interno da entidade, tem como objetivo reduzir as probabilidades de fraudes, erros, prticas ineficientes ou ineficazes. Deve ser independente e prestar contas diretamente direo da instituio. o Auditoria externa Realizada por instituio externa e independente da entidade fiscalizada, com objetivo de emitir parecer sobre gesto de recursos, situao financeira, a legalidade de suas operaes. o Auditoria articulada Trabalho conjunto de auditorias internas e externas caracterizase pelo uso de recursos e comunicaes recprocas dos resultados. Forma de abordagem do tema o Auditoria horizontal Aborda tema especfico, realizada em vrias entidades ou servios paralelamente. o Auditoria orientada Focada em uma atividade especfica qualquer ou em atividade com fortes indcios de erros ou fraudes. Tipo ou rea envolvida o Auditoria de programas do governo Acompanhamento, exame e avaliao da execuo de programas e projetos governamentais especficos (efetividade das medidas governamentais). o Auditoria do planejamento estratgico
-3-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Verifica se os principais objetivos da entidade so atingidos e se as polticas e estratgias de aquisio, utilizao e alienao de recursos so respeitadas. Auditoria administrativa Engloba o plano da organizao, seus procedimentos e documentos de suporte tomada de deciso. Auditoria contbil Auditoria tem objetivo de garantir a correo das contas da instituio, conforme as devidas autorizaes. Auditoria financeira Ou auditoria das contas, anlise das contas, da situao financeira, da legalidade e regularidade das operaes e aspectos contbeis financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade Analise da legalidade ou regularidade das atividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. Auditoria operacional Analisa todos os nveis de gesto, nas fases de programao, execuo e superviso, sob o ponto de vista da economia, eficincia e eficcia. Tambm conhecida como auditoria de eficincia, de gesto, de resultados ou de prticas de gesto. So auditados todos os sistemas e mtodos utilizados pelo gestor pata a tomada de deciso, analisa a execuo das decises a aprecia at que ponto os resultados pretendidos foram atingidos. Auditoria integrada Inclui auditoria financeira e a operacional. Auditoria da tecnologia da informao Analisa os sistemas de informao, o ambiente computacional, a segurana de informaes, e o controle interno da entidade, identificando deficincias e pontos fortes. essencialmente operacional, conhecida como auditoria informtica, computacional ou de sistemas.
o o
o o
AUDITORIA DA TECNOLOGIA DA INFORMAO A Auditoria da TI uma auditoria operacional, isto , que analisa a gesto de recursos, com o foco nos aspectos de eficincia, eficcia, economia e efetividade. A abrangncia desse tipo de auditoria pode ser o ambiente de informtica como um todo ou a organizao do departamento de informtica: Ambiente de informtica: o Segurana dos outros controles; o Segurana fsica; o Segurana lgica; o Planejamento de contingncias;
-4-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka o Operao do centro de processamento de dados. Organizao do departamento de informtica: o Aspectos administrativos da organizao; o Polticas, padres, procedimentos, responsabilidades organizacionais, gerncia pessoal e planejamento de capacidade; o Banco de dados; o Redes de comunicao e computadores; o Controle sobre aplicativos: Desenvolvimento, Entradas, processamento e sadas. Embora no exista tipologia das sub-reas da Auditoria da TI, apresentamos: Auditoria da tecnologia da informao abrangente, engloba todos os controles que podem influenciar a segurana de informao e o correto funcionamento dos sistemas de toda a organizao: Controles organizacionais; De mudana; De operao de sistemas; Sobre Banco de Dados; Sobre microcomputadores; Sobre ambiente cliente-servidor. Auditoria da segurana de informaes Determina a postura da organizao com relao segurana. Avalia a poltica de segurana e controles relacionados com aspectos de segurana institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve: Avaliao da poltica de segurana; Controles de acesso lgico; Controles de acesso fsicos; Controles ambientais; Planos de contingncia e continuidade de servios. Auditoria de aplicativos Segurana e controle de aplicativos especficos, incluindo aspectos intrnsecos rea a que o aplicativo atende: Controles sobre o desenvolvimento de sistemas aplicativos; Controles de entradas, processamento e sada de dados; Controle sobre contedo e funcionamento do aplicativo, com relao rea por ele atendida.
EQUIPE DE AUDITORIA
-5-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Gerente da equipe: Habilidade para recrutar ou formar profissionais com nvel adequado de capacitao tcnica em auditoria e TI; determinar forma de atingir a capacitao e os mtodos de treinamento mais eficazes. Conhecimento necessrios Conhecimento na rea (se possvel experincia anterior) Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou servios de consultoria tcnica de informtica. Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Avaliao da necessidade de um nvel de conhecimento mais especializado e aprofundado pra a realizao da auditoria. Dependendo do mbito (abrangncia, profundidade) diferentes nveis de conhecimento podem ser exigidos, supridos pela equipe bsica (interna) com treinamentos ou contratao de mo-de-obra especializada. Conhecimentos tcnicos: Sistemas operacionais, Software bsico, Banco de dados, Processamento distribudo, Software de controle de acesso, Segurana de informaes, Plano de contingncia, e de recuperao e Metodologias de desenvolvimento de sistemas. Conhecimentos em auditoria: Tcnicas de auditoria, Software de auditoria e extrao de dados, Outras capacidades relevantes: Princpios ticos, Bom relacionamento, Comunicao oral e escrita, Senso crtico, Conhecimento especfico na rea (finanas, pessoal, estoque...) Composio da equipe Na composio da equipe de auditoria, a chefia tem trs opes. Opes para a formao da equipe:
-6-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Consultoria externa Desenvolver a capacidade tcnica de TI nos auditores Desenvolver tcnicas de auditagem no pessoal de TI Dependendo do tamanho da organizao, capacidade dos profissionais, prazos, objetivos e relao custo - beneficio uma das alternativas ser eleita. Consultoria externa Analise (custo, alta capacidade, independncia, durao, investimento pessoal, extenso do trabalho) Consultores externos somente para tarefas especficas (conhecimento especializado). Pontos crticos: custos, contrato e controle sobre atividades. Definio de objetivos precisos e pontos de controle. Recomendvel: bom relacionamento, transferncia de conhecimentos. Ao trmino da auditoria: avaliao dos servios (opinies dos consultores, dos membros da equipe e da gerencia da organizao), com o objetivo de evitar as mesmas falhas no futuro.
A possibilidade de contratao de servios externos de auditoria deve ser considerada desde as primeiras fases do planejamento da auditoria. A partir do momento em que so definidos o campo da auditoria, seu mbito e as sub-reas a serem auditadas. Decidir contratar consultoria externa depois de ter iniciado a auditoria dificilmente trar bons resultados. A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de seu trabalho, os objetivos a serem atingidos e o grau de profundidade dos conhecimentos requeridos, podendo assim verificar se esto aptos. Categorias de consultoria externa: Firma ou organizao especializada em auditoria (mais recursos, mais servios) Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades acadmicas na rea a ser auditada, especializados em determinadas tcnicas e ferramentas de auditoria, ou com especializao no objeto da auditoria. (Atuam tanto no planejamento estratgico como nas verificaes especficas em campo.)
Tanto as firmas de consultoria como os especialistas autnomos podem ser de grande utilidade no planejamento da auditoria, na conduo de entrevistas com o auditado, na avaliao de controles, na captao de dados dos sistemas, na reviso dos resultados e nas recomendaes finais do relatrio de auditoria.
-7-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Analisando os Candidatos ao Servio de Consultoria Externa Uma das maneiras de se contratar o servios de consultoria externa promover um estudo de propostas onde sejam detalhados os custos do servio, os recursos humanos oferecidos pela consultoria, suas habilidades tcnicas, seu plano de trabalho. Antes de confrontar as propostas, aconselhvel fazer uma seleo inicial dos possveis candidatos, importante tambm decidir, antecipadamente, os critrios que sero utilizados na anlise das propostas dos consultores. Relacionamento com os Consultores Externos Para a realizao de qualquer trabalho de qualidade, essencial o bom entrosamento na equipe, ainda mais se alguns de seus componentes no fizerem parte do quadro de funcionrios da organizao. Em auditorias com a participao de consultoria externa imprescindvel que todos os aspectos relevantes estejam sob o controle do auditor coordenador da equipe, que dever ser sempre funcionrio da organizao. Avaliando o trabalho realizado Ao final do trabalho, importante avaliar seus resultados, em uma discusso franca entre os consultores externos, membros da equipe de auditoria, coordenador e gerncia da organizao contratante. O objetivo dessa discusso destacar seus pontos fortes e fracos e relatar as dificuldades encontradas ao longo do trabalho para que, no futuro, sejam realizadas auditorias mais produtivas, eficientes e eficazes. Comparar os objetivos esperados e os resultados alcanados, o oramento previsto e custo real, os prazos estimado e real, e os nveis de qualidade esperado e alcanado. Verificar se houve cooperao entre a consultoria externa e o resto da equipe, se h sugestes para o aprimoramento das futuras auditorias. Capacitando Auditores para atuarem como Auditores de Sistemas Para muitos, a informtica pode ser difcil de compreender. uma rea recheada de jarges tcnicos e que enfrenta transformaes constantes de produtos e tecnologias. O auditor com formao bsica em contabilidade e auditoria geral se depara com uma dificuldade adicional: muitos profissionais de informtica, ao serem auditados, no se propem a explicar os assuntos tcnicos ao auditor que no tenha os conhecimentos bsicos necessrios para realizar auditoria naquele departamento. Muitas vezes o auditor nem sequer entende o que respondido pelo auditado, pois este utiliza vocabulrio tcnico e siglas, dificilmente compreendidos por quem no da rea. Capacitando Profissionais de Informtica em Auditorias Pode-se obter resultados mais efetivos e com maior rapidez se, nos quadros da organizao, existirem profissionais de informtica para serem treinados na rea de auditoria. Treinamento O treinamento constante dos auditores de sistema imprescindvel para que estejam preparados para realizar auditorias de qualidade com grau de profundidade tcnica adequado. Todos os auditores especialistas ou no em sistemas, deveriam receber
-8-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka treinamento bsico de auditoria da tecnologia da informao, j que dificilmente auditaro entidades que no utilizam informtica em seus processos e controles. As tcnicas e mtodos bsicos de auditoria de sistemas computadorizados devem ser disseminados a todos os auditores da organizao. Participao em Seminrios e Cursos de Especializao Faz-se necessrio estimular a participao dos auditores em seminrios, cursos de especializao, workshops e congressos. Qualificao Profissional Os auditores devem ser encorajados a obter qualificaes profissionais que testem se seus conhecimentos esto atualizados e compatveis com os padres profissionais. Alguns exemplos de organizaes certificadoras: Information System Audit and Control Association (ISACA) Certificado de Auditor de Sistemas de Informao Bristish Computer Society - Exame da Sociedade Britnica de Informtica Institute of Internal Auditors (IIA) Qualificao em Auditoria Computacional (IIA Qualition in Computer Auditing) A IIA e ISACA desempenham um papel ativo no desenvolvimento de padres de auditoria e controle de sistemas de informao. Como a tecnologia da informao est em constante evoluo, essencial que o treinamento do auditor de sistemas acompanhe essa evoluo, incluindo em seu currculo novas tcnicas de auditoria e aspectos de informtica de tecnologias mais avanadas. O desenvolvimento profissional contnuo no apenas desejvel, mas essencial. Manuais de Auditoria da Tecnologia da Informao A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e difundir o conhecimento nessa rea, deve ser responsvel pela elaborao de uma ou mais manuais contendo instrues para a conduo de auditorias de sistemas, exemplos de objetivos de controle e procedimentos de auditoria, explanaes tcnicas sobre alguns tpicos considerados importantes na rea de informtica, tcnicas e metodologias de auditoria, instrues sobre o uso de ferramentas de informtica de apoio auditoria. Biblioteca Tcnica Os auditores devem ter, sua disposio, uma biblioteca tcnica para consulta. Dessa forma podero orientar seus trabalhos de acordo com os padres conhecidos na rea, se manter atualizados com relao s novas tecnologias e utilizar publicaes tcnicas como fonte de consulta durante a auditoria e na elaborao do relatrio. Organizao da Equipe Especializada Dada a complexidade e a extenso dos conhecimentos necessrios em auditoria da tecnologia da informao, dificilmente uma nica pessoa deter todos esses conhecimentos. comum encontrar, em equipes de auditoria da TI de vrias organizaes, auditores com formao e especializao em diferente reas. Cabe gerncia desenvolver as especializaes que faltam e administrar o grupo como um time coeso que se complementa tecnicamente. Atravs de treinamento adequado, a equipe deve tentar cobrir todas as reas de auditoria da tecnologia da informao utilizadas pela instituio.
-9-
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Administrando Recursos Humanos Escassos Na maioria das organizaes dedicadas a auditoria, controle e segurana, os auditores de sistemas so considerados recursos escassos e seu tempo administrado criteriosamente. Suas atividades so definidas apenas nos casos em que sua atuao realmente necessria. Alm do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse conhecimento treinar alguns auditores para atuarem como suporte bsico de informtica nas equipes de auditoria de carter genrico, sendo este denominado auditor generalista. Ele executar anlise preliminar de ambientes de informtica ou sistemas considerados pouco complexos para determinar a estratgia de auditoria mais adequada e avalia os controles genricos do ambiente computacional que no exijam experincia tcnica mais apurada. recomendvel que a chefia estabelea claramente as responsabilidades de cada tipo de auditor, o suporte tcnico a ser dado pelos auditores especialistas, os limites de atuao e o relacionamento entre auditores de sistemas e especialistas e generalistas, para evitar omisso ou duplicidade de trabalho. A gerncia deve estabelecer um plano de auditorias de sistemas, de preferncia anual, relacionando os recursos disponvel (generalistas e especialistas) e as prioridades dos trabalhos. Planejamento de Atividades Em organizaes de auditoria, geralmente as atividades so planejadas em trs nveis, baseados em perodos de tempo diferentes. Cada nvel de planejamento gera um documento, denominado plano, com atividade e detalhes para o perodo de tempo. Plano Estratgico de Longo Prazo O plano estratgico de longo prazo estabelecido, normalmente, para um perodo de 3 a 5 anos. Seus objetivos so mais amplos, atingem toda a instituio e so aprovados pela gerncia superior. Seus contedo define as metas da gerncia de auditoria da TI, seu modo de atuao, os recursos necessrios (pessoal, equipamentos e recursos financeiros) e as necessidades de treinamento. aconselhvel revisar e atualizar o plano anualmente. Plano Estratgico de Mdio Prazo Este traduz o plano de longo prazo em um program de atividades para o ano que se inicia. Em geral procura atender demanda das equipes de auditoria genrica por especialistas na rea de informtica para realizarem, no ano seguinte, em conjunto ou no, auditorias da TI em entidades previamente escolhidas. Esse plano, normalmente aprovado pela gerncia intermediria, define os objetivos macro das principais auditorias do prximo ano e suficientemente flexvel para aceitar as alteraes que se faam necessrias. Plano Operacional Baseia-se em auditorias individualizadas e contm detalhes exatos dos objetivos a serem atingidos, as reas a serem auditadas, os recursos necessrios e em que prazo, os objetivos de controle e os procedimentos de auditoria a serem seguidos. O plano operacional nada mais do que o plano especfico de uma determinada auditoria. Envolvimento com Outros Auditores Ao estabelecer uma equipe mista para realizao de uma auditoria genrica, isto , sem o enfoque de auditoria da TI, conveniente dividir o trabalho em vrias fases para que os auditores atuem, conforme sua especializao, apenas nas fases em que seus
- 10 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka conhecimentos sejam necessrios. Em uma auditoria genrica, normalmente os auditores de sistemas participam das seguintes fases: Levantamento de auditoria - o auditor de sistemas pode ser requisitados para analisar um sistema da entidade auditada, explicando, em seu relatrio, seu funcionamento e fornecendo informaes bsicas para auditoria principal. Coleta de dados o auditor de sistemas pode auxiliar na coleta e transferncia de dados do computador do rgo auditado para o computador da equipe de auditoria. Anlise de dados aps a coleta de dados, o auditor de sistemas pode ser solicitado a analisar os dados coletados e entrevistar o auditado em relao a seu contedo. Opinio tcnica o auditor de sistemas pode ser requisitado a dar sua opinio tcnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de dados. J o envolvimento entre auditores de sistemas generalistas e especialista bem mais prximo. No caso de auditorias da TI feitas por auditores generalista, a equipe de especialistas em TI deve dar todo o suporte necessrio, seja elaborando manuais de orientao, repassado os conhecimentos tcnicos bsicos, esclarecendo suas dvidas ou atendendo s solicitaes de consultoria, quando for preciso. A troca de experincias deve ser estimulada pela gerncia.
PLANEJAMENTO E EXECUO
PLANEJAMENTO A fase de planejamento de uma auditoria identifica os instrumentos indispensveis sua realizao. Alm de estabelecer os recursos necessrios execuo dos trabalhos de auditoria, a rea de verificao, as metodologias, os objetivos de controle e os procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de informao sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerncia. Pesquisa de Fontes de Informaes Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possvel de informaes sobre a entidade auditada e seu ambiente de informtica (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, etc.). Com essas informaes poder esboar seu plano de auditoria e partir para a fase de delimitao dos trabalhos. Esse conhecimento prvio do ambiente de informtica da entidade auditado permite ao auditor ter uma noo do grau de complexidade de seus sistemas e, ento, estabelecer os recursos e os conhecimentos tcnicos necessrios equipe da auditoria. Saber com antecedncia o tipo de ambiente computacional com o qual o auditor vai se deparar , sem dvida, bastante vantajoso, j que haver mais tempo para se preparar tecnicamente ou para incluir um especialista na equipe. A equipe precisar manter contato e entrevistar pessoas-chaves da entidade.] As principais fontes de informaes sobre a entidade auditada so relatrios de auditorias anteriores, base de dados, documentos ou pginas da entidade na Internet, notcias veiculadas na imprensa, visitas anteriores entidade e relatrios da auditoria interna. Definindo Campo, mbito e Sub-reas
- 11 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka A partir do momento em que foi decidida a realizao de uma auditoria e j existem informaes suficientes sobre a entidade e seu ambiente computacional, a equipe delimita sua atuao, definindo o campo, o mbito e as sub-reas a serem auditadas. O campo da auditoria composto por objeto, perodo de fiscalizao e natureza. No caso de auditorias de informtica, a natureza auditoria da tecnologia da informao, quase sempre com enfoque operacional (exame dos aspectos econmicos, de eficincia e eficcia). O objeto auditado pode englobar um sistema computacional especfico; uma, vrias ou todas as sees do departamento de informtica; ou at mesmo toda a organizao (em termos de polticas de informtica e segurana de informaes ou nos casos em que o negcio da organizao resume-se prestao de servios computacionais). O perodo de uma auditoria da TI depende diretamente do mbito (grau de profundidade das verificaes) e das sub-reas de sistemas escolhidas pela equipe. Alm da definio do campo, so determinadas a amplitude e a exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados. Tendo sido definido o conjunto campo e mbito da auditoria, fixada, ento, a rea de verificao. Essa rea delimita de modo muito preciso os temas da auditoria e, em funo do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-reas. Segurana de informaes da empresa De 01/01/2007 a 01/07/2007 Auditoria da TI
Campo rea de Verificao Avaliao da eficcia dos controles
Controles de acesso fsico Backup Controles de Acesso Lgico
aconselhvel coordenar o nmero de sub-reas a serem auditadas com a magnitude ou complexidade do objeto da auditoria, isto , para ambientes extensos ou de grande complexidade, convm limitar a quantidade de controles a serem verificados para que a equipe realize um trabalho de qualidade. Aps a definio das reas e sub-reas a serem auditadas, o auditor retorna fase de pesquisa para relacionar as fontes de consulta especializadas necessrias durante a auditoria, tais como livros tcnicos, manuais de auditoria, artigos especializados, sites na Internet especializados em segurana ou outras reas especficas de informtica.
- 12 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka NEGOCIANDO COM A GERNCIA A definio dos aspectos citados no item anterior facilita o trabalho da equipe de auditoria e evita as falsas expectativas, tanto nos membros da equipe como de sua gerncia.
Evitando Falsas Expectativas Quando a gerncia da equipe de auditoria espera um trabalho de verificao breve, sucinto e preliminar de um sistema de informtica e a equipe executa uma auditoria extremamente detalhada e aprofundada, ningum fica satisfeito. A gerncia tende a cobrar insistentemente a concluso do trabalho, por consider-lo apenas uma anlise superficial, enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas dentro do prazo exguo. Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, no necessariamente em auditorias da TI. Antes de iniciar a execuo propriamente dita da auditoria, recomendvel que a equipe sempre discuta e defina claramente, com sua gerncia, o campo da auditoria, o grau de profundidade de sua verificaes e o nvel de capacitao tcnica e profissional necessrio para auditar as sub-reas escolhidas. Dando assim uma noo prxima da realidade dos resultado da auditoria e permite equipe definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os procedimentos de auditoria mais adequados para garantir a realizao de um trabalho de auditoria compatvel com as expectativas da gerncia. Definindo os Recursos Necessrios

Recursos humanos Recursos econmicos Recursos tcnicos
METODOLOGIAS Entrevistas o Entrevistas de apresentao - Apresentao da equipe, cronograma das atividades, objetivos, reas, perodo, metodologias. Estrutura do relatrio (resultado da auditoria). o Entrevistas de coleta de dados - Coleta de dados sobre os sistemas ou ambiente de informtica. Nessa entrevista podem ser identificados os pontos fortes e fracos de controle, falhas e possveis irregularidades. O entrevistado deve saber de antemo como sero usados esses dados e conhecer o relatrios a cerca da entrevista. o Entrevistas de discusso de deficincias encontradas - Ao trmino das investigaes so apresentadas as deficincias encontradas. Ao discuti-las podem ser apresentadas justificativas para essas
- 13 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka deficincias, podendo ser desconsiderada as falhas ou relatadas as justificativas. o Entrevista de encerramento apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentrios, recomendaes). Uso de Tcnica ou Ferramentas de Apoio (Catas) Tcnicas Para Anlise de Dados o dados coletados e auditados com auxlio de softwares de extrao de dados, de amostragem, de anlise de logs e mdulos ou trilhas de auditoria embutidas nos prprios sistemas aplicativos da entidade. Tcnicas Para Verificao de Controles de Sistemas o testar a efetividade dos controles dos sistemas do auditados. Analisar sua confiabilidade, determinar se esto operando corretamente a ponto de garantir a fidedignidade dos dados. o Massa de dados de teste, simulaes, software de comparao de programas e rastreamento de processamento. Outras Ferramentas o planinhas eletrnicas, editores de texto, bancos de dados e softwares para apresentaes. OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA Os objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, so traduzidos em procedimentos de auditoria. Os objetivos de controle norteiam a auditoria, para realizar uma avaliao, necessrio um modelo normativo, um conjunto de padres, de como a atividade deveria estar sendo feita. Este modelo normativo traduzido em objetivos de controle a serem avaliados pelo auditor em cada rea especfica. Os objetivos de controle podem ter vrios enfoques e podem ser motivados por diversas razes: Segurana dados e sistemas importantes para a organizao, onde a confidencialidade, integridade e a disponibilidade so essenciais. Atendimento a solicitaes externas verificao de indcios de irregularidade motivados por denncia ou solicitao de rgo superior. Materialidade alto valor computacionais. econmico-financeiro dos sistemas
Altos custos de desenvolvimento sistemas de alto custos envolvem altos riscos.
- 14 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Grau de envolvimento dos usurios o no envolvimento dos usurios no desenvolvimento de sistemas, acarreta sistemas que em geral no atendem satisfatoriamente s suas necessidades. Outsourcing/Terceirizao efeitos da terceirizao no ambiente de informtica.
Os procedimentos de auditoria formam um conjunto de aes (verificaes e averiguaes) que permitem obter e analisar as informaes necessrias formulao do parecer do auditor. Enquanto os objetivos de controle abrangem uma rea mais ampla, os procedimentos de auditoria descrevem padres individualizados, mais detalhados, dentro de cada objetivo de controle. A partir do momento em que foram definidas a rea de verificao e as sub-reas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controles esto sendo seguidos pela entidade. EXECUO No transcurso da auditoria, a equipe deve reunir evidncias confiveis, relevantes e teis para a consecuo dos objetivos da auditoria. Os resultados da auditoria (achados e concluses) devem ser suportados pela correta interpretao e anlise dessas evidncias. Evidncia fsica observaes de atividades desenvolvidas pelos funcionrios e gerentes, sistemas em funcionamento, local equipamentos, etc. Evidncia documentria resultado da extrao de dados, registro de transaes, listagens, etc. Evidncia fornecida pelo auditado - transcries de entrevistas, cpias de documentos cedidos, fluxogramas, polticas internas, e-mails trocados com a gerncia, justificativas, relatrios, etc. Evidncia analtica - comparaes, clculos e interpretaes de documentos.
Toda essa documentao, geralmente organizada em papis de trabalho, deve estar disponvel para auxiliar a equipe na elaborao do relatrio. Nem todas as evidncias podem ser investigadas detalhadamente e descritas no relatrio final, o auditor deve
- 15 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka analisar cada caso segundo a sua importncia para a consecuo dos objetivos, tempo e esforo necessrios para esclarecer todos seus pontos nebulosos. Uma evidncia considerada incompatvel com a auditoria em execuo, pode servir como indicativo para outra auditoria. A manuteno dos papis de trabalho essencial tanto para a elaborao do relatrio da auditoria em questo, como para o planejamento de futuras auditorias. RELATRIO Nos relatrios da auditoria, a equipe, apresenta seus achados e concluses, bem como os fatos sobre a entidade auditada, comprovaes recomendaes e determinaes. A linguagem utilizada nos relatrios deve ser compatvel com quem ir receb-los. A quem se Dirige o Relatrio? Dependendo do motivo que levou realizao da auditoria, o relatrio pode se encaminhado diretoria da organizao, ao organismo que financia a entidade auditada ou ao organismo responsvel pelo controle de auditoria geral da entidade. Faz-se necessrio identificar os pontos mais relevantes e adaptar o relatrios de acordo com o pblico alvo. Relatrios preliminares Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, so coletadas informaes preliminares sobre a entidade, seus sistemas, os recursos necessrios, a composio da equipe, metodologias, objetivos de controle e procedimentos a serem adotados. Uma estrutura de relatrio deve ser definida e todas essas informaes devem ser transcritas para o relatrio. Durante os trabalhos de campo, importante documentar tudo que foi feito, observado e dito pelos entrevistados. Os textos referentes a cada entrevista podem ser utilizados no relatrio. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado, antes da reviso final do relatrio os assuntos tratados durante a entrevista, evitando mal-entendidos ou desvios de interpretao. Ao trmino das investigaes de cada rea, um relatrio parcial deve ser apresentado contendo as deficincias encontradas (entrevista para discusso de deficincias encontradas). As justificativas apresentadas podem ser anexadas ao parecer.
Relatrio final O relatrio final deve se revisado por toda a equipe de auditores, a fim de evitar inconsistncias, erros ou lacunas em relao aos padres e prticas da organizao auditada. Uma crtica externa, tambm e conveniente nesse ponto. Estrutura
- 16 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Dados da entidade auditada - nome, endereo, natureza jurdica, relao de responsveis, etc. Sntese - um breve resumo do contedo. til para a alta direo obter uma viso geral e rpida dos principais pontos da auditoria. Dados da auditoria - objetivos, perodo de fiscalizao, composio da equipe, metodologia adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas, aplicativo especfico, etc.). Introduo - histrico da entidade, concluses de auditorias anteriores, estrutura hierrquica do departamento de informtica, sua relao com outros departamentos, descrio do ambiente computacional, evoluo tecnolgica, principais sistemas e projetos. Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante a auditoria. Alm das descries, so apresentados comentrios iniciais, justificativa do auditado e o parecer final da equipe para cada falha (preferncias e recomendaes). aconselhvel dividi-la por sub-reas fiscalizadas, para haver um encadeamento lgico de idias. Concluso - sntese dos pontos principais do relatrio e as recomendaes ou determinaes finais da equipe para a correo das falhas ou irregularidades encontradas. Pareceres da gerncia superior - as gerncias superiores podem dar seu parecer a respeito dos achados e recomendaes da equipe de auditores, concordando integralmente ou em partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.
AUDITORIA PLANEJAMENTO E EXECUO Organizao do trabalho da auditoria

Planejamento 1. Passo - conhecer o ambiente: levantamento de dados do ambiente, fluxos de processamento, recursos humanos, materiais, arquivos, relatrios, telas, etc. 2. Passo - determinar pontos de controle (processos crticos) 3. Passo - definir objetivos da auditoria: tcnicas, prazos, custos, nvel de tecnologia a ser utilizada. 4. Passo - estabelecer critrios para a anlise de risco. 5. Passo - anlise de risco. 6. Passo - hierarquizao dos pontos de controle. Definio da equipe
- 17 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka 1. Passo - escolher equipe: perfil e histrico profissional, experincia na atividade, conhecimentos especficos, formao acadmica, lnguas estrangeiras, disponibilidade para viagem, etc. 2. Passo - programar a equipe: gerar programas de trabalho, selecionar procedimentos apropriados, incluir novos procedimentos, classificar trabalho por visita, orar tempo e registrar o realizado. 3. Passo - executar trabalho - dividir as tarefas de acordo com a formao, experincia e treinamento dos auditores, efetuar superviso para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente. 4. Passo - revisar papis: verificar pendncias e rever o papel de cada auditor para suprir as falhas encontradas. 5. Passo - avaliao da equipe: avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superao de fraquezas do auditor, ter um sistema de avaliao de desempenho automatizado. Documentao do trabalho 1. Relatrio de fraquezas de controle interno Objetivo do projeto de auditoria, pontos de controle auditados, concluso alcanada a cada ponto de controle, alternativas de soluo propostas. 2. Certificado de controle interno Indica se o ambiente est em boa, razovel ou m condio em relao aos parmetros de controle interno. Apresenta a opinio da auditoria em termos globais e sintticos. 3. Relatrio de reduo de custos Explicita as economias financeiras a serem feitas coma a aplicao das recomendaes efetuadas. Base para a realizao das anlises de retorno de investimento e do custo/benefcio da auditoria de sistemas. 4. Manual da auditoria do ambiente auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referncia para futuras auditorias. Compe-se de toda a documentao anterior j citada. 5. Pastas contendo a documentao da auditoria de sistemas Contem toda a documentao do ambiente e dos trabalhos realizados como: relao de programas, relao de arquivos do sistema, relao de relatrios e telas, fluxos, atas de reunies, etc. Apresentao dos resultados Objetividade na transmisso dos resultados Esclarecimento das discusses realizadas entre a auditoria e os auditados Clareza nas recomendaes das alternativas de soluo Coerncia da atuao da auditoria Apresentao da documentao gerada Explicao do contedo de cada documento
Tcnicas de auditoria em programas de computador

- 18 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Correlao de arquivos e anlise dos dados 1. Anlise do fluxo do sistema 2. Identificao do arquivo a ser auditado 3. Entrevista com o analista / usurio 4. Identificao do cdigo / layout do arquivo 5. Elaborao do programa para auditoria 6. Cpia do arquivo a ser auditado 7. Aplicao do programa de auditoria 8. Anlise dos resultados 9. Emisso de relatrios 10. Documentao Simulao de dados
Elaborao de massa de teste a ser submetida ao programa ou rotina, deve prever as seguintes situaes: 1. Transaes com campos invlidos, 2. Transaes com valores no limite, 3. Transaes incompletas, 4. Transaes incompatveis, 5. Transaes em duplicidade. Passos: 1. 2. 3. 4. 5. 6. 7. 8. Compreenso da lgica do programa Simulao dos dados (pertinentes ao teste a ser realizado) Elaborao dos formulrios de controle Transcrio dos dados para o computador Preparao do ambiente de teste Processamento do teste Avaliao dos resultados Emisso de opinio sobre o teste
AUDITORIA DA TECNOLOGIA DA INFORMAO

CONTROLES ORGANIZACIONAIS Os controles organizacionais so polticas, procedimentos e estrutura organizacional estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades relacionadas rea da informtica. Abrangem todos os controles adotados pela gerncia em termos administrativos e institucionais. Os controles organizacionais so os pontos de partida da maioria das auditorias de sistemas, a partir deles que se pode ter uma idia das polticas adotadas pela instituio e como os aspectos de segurana so considerados pela alta administrao. necessrio que durante o planejamento da auditoria, o auditor, analise a estrutura adotada pela entidade auditada, seus diversos componentes e o relacionamento do departamento
- 19 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka com outros setores da organizao. De acordo com a estrutura, o auditor deve adaptar os objetivos de controle e os procedimentos a serem adotados e, posteriormente, verificar se os controles organizacionais so adequados. importante que o auditor determine se as medidas administrativas estabelecidas pelo auditado so suficientes para garantir o controle adequado das atividades do departamento de informtica e se essas atividades satisfazem os objetivos de negcio da organizao. Responsabilidades Organizacionais O departamento de informtica deve ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas. aconselhvel que o departamento de informtica seja suficientemente importante na estrutura hierrquica para que possa estabelecer seus objetivos estratgicos e ter certa independncia dos demais departamentos. Dependendo do tamanho da organizao, pode existir uma gerncia para controle de qualidade e uma gerncia, ou departamento, responsvel por segurana da informaes, geralmente com estreitas ligaes com o setor de informtica. As unidades internas do departamento devem ser bem definidas, com nveis de autoridade e responsabilidades. As descries dos cargos no departamento e as habilidades tcnicas necessrias para exerce-las devem ser estabelecidas e documentadas, podendo ser utilizadas, posteriormente, na avaliao de desempenho dos funcionrios. necessrio que o auditor verifique, primeiramente, se existe uma gerncia superior de informtica, com influncia junto ao comit executivo da organizao. A inexistncia dessa gerncia, por si s, j pode sinalizar uma falta de prestgio ou de reconhecimento dos servios prestados pelo departamento de informtica. Nesse caso, h maior probabilidade de o departamento no receber os recursos e ateno necessrios para atingir seus objetivos. A falta de recursos pode causar maiores riscos de segurana e baixa qualidade de sistemas. A equipe de auditoria deve tambm verificar se os funcionrios do departamento tm conhecimento de suas responsabilidades e seu papel na organizao. aconselhvel que essas definies sejam documentadas formalmente.
Polticas, Padres e Procedimentos Polticas, padres e procedimentos so a base para o planejamento gerencial, o controle e a avaliao das atividades do departamento de informtica. A experincia tem demonstrado que pelo menos as polticas e os padres devem ser estabelecidos pela alta gerncia para que sejam considerados na prtica pelas gerncias intermediarias. importante ter em mente que as polticas definem as diretrizes institucionais e o relacionamento entre os diversos departamentos. Portanto, essencial que as polticas, para merecerem a ateno das gerncias intermedirias e de todos os funcionrios, sejam estabelecidas pelo nvel hierrquico
- 20 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka superior da organizao e divulgada a todos. A partir das polticas, so estabelecidos os padres que, no caso do departamento de informtica, podem ser padres para aquisio de recursos; projetos, desenvolvimentos, alterao e documentao de sistemas; operao do centro de informtica e prestao de servios de informtica. O passo seguinte a definio de procedimentos mais detalhados que atendam s polticas e aos padres preestabelecidos. Os procedimentos descrevem a forma como as atividades devero ser executadas e, muitas vezes, so definidos pelo departamento de informtica e aprovadas pela alta gerncia. Para o auditor, as polticas delineiam os controles gerenciais da organizao. A partir delas, surgem padres, procedimentos e controles mais especficos, relacionados a uma determinado assunto. Quando mais efetivo o cumprimento s polticas da organizao, maior a probabilidade de os controles organizacionais serem tambm eficazes. Entretanto, importante que o auditor leve em considerao que cada entidade tem objetivos gerenciais e organizacionais diferentes e, consequentemente, as polticas, os padres e procedimentos tambm sero diferentes. O auditor deve ser flexvel e considerar as particularidades de cada entidade para que suas recomendaes sejam realmente aplicveis em cada caso. Recomendaes absurdas depem contra a qualidade da auditoria e o bom nome do auditor.
Estratgia de Informtica O comit de informtica ou a alta gerncia, aps inmeras discusses, formaliza a estratgia de informtica organizao em um documento conhecido como plano diretor de informtica ou estratgia de informtica. Esse documento serve como base para qualquer investimento na rea de informtica, j que traa os objetivos e projetos futuros da organizao. O maior risco associado falta ou ineficincia de uma estratgia de informtica o desenvolvimento de sistemas que no satisfaam os objetivos de negcio da organizao, acarretando perdas econmicas e investimentos sem resultado. interessante que a equipe de auditoria tenha conhecimento do plano estratgico da entidade para reunir informaes importantes ao planejamento de futuras auditorias. A equipe poder saber o direcionamento que ser dado ao ambiente computacional da entidade nos prximos anos. Em sua anlise, necessrio que o auditor considere o tamanho da organizao e a importncia da informtica para a continuidade de seus negcios e sua sobrevivncia no mercado. Com relao ao plano estratgico, o auditor deve analisar o relacionamento entre a estratgia de informtica e a estratgia de negcios da organizao e as previses de mudanas a curto e mdio prazos. importante tambm verificar a forma de divulgao do plano e seu nvel de aprovao. Por se tratar de um plano estratgico, normalmente deve ser aprovado pela alta gerncia.
- 21 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Poltica Sobre Documentao recomendvel que a organizao defina uma poltica sobre documentao, estabelecendo padres de qualidade e classificao quanto confidencialidade (documentos secretos, confidenciais, de uso interno, de uso restrito). A documentao de todos os sistemas computacionais deve ser completa, atualizada e pelo menos uma cpia deve ser mantida em local seguro. A classificao dos documentos pretende restringir o acesso no autorizado a informaes cruciais para a organizao. A poltica de documentao estabelece padres para edio, formatao, apresentao visual e estrutura bsica de documentao e ainda regras para classificao, aprovao e alteraes na documentao j existentes. Sem uma documentao adequada e atualizada, identificar as causa de erros nos aplicativos pode se tornar uma tarefa complexa e demorada. Com uma poltica de documentao correta, pode-se ainda evitar a repetio de erros e prticas no autorizadas pela equipe de desenvolvimento de sistemas. Para a equipe de segurana e auditoria, a documentao tambm muito importante, pois por meio dela que consegue muitas informaes sobre os sistemas auditados ou ambiente computacional, relevantes para as investigaes de segurana. A falta de documentao adequada pode dificultar os trabalhos da equipe.
Gerncia de Recursos Humanos As causas mais frequentes de acesso no autorizado, perda de dados ou pane nos sistemas informatizados so erros, omisses, sabotagem, extorso ou invases criminosas provocados por pessoas contratadas pela prpria organizao. Os acidentes ambientais, as falhas de hardware e software e os invasores externos aparecem em segundo plano. Os funcionrios mal intencionados tm tempo disponvel e liberdade de vasculhar as mesas de outros funcionrios, ler e copiar documentos e informaes internas ou confidenciais. Sabem como a organizao funciona e que tipo de informaes seriam valiosa para a concorrncia. A espionagem industrial, por exemplo, costuma utilizar funcionrios insatisfeitos como mo-de-obra. Os ex-funcionrios so igualmente interessantes para a concorrncia. Muitas vezes essas pessoas prejudicam sua antiga instituio de maneira no intencional, simplesmente pelo fato de saberem o que sabem. Apesar de no terem mais acesso direto s informaes internas, eles conhecem os procedimentos de segurana, a forma de atuao da empresa, seus hbitos e vulnerabilidades. Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usurios internos, aconselhvel que a organizao estabelea polticas, controles e procedimentos enfocando a rea de pessoal. As atividades dos funcionrios devem ser controladas por meio de procedimentos de operao e superviso documentados, e polticas adequadas de seleo, treinamento, avaliao de desempenho, segregao de funes e interrupo de contratos de trabalho.
- 22 -
Plano de Contratao e Desenvolvimento de Pessoal A gerncia de informtica deve traar um plano de contratao e desenvolvimento de pessoal, visando manter uma equipe tecnicamente preparada para atender aos objetivos do departamento, com capacidade para operar o ambiente computacional atual e acompanhar os avanos tecnolgicos na rea de informtica. essencial que a gerncia anteveja as futuras necessidades do departamento em termos tcnicos e quantitativos.
Seleo de Pessoal As polticas de seleo de pessoal devem ser definidas de tal maneira que a equipe seja composta de pessoas confiveis, com nvel tcnico compatvel com sua atividades, de preferncia, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As polticas podem se aplicadas tanto na contratao temporria de prestadores de servios ou consultores. Em alguns casos, a contratao de pessoal deve ainda atender a requerimentos legai, tais com exigncia de concursos pblicos para quadros do governo e apresentao de certificados tcnicos emitidos por associaes profissionais. Nas contrataes de novos funcionrios, normalmente so analisadas suas referncias, incluindo empregos anteriores, formao profissional, experincia tcnica e ficha criminal. recomendvel instituir um acordo de confidencialidade e cdigos de conduta. Os novos contratados devem ter conhecimento de suas responsabilidade e de seu papel na organizao. O mesmo cuidado deve ser tomado na contratao de consultores ou prestadores de servios.
Treinamento A gerncia deve manter seu quadro de profissionais tecnicamente atualizado e apto a desempenhar suas funes atuais e futuras, de acordo com o plano estratgico de informtica. importante estimular a toca de experincias e o repasse de conhecimentos adquiridos a outros membros da equipe, dessa forma, a capacitao profissional se multiplica internamente na organizao e o conhecimento no fica restrito a uma nica pessoa ou grupo. Avaliao de Desempenho Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e padres preestabelecidos. Toda avaliao intrinsecamente subjetiva, pois, envolve aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa subjetividade, aconselhvel que o processo avaliativo se baseie em critrios mais objetivos, levando em considerao formao profissional, nvel de responsabilidade, experincia, treinamento, conduta e consecuo de metas.
- 23 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Rodzio de Cargos e Frias O rodzio de cargos e a instituio de frias regulares podem atuar como controles preventivos contra fraudes ou atividades no autorizadas. O funcionrio, sabendo que outra pessoa pode, de uma hora para outra, exercer suas funes e detectar irregularidades por ele cometidas, ficar menos inclinado a praticar atos no autorizados ou fraudulentos. Essas medidas no so infalveis, claro, mas podem reduzir os riscos de atos no autorizados por um longo perodo de tempo. Segregao de Funes A segregao de funes tem como objetivo evitar que um indivduo detenha o controle de todas as fases de um processo qualquer e caia na tentao de praticar algum ato ilcito, fraudulento ou no autorizado. Segregao significa basicamente que os estgio de uma transao ou processo so distribudos a pessoas diferentes, de forma que uma nica pessoa no seja capaz de ter controle do incio ao fim. A diviso de responsabilidades, entre grupos ou funcionrios distintos dentro do departamento, de certa forma promove o controle mtuo das atividades desempenhadas por cada grupo ou funcionrio. Com isso, aumenta a probabilidade de serem detectados erros, omisses e fraudes. Dependendo do risco associado, do tamanho da organizao e de sua estrutura hierrquica, a segregao de funes pode ser mais, ou menos, rgida, especfica ou detalhada. Quanto menor a organizao, mais difcil separar suas funes. Normalmente as atividades que envolvem recursos financeiros so as mais crticas para a organizao e, conseqentemente, as mais controladas. Em geral, essas atividades so distribudas a vrios indivduos e sujeitas a um controle mais rgido. A superviso gerencial imprescindvel para que a poltica de segregao de funes tenha resultados satisfatrios. Na poca em que comearam a ser feitas auditorias de sistemas, os auditores costumavam verificar apenas se os operadores dos computadores no tinham acesso aos programas e se os programadores no operavam os equipamentos. Isso fazia sentido e era suficiente naquele tempo. Hoje, com a complexidade dos sistemas operacionais modernos e as diferentes plataformas de hardware e software, o auditor deve avaliar a segregao de funes sob outro prisma, j que novas funes foram introduzidas no modelo organizacional do departamento de informtica. O acesso aos recursos computacionais e s informaes sobre bases de dados, programas, controles internos das aplicaes, etc. s deve ser dado a quem realmente necessita desses recursos e informaes para desempenhar suas funes. Se todos tiverem o conhecimento e os meios para alterao de dados, por exemplo, basta haver um motivo para que ocorram fraudes contra a organizao. A segregao de funes pretende assegurar que as transaes e os processos so autorizados e registrados adequadamente e os recursos (equipamentos, software e informao) esto protegidos. Pode tambm ser uma forma de controle de qualidade e deteco de erros por inabilidade ou incompetncia tcnica.
- 24 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Na prtica, no entanto, com os constantes cortes de investimentos nas organizaes, o quadro de pessoal do departamento de informtica tem sido cada vez mais reduzido. Em algumas organizaes, devido diminuio do quadro, pode ser difcil implementar a segregao de funes. Se o auditor se deparar com um caso semelhante, aconselhvel adaptar sua anlise e suas recomendaes de acordo com a problemtica da organizao e buscar outros controles que possam compensar os riscos da falta de segregao de funes. Interrupo do Contrato de Trabalho Assim como as polticas de contratao de pessoal, so igualmente importantes as polticas e os procedimentos para lidar com o afastamento, voluntrios ou no, de funcionrios. Essas polticas devem definir as medidas a serem adotadas no caso do trmino de um contrato de trabalho, principalmente no que diz respeito ao acesso aos sistemas, dados e recursos patrimoniais da organizao. Seu objetivo a proteo dos recursos computacionais e das informaes da organizao contra ex-funcionrios insatisfeitos. Normalmente, ao interromper o contrato de trabalho, os ex-funcionrios so solicitados a devolver crachs de identificao, chaves e quaisquer equipamentos ou material da organizao (bips, laptops, calculadoras, microcomputadores, impressoras, livros). Alm disso so desativadas as rotinas de pagamento de pessoal, senhas e privilgios de acesso lgico aos recursos computacionais e informaes. Gerncia de Recursos Os recursos computacionais devem ser gerenciados de tal forma que atendam s necessidades e objetivos da organizao com relao informtica, levando em considerao os aspectos de economicidade, eficincia e eficcia. Aquisio de Equipamentos e Softwares recomendvel que o departamento estabelea um plano de equipamentos e softwares, baseado na anlise de desempenho do ambiente atual, na demanda reprimida de servios de informtica, no planejamento de capacidade e no plano estratgico de informtica. Deve seguir os padres de contratao adotados na organizao, as regras estabelecidas em leis, se for o caso (obrigatoriedade de processo licitatrio, por exemplo), e comparar preos e requisitos tcnicos de produtos de fornecedores diferentes. importante ter em mente que nem sempre o mais barato o melhor ou o mais adequado para atender s suas necessidades. Os critrios de seleo devem aliar aspectos econmicos, de eficincia, de eficcia, efetividade e qualidade. Manuteno e Hardware e Software Para reduzir a possibilidade de ocorrncia de falhas e interrupes inesperadas que possam causar impacto no funcionamento normal dos sistemas computacionais, aconselhvel que a manuteno preventiva de hardware ocorra de acordo com os padres de cada equipamento (normalmente sugeridos pelo prprio fabricante). Tambm os pacotes de software devem sofrer manutenes, tais como aplicao de correes (distribudas pelo fornecedor) e atualizaes de releases ou verses mais seguras e confiveis).
- 25 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Outsourcing, Terceirizao e Contratao de Consultoria Externa A terceirizao ou prestao de servios de informtica ocorre quando uma empresa independente presta qualquer tipo de servio relacionado informtica para outra organizao. Essa prestao de servios pode envolver alguns ou todos os estgios de processamento e desenvolvimento dos sistemas, e utilizao de mo-de-obra especializada, em ambiente computacional de propriedade da empresa contratada ou da organizao contratante. Normalmente, os motivos que levam uma organizao a optar pela contratao de servios externos de informtica so custos, problemas de espao fsico para instalao dos equipamentos e quadro reduzido de especialistas em informtica. O termo outsourcing usado quando o cliente contrata uma empresa especializada para prover por completo todos os servios de informtica necessrios para a organizao. Local, equipamentos, software e pessoal so da empresa contratada. Com o outsourcing, a organizao pode concentrar esforos em sua rea de negcios e apenas gerenciar os servios de informtica providos pela empresa contratada. A organizao pode restringir a prestao de servios de informtica em algumas reas especficas, contratando a melhor opo no mercado para desempenhar as atividades especializadas. As reas do departamento de informtica geralmente terceirizadas so manuteno de hardware e software, desenvolvimento de sistemas, operao do centro de processamento de dados (CPD) e suporte tcnico a microcomputadores. Mesmo quando a organizao decide manter um ambiente computacional prprio, pode necessitar de servios externos providos por consultores especializados para desempenhar atividades bem definidas. Isso ocorre quando o quadro de funcionrios do departamento de informtica no est suficientemente capacitado ou treinado para desempenhar tais atividades e a gerncia considerou a contratao de consultoria externa uma opo melhor do que o investimento em treinamento de pessoal. Os trabalhos de auditoria em uma organizao que optou pela terceirazao de alguns servios, outsourcing ou contratao de consultoria externa devem enfocar as clusulas contratuais, as polticas e os procedimentos de segurana de informaes de organizao. Eventualmente, dependendo do tipo de terceirizao, pode ser necessrio auditar a prpria instalao do prestador de servios, para verificar os controles aplicados. Principais Motivos Os principais motivos que levam uma organizao a decidir pela terceirizao, outsourcing ou contratao de consultoria tcnica externa so: Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos, software e manter um quadro tcnico de profissionais de informtica). Restries de fluxo de caixa (a compra de equipamentos pode envolver quantias muito altas, acima das possibilidades da organizao, por outro lado o pagamento pela prestao de servios terceirizados pode ser bem inferior).
- 26 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Mo-de-obra especializada (a organizao pode necessitar de servios de um especialista apenas por um determinado perodo de tempo. Manter esse especialista em sua folha de pagamento pode ser mais oneroso, considerando que seus servios sejam utilizados ocasionalmente). Resoluo de problemas (quando um prestador de servios contatado, assume todas as responsabilidades de entregar o servio dentro do prazo e de acordo com os padres e preos predefinidos. Caso ocorram problemas, a responsabilidade de solucion-los inteiramente do prestador de servios. A organizao apenas cobra o cumprimento do contrato sem se envolver na resoluo dos problemas). Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos por prestadores de servios so entregues em prazos menores, devido s exigncias contatuais e sua maior experincia prtica na rea). Riscos Envolvidos A contratao de servios externos sempre envolve alguns riscos. importante que a equipe de auditoria revise o contrato e certifique-se de que a gerncia detm controle adequado sobre o servio propriamente dito e sobre informao institucional manipulada por pessoas externas organizao. Independentemente de o processamento ser efetuado nas instalaes da organizao ou da firma prestadora de servios, o auditor deve ter acesso a todas as informaes de controle. Em alguns casos, para que o auditor possa atuar na firma prestadora de servios, necessria a incluso de clusula especfica no contrato de prestao de servios. Entre outros aspectos, a organizao deve se assegurar de que os controles de segurana praticados pelo prestador de servios so compatveis com os padres e os procedimentos adotados internamente. Para reduzir esse risco, so recomendadas clusulas contratuais que responsabilizem o contratado a garantir a segurana dos dados de seu cliente. Outro risco que vale a pena ser lembrado a possibilidade de a organizao, com o passar dos anos, tornar-se dependente do prestador de servios, a tal ponto de comprometer seus negcios caso o prestador de servios interrompa suas atividades ou faa exigncias descabidas pra dar continuidade a seu trabalho. Alm disso, a experincia adquirida pelo prestador de servios nos sistemas da organizao dificulta a troca de prestador de servios ao trmino do contrato. Podem se passar meses at que um novo contratado assuma as mesmas atividades com qualidade equivalente. Para reduzir esse risco, devem ser includas clusulas contratuais que definam o repasse de informaes e documentao do prestador de servios para o cliente ou para um novo contratado. essencial que a organizao ainda tome o cuidado de incluir clusulas contratuais que permitam alteraes nos sistemas ou outros servios, de acordo com as novas diretrizes traadas pela organizao. Essas clusulas so especialmente importantes no caso de entidades do setor pblico, onde as mudanas das chefias de Governo implicam em mudanas de metas e estratgias das instituies governamentais. Com a contratao de servios tcnicos externos corre-se o risco de perder ou diminuir a experincia e a habilidade tcnicas de seus prprios profissionais. Isso acaba reduzindo tambm a capacidade de o cliente lidar com problemas tcnicos futuros ou negociar os
- 27 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka aspectos especializados com o prestador de servios, por desconhecimento dos termos tcnicos e de novas tecnologias. Alm disso, a contratao de tcnicos fora do quadro do departamento de informtica pode originar ressentimentos na equipe interna, por ter sido considerada incapaz para executar as mesmas atividades. Pode surgir um clima de descontentamento, queda de produtividade ou boicote dos profissionais do quadro com relao aos prestadores de servios, dando origem a um ambiente propcio para atos no autorizados, fraudes, erros, omisses e sabotagem. Por experincia prtica, pode-se dizer que uma vez terceirizados os servios de informtica, dificilmente a organizao retornar essa atividade. A probabilidade de continuarem sendo terceirizados muito maior. Portanto, uma deciso relativamente definitiva a ser tomada com todo o cuidado, face quantidade de riscos envolvidos. Contratos Toda prestao de servios deve ser formalizada por um contrato. imprescindvel que esse contrato seja revisado pelo departamento jurdico da organizao e apresentado ao auditor, quando solicitado. A organizao, na definio do contrato, deve atentar para os seguintes detalhes:
Custos bsicos e taxas adicionais o contrato deve apresentar claramente todos os custos envolvidos. Direitos de ambas as partes ao trmino do contrato especialmente importante quando a organizao no detm conhecimento suficiente para executar os mesmos servios sem contar com o prestador de servios. Possveis indenizaes, no caso de perdas provocadas por uma das partes quebra de segurana de acesso a informaes confidenciais, violao de direitos de copyright ou de propriedade intelectual, etc. Direitos de propriedade sobre os dados essencial que fique bem claro no contrato que os dados pertencem organizao e no ao prestador de servios. Direitos de propriedade intelectual deve ser estabelecido quem ter direitos sobre o software desenvolvido ou mantido pelo prestador de servios. Repasse de informaes tcnicas e documentao clusula particularmente importante quando h troca de prestador de servios ou extino do contrato. Possibilidade de alteraes quanto mais longo o contrato, maior a probabilidade de os sistemas precisarem de alteraes. necessrio que o contrato estabelea quando, como e que tipo de alteraes sero aceitas. Padres de segurana deve ser especificado que o prestador de servios obrigado a se adequar aos padres de segurana definidos pela organizao. Padres de qualidade o contrato deve descrever os padres de qualidade esperados pela organizao (tempo de resposta, disponibilidade dos servios,
- 28 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka documentao padronizada, tempo de processamento, prazo de entrega de sistemas desenvolvidos, suporte tcnico, etc.). Riscos Inerentes ao Controle Organizacional Inadequado A alta gerncia tem a responsabilidade de salvaguardar os recursos que compem o patrimnio da organizao. Para tanto, necessrio estabelecer polticas que assegurem o controle organizacional adequado, compatvel com os riscos envolvidos. Os riscos mais comuns so a violao da segurana de aceso a recursos computacionais e dados, implicando em fraudes, erros, perda de dados e roubo de equipamentos; e o planejamento inadequado do crescimento computacional, podendo acarretar desperdcio de investimento ao subutilizar os recursos de informtica ou, por outro lado, sobrecarregar o sistema atual, degradando ou tornando indisponveis os servios computacionais oferecidos aos usurios. Uma equipe insatisfeita ou ressentida com a gerncia, capaz de sabotar o sistema computacional, ou uma equipe ineficiente que no cumpre com suas responsabilidades (falha causada por polticas de seleo de pessoal e treinamento inadequado), podem aumentar o risco de ocorrncia de erros e fraudes. A perda de dados e informaes sobre os dados e aplicativos manipulados por prestadores de servios, so outros riscos freqentes. Lista de Verificaes Os aspectos apresentados a seguir podem ser utilizados como uma lista de verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para implementar os controles organizacionais. Para a equipe de auditoria, essas mesmas verificaes podem ser traduzidas em procedimentos de auditoria a serem adotados. A lista proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados. Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem fazer parte dessa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto de partida na elaborao de suas prprias listas de verificaes. Lista de Verificaes Controles organizacionais:
Estabelecer e divulgar um plano estratgico de informtica compatvel com as estratgias de negcios da instituio, o qual deve ser periodicamente traduzido em planos operacionais que estabeleam metas claras de curto prazo. Estabelecer, documentar e divulgar, a todos os funcionrios, as polticas de informtica e os padres a serem adotados na instituio. Atender s obrigaes legais e contratuais, em relao a aspectos administrativos e de segurana.
- 29 -
Definir as responsabilidades de cada unidade organizacional e seus cargos hierrquicos para que os servios de informtica possam ser prestados adequadamente. Instituir poltica de contratao e treinamento de pessoal. Monitorar e avaliar o desempenho dos funcionrios. Evitar a centralizao excessiva de poderes e atividades. Instituir segregao de funes. Estabelecer procedimentos de controle de trabalho de funcionrios. Na constatao de servios terceirizados, estabelecer critrios rgidos para seleo, treinamento, controle de acesso a informaes corporativas, controle de atividades e aceitao de produtos. Estabelecer claramente em contrato os direitos e os deveres do prestador de servios, os padres de qualidade e de segurana a serem seguidos. Definir uma poltica sobre documentao, estabelecendo padres de qualidade e classificao quanto confidencialidade. Manter documentao atualizada dos sistemas, aplicativos e equipamentos utilizados. Elaborar manuais de instruo para o desempenho das atividades no departamento de informtica. Elaborar plano de aquisio de equipamentos baseado na anlise de desempenho dos sistemas atuais, na demanda reprimida dos usurios e nos avanos tecnolgicos imprescindveis para a continuidade dos negcios da instituio. Obedecer aos prazos recomendados de manuteno preventiva dos equipamentos e aplicar as correes necessrias nos pacotes de software. Estabelecer acordos de nvel de servio quanto disponibilidade dos recursos computacionais e seu desempenho em condies normais e emergenciais. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios.
Controles de Mudanas Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, quase certo que ser necessrio, de tempos em tempos, atualizar a plataforma de hardware, a verso do sistema operacional ou incorporar melhorias no cdigo das aplicaes desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanas ou detectar fraudes durante a fase de transio, importante controlar o processo de
- 30 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka mudanas. Todas as alteraes devem ser autorizadas, documentadas, testadas e implementadas de forma controlada. Para tanto, as organizaes devem definir um procedimento padro de mudanas, o qual nortear todo o processo. imprescindvel garantir que a mudana no comprometa a funcionalidade do sistema alm dos limites previamente definidos. O que Pode Provocar uma Mudana? Raramente um ambiente computacional se mantm inalterado por um longo perodo de tempo. As mudanas tecnolgicas, muitas vezes, so as responsveis por mudanas mais radicais, como troca de equipamentos, metodologia de trabalho ou sistema operacional. A seguir sero apresentados alguns fatores que levam a uma mudana no ambiente de informtica.

Atualizao tecnolgica do parque computacional. Maior demanda por capacidade de processamento ou de armazenamento (troca ou atualizao de hardware computador, discos, memria) identificada pela gerncia de planejamento de capacidade e desempenho. Manuteno peridicas (troca de componentes de hardware, troca de verso de software, aplicao de correes). Identificao de problemas com o sistema a partir dos constantes registros feitos pelo help-desk. Insatisfao dos usurios com aspectos do sistema, tais como: telas de interface pouco amigveis, navegao confusa entre as diversas telas, baixo tempo de resposta, constante indisponibilidade, dados incorretos nos relatrios gerados, etc. Identificao de vulnerabilidades do sistema em termos de segurana. Operao ineficiente ou complicada uma mudana poder facilitar o trabalho dos operadores, administradores de bancos de dados, gerente de rede, atendentes do help-desk, etc. Mudana dos objetivos do sistema, incluindo alteraes na legislao ou norma a que o sistema atende.
Procedimentos de Controle de Mudanas Os procedimentos de controle de mudanas podem variar de uma organizao a outra e dependem do tipo de mudana envolvida. Abaixo ser apresentado um exemplo de possveis procedimentos relacionados com mudanas em aplicativos. 1. Uma solicitao de mudana feita por um ou mais usurios. 2. feito um registro da solicitao, anlise de sua factibilidade e dos possveis impactos que a mudana pode acarretar no sistema e em outros sistemas relacionados.
- 31 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka 3. Uma especificao da alterao de programa feita e submetida aprovao gerencial. 4. Em um ambiente de teste, o programador efetua alteraes ou desenvolve um novo sistema. 5. So definidos procedimentos de retorno. 6. As modificaes so testadas em um ambiente controlado de desenvolvimento. 7. Durante o teste, verificado se as modificaes seguem os padres de programao e documentao da organizao. 8. feita uma simulao no ambiente de produo, fora do horrio normal de funcionamento. 9. So feitos acertos em funo dos resultados dos testes. 10. Depois de todos esses passos e de sua documentao, o programa est pronto para ser colocado em produo. Os controles sobre a modificao de programas aplicativos ajudam a garantir que somente modificaes autorizadas sejam implementadas. Sem um controle apropriado, existe o risco de que caractersticas de segurana sejam omitidas ou contornadas, intencionalmente ou no, e que processamentos errneos ou ameaas programadas sejam introduzidos. Por exemplo, um programador pode modificar o cdigo de um programa para burlar os controles e obter acesso a dados confidenciais; a verso errada de um programa pode ser implantada, ocasionando processamentos errados ou desatualizados; ou ainda um vrus pode ser introduzido, prejudicando o processamento. Mudanas de Emergncia De tempos em tempos ocorrem problemas com os sistemas em produo, ou com os equipamentos de informtica, que precisam ser sonados o mais rpido possvel. Nesses casos, necessrio executar mudanas de emergncia. Essas mudanas no podem aguardar o procedimento normal de controle de mudanas e devem ser implementadas o quanto antes. Mesmo sendo uma emergncia, recomendvel que a organizao se planeje para esse tipo de situao e seja capaz de control-la. Provavelmente muitos passos do procedimento normal no sero seguidos de imediato, como documentao, por exemplo. Porm, assim que a situao emergencial estiver resolvida, deve ser retomado o processo normal de controle, complementando o que j foi feito durante a emergncia. Controle de Verso Os procedimentos de controle de verso so importantes porque garantem que todos os usurios utilizam a verso correta do pacote de software ou aplicativo. A utilizao indiscriminada de verses diferentes de software pode acarretar problemas srios, j que as transaes so processadas de forma diferente, a partir de dados diferentes e gerando
- 32 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e confiabilidade. A verso atual de software ou aplicativo pode ser colocada em uma biblioteca de programas, distribuda ou acessada por todos da organizao. Essa biblioteca deter informaes sobre as alteraes feitas e um histrico de verses. Riscos Associados a Controles de Mudanas Inadequados Os principais riscos associados a controles de mudanas inadequados so:
Uso de software ou hardware no autorizado, gerando incompatibilidade no sistemas e dados. Processamento e relatrios incorretos, levando, por exemplo, a decises gerenciais de negcios totalmente equivocadas, pagamentos errneos ou registro incorreto de transaes. Insatisfao do usurio, acarretando perda de produtividade, entrada de dados incorretos, etc. Dificuldades de manuteno por falta de documentao adequada. Mudanas acidentais ou deliberadas, sem devida autorizao, causando, por exemplo, erros de processamento e liberao de informaes confidenciais a usurios no autorizados. Mudanas de emergncia no controladas, acarretando perda de dados e corrupo de arquivos.
Lista de Verificaes Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para implementar os controles de mudanas. Para a equipe de auditoria, essas mesmas verificaes podem servir como procedimento de auditoria a serem adotados. A lista proposta abaixo no tem a pretenso de cobrir todos os pontos a serem verificados. Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-las como um ponto de partida na elaborao de sus prprias listas de verificaes. Lista de Verificaes Controle de mudanas: Documentar todas as modificaes e implement-las apenas se aprovadas pela gerncia. Avaliar o impacto das mudanas antes de implement-las e o efeito da sua no implementao. Definir os recursos necessrios para implementar a alterao e os recursos
- 33 -

futuros necessrios para sua manuteno. Testar exaustivamente os programas antes de coloc-los em produo. Preparar um plano de restaurao da situao anterior, caso algo d errado na implantao da mudana. Estabelecer procedimentos para alteraes de emergncia. Aps os testes e a aprovao, impedir qualquer nova alterao. Se esta for necessria, deve ser submetida a novos testes e aprovao. Planejar a mudana de forma a minimizar o impacto no processamento normal dos sistemas e servios prestados aos usurios. Comunicar com antecedncia aos usurios sobre a programao de mudanas que possam alterar o processamento normal dos sistemas por eles utilizados. Manter e analisar periodicamente log das atividades de mudanas. Manter controle das verses dos softwares utilizados. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como controles organizacionais, segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios, etc.
Controles de Operao dos Sistemas A operao dos sistemas est relacionada com aspectos de infra-estrutura de hardware e software. Seu objetivo liberar os usurios de atividades repetitivas e das responsabilidades de garantir a disponibilidade dos sistemas e seu funcionamento adequado. A equipe de operao requer certos procedimentos ou instrues especficas para processar cada aplicativo, alm de procedimentos gerais relacionados com o ambiente operacional em que esses aplicativos so executados. aconselhvel que o auditor reveja tanto os procedimentos gerais quanto os especficos de cada aplicao. Mudanas na Operao de Sistemas em Funo das Novas Tecnologias A maioria das organizaes est sofrendo transformaes tecnolgicas que acarretam mudanas significativas na operao dos sistemas, inclusive reduo de pessoal. Alm disso, muitas delas, com vrios centros de processamento, esto optando pelo processamento e controle remoto das operaes a partir de uma nica localidade, j que a tecnologia de rede de comunicao j possibilita essa facilidade. Os softwares de automao j substituem algumas atividades dos operadores, como a colocao de cartuchos de fita nas unidades ou ativao de rotinas a partir de certas condies de processamento ou de tempo. Esses softwares eliminaram, em grande parte, os riscos de erros e fraudes na operao. No entanto, os operadores ainda so necessrios para checar a correta ativao dessas rotinas automticas. A impresso de relatrios, antes feita somente na sala do computador, hoje, com o processamento distribudo, efetuada nos departamentos dos usurios. No h a necessidade de distribuio de relatrios aos usurios solicitantes. Mesmo em organizaes
- 34 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka que optaram pela impresso centralizada, a interveno dos operadores menor, graas a inovaes tecnolgicas no hardware e no software de controle de impresso. Na antiga organizao de processamento de dados, a rea de operaes era a principal preocupao da auditoria. O operador tinha controle quase que total do processamento de dados e aplicaes, podendo burlar controles de acesso, adulterar seqncias de processamento de programas ou inserir dados incorretos. Apesar de algumas dessas atividades no autorizadas ainda serem possveis, o controle sobre a atuao dos operadores maior, j que vrias de suas atividades hoje so automatizadas e, conseqentemente, mais fceis de serem controladas pela gerncia. Em funo dessas mudanas, alguns procedimentos de auditoria tradicionais parecem arcaicos nos dias de hoje. importante que o auditor adapte seus objetivos de auditoria e procedimentos de acordo com o ambiente computacional a ser auditado. Funes Tradicionais de Operao de Sistemas Operao na Sala do Computador Os operadores so responsveis pela operao dos equipamentos, computadores e perifricos, monitorando seu funcionamento e respondendo a mensagens por eles geradas. Em centros de processamento de pequeno porte, so responsveis ainda pela operao da rede de telecomunicaes. Os operadores, por princpio, no podem introduzir dados no sistema ou alterar programas e arquivos. Sua funo limita-se ao processamento dos sistemas em produo, devidamente desenvolvidos pelos programadores e aprovados pela gerncia. recomendvel que todas as atividades dos operadores sejam registradas em logs para que posteriormente possam ser auditadas. Com esses logs so muito extensos e pouco amigveis, j existem pacotes de software que analisam os logs e geram relatrios mais sintticos para auxiliar na identificao de atividades de processamento inadequadas ou no autorizadas, tais como: alterao de parmetros de segurana durante a carga inicial do programa (IPL initial program load ou boot dos sistemas); violaes de segurana registradas pelo software de controle de acesso; uso no autorizado de programas utilitrios; abends (abnormal ends) de programa; instalao no autorizada de novos softwares ou processamento fora do horrio normal de expediente. Escalonamento do Servio Os servios em produo so introduzidos no computador pelo escalonamento de servios. Esses servios podem ser um processo ou seqncia de processos batch e arquivos preparados para serem rodados durante a noite ou em segundo plano (background). Em ambientes de grande porte, a linguagem JCL (job control language) contm os parmetros necessrios para o processamento de jobs (servios), os quais so introduzidos pelos operadores. Hoje em dia j existem pacotes de software mais sofisticados que, a partir de parmetros preestabelecidos, despacham automaticamente os servios, sem a interveno do operador. O escalonamento de servios, automtico ou no, o mtodo padro de entrada de servios na fila de processamento do computador. Esse mtodo deve ser previamente aprovado pela gerncia.
- 35 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka importante que o auditor confirme se existe um mtodo de escalonamento previamente estabelecido e aprovado, se esse mtodo controlado por senha para prevenir acesso ou alteraes no autorizadas e se h um mtodo emergencial para submisso de jobs, devidamente autorizado e aprovado pela gerncia. Gerncia de Desempenho e Planejamento de Capacidade comum, em departamento de informtica maiores, haver uma seo de controle sobre os arquivos e jobs processados, responsvel pela superviso do desempenho e tempo de resposta, por exemplo. Seu objetivo monitorar o desempenho atual e realizar tuning (sintonia) do sistema, isto , realizar pequenas modificaes capazes de melhorar o desempenho atual. Em geral, essa mesma gerncia executa o planejamento de capacidade. Esse planejamento leva em conta o desempenho atual e a demanda reprimida para elaborar estimativas de uso futuro de capacidade de CPU Central Processing Unit -, armazenamento em disco e carga da rede. Seu objetivo garantir que os sistemas computacionais continuem a apresentar um nvel satisfatrio de desempenho e atendam s novas demandas dos usurios. Atendimento ao Usurio e Gerncia de Problemas O servio de atendimento ao usurio a interface entre usurios e departamento de informtica. Todos os departamentos de informtica normalmente tm uma seo como essa, pois , o ponto de contato com seus clientes. Todos os problemas e dvidas dos usurios so encaminhados a esse servio, o qual responsvel por registrar todos os problemas, resolver os mais simples e encaminhar os mais complicados para o especialista mais capacitado dentro do departamento de informtica. Esse servio chamado pelos usurios quando existe um problema com uma impressora, erros nos relatrios, terminais ou microcomputadores fora do ar ou quando algum esquece a senha. Do ponto de vista de controle, a gerncia de atendimento ao usurio uma seo importante, pois o ponto de partida para a verificao de problemas ocorridos com os sistemas informatizados e com o ambiente de informtica como um todo. Devem existir procedimentos padronizados de registro de problemas, desde a reclamao do usurio at a sua soluo. Os registros de problemas geralmente contm data da ocorrncia, nome ou identificao do usurio reclamante, descrio da falha e da resoluo, as possveis causas e o responsvel por sua resoluo. O registro das solues visa facilitar a resoluo de problemas futuros, similares aos j ocorridos. recomendvel que o auditor verifique se o servio de atendimento ao usurio funciona adequadamente e analise os relatrios de problemas em busca de indcios de irregularidades ou erros freqentes de processamento. Gerncia de Meios Magnticos ou Fitoteca Embora a maior parte dos dados esteja armazenada, nos dias de hoje, em discos de alta capacidade diretamente conectados ao computador ou em disquetes e CD-ROMs gerenciados pelos usurios, ainda existem fitas, em rolo ou cartucho, a serem armazenadas em local centralizado e seguro. A fitoteca pode armazenar fitas de uso frequente ou fitas backup da instalao, sendo aconselhvel haver um registro de todas as fitas armazenadas e
- 36 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka procedimentos para sua gerncia. Os departamentos de informtica de grandes corporaes, por manipularem grandes quantidades de fitas, utilizam normalmente um pacote de software gerenciador de meios magnticos, o qual mantm um registro de todos os meios removveis, os arquivos neles contidos e o local fsico em que esto armazenados. Em algumas organizaes so utilizados robs para manipulao de meios magnticos, eliminando, assim, qualquer interveno de operador. Independentemente do mtodo utilizado, o auditor deve verificar se os registros so confiveis e se os arquivos esto fisicamente seguros, sendo acessados apenas por pessoal autorizado. Devem ainda existir procedimentos adequados para transporte dos meios magnticos , backup e inutilizao de seu contedo ao serem descartados. Gerncia de Controle de Acesso Mesmo com as mudanas tecnolgicas, ainda existem operadores com acessos privilegiados para executar tarefas de manuteno de sistemas, por exemplo. O controle de acesso como um todo um ponto importantssimo a ser verificado pelo auditor. Muitas vezes merece at uma auditoria especial. necessrio que o auditor identifique, no caso dos operadores, quem tem acesso privilegiado e considere se esse acesso justificado e limitado apenas queles que realmente necessitam dele. As atividades executadas pelos operadores devem ser registradas em logs para que posteriormente possam ser auditadas. Gerncia de Backup e Recuperao Em geral existe, no departamento de informtica, uma gerncia de backup peridico de dados, arquivos e sistemas. Em conjunto com a gerncia de fitoteca, responsvel pelos procedimentos de backup e restaurao dos sistemas aps uma eventualidade. Manuteno de Hardware A maioria dos equipamentos de informtica e de controle ambiental, como ar condicionado e sistemas de combate a incndios, necessitam de manuteno preventiva peridica para reduzir o risco de falhas inesperadas em seu funcionamento. Normalmente esse servio provido pelo prprio fornecedor do equipamento ou por firmas especializadas contratadas para esse fim. No caso de microcomputadores e estaes de trabalho, no comum realizar-se manuteno preventiva. O auditor, se achar conveniente, pode examinar os contratos de manuteno, seus cronogramas e os relatrios de problemas registrados pelo help-desk com relao a falhas de hardware. Dessa forma, pode estimar se o servio de manuteno est sendo adequado. Manuteno Remota de Software Algumas organizaes permitem que sua equipe tcnica acesse os softwares de suas inmeras instalaes via linha discada para efetuar manutenes necessrias, geralmente fora do horrio normal de expediente. Essa manuteno, algumas vezes, estende-se at os fornecedores de hardware e software , os quais mantm uma central de atendimento aos seus clientes e realizam, remotamente, atualizaes em seus produtos.
- 37 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka O acesso remoto, apesar de ter como objetivo a manuteno de hardware e software, no deixa de ser uma porta aberta para acesso indesejados, uma fragilidade da segurana dos sistemas. essencial que todas as atividades realizadas remotamente sejam registradas e revisadas pela equipe de segurana da organizao. Por outro lado, se devidamente controlado, por meio de senhas, perfis de acesso e outros artifcios de segurana, o acesso via linha discada para manutenes pode melhorar significativamente a continuidade dos servios , j que os problemas de produo podem ser resolvidos mais rapidamente. Gerncia de Rede Essa gerncia tem a responsabilidade de garantir que a rede de comunicao opere normalmente e de fornecer aos usurios acesso rede de acordo com o nvel de servio previamente estabelecido. Em geral, h uma equipe de operadores especialmente treinada para realizar as operaes de rede, dada a complexidade dessa atividade. Acordos de Nvel de Servio As organizaes com uma boa administrao dos servios de informtica geralmente fazem acordos de nvel de servio entre o departamento de informtica e os departamentos de usurios. Usurios e departamento de informtica estabelecem nveis de servio em termos de quantidade, qualidade e disponibilidade de sistemas. Cabe ao auditor verificar se o acordo de nvel de servio cumprido e se os usurios esto satisfeitos com os servios prestados pelo departamento de informtica. Os acordos nada mais so do que contratos de prestao de servios internos que descrevem os servios a serem prestados, o horrio de funcionamento e a disponibilidade do servio (percentual de disponibilidade, tempo de recuperao aps a ocorrncia de uma falha e tempo entre falhas), as medidas de desempenho e de segurana, incluindo plano de contingncias. Os acordos podem ainda conter detalhes sobre o servio de atendimento ao usurio. Documentao dos Procedimentos de Operao Para garantir a operao correta e segura de todos os sistemas computacionais, a organizao deve possuir procedimentos de operao documentados de forma clara e simples. importante que essa documentao contenha informaes, como procedimentos de inicializao, manipulao dos arquivos de dados, escalonamento de servios, tratamento de erros, backup e recuperao dos sistemas. Normalmente contm procedimentos de segurana, de limpeza e conservao do ambiente onde se encontram os equipamentos e nmeros de telefone dos tcnicos de suporte aos sistemas (equipe interna ou dos fornecedores de hardware e software). Tradicionalmente a documentao no feita de forma adequada ou no atualizada como deveria ser. Em geral as pessoas no gostam de documentar, por considerarem essa atividade repetitiva, desgastante e sem importncia. O auditor deve recomendar que se faa uma documentao adequada, tanto dos procedimentos de operao quanto de todos os aspectos envolvendo os sistemas da organizao. Por meio da documentao pode-se auditar com maior facilidade. Alm disso, a documentao pode ser uma tima fonte de informaes para recm-contratados e para a manuteno dos sistemas.
- 38 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Poltica de Contratao e Treinamento de Operadores A contratao de operadores deve seguir os critrios apresentados anteriormente, no que diz respeito poltica de pessoal. A equipe de operaes deve ter habilidades, experincia e treinamento suficientes para executar seu trabalho adequadamente. Riscos Inerentes a Controles de Operao Inadequados A falta ou ineficincia dos controles de operao pode acarretar problemas, como perda ou corrupo de aplicativos e dados, resultante de uso incorreto ou no autorizado de utilitrios de sistema; funcionamento incorreto de aplicativos, gerando informaes errneas; sobrecarga do sistema ou falta de espao de armazenamento, impossibilitando a execuo de novas transaes ou servios; insatisfao dos usurios com o departamento de informtica por no serem auxiliados adequadamente pelo servio de atendimento ao usurio; falta de backup e planejamento de contingncia, aumentando os riscos de indisponibilidade dos sistemas por um longo perodo de tempo. Lista de Verificaes Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para implementar os controles de operao de sistemas, e para a equipe de auditoria, essas mesmas verificaes podem ser traduzidas em procedimentos de auditoria a serem adotados. A lista proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados. Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto de partida na elaborao de suas prprias listas de verificaes. Lista de Verificaes Controles de operao de sistemas: Distribuir adequadamente a carga de trabalho entre os operadores, levando em considerao os perodos de pico e a natureza de cada atividade de operao. Supervisionar as atividades de operao dos sistemas. Analisar o desempenho dos sistemas, visando o planejamento de capacidade mais adequado s necessidades dos usurios. Implementar uma gerncia de problemas, de forma que os problemas reportados pelos usurios e identificados pela equipe de informtica possam ser registrados, analisados e corrigidos adequadamente. Instituir uma equipe de help-desk para auxiliar os usurios na utilizao dos recursos computacionais e registrar os problemas por eles identificados. Manter um histrico dos problemas ocorridos e suas respectivas solues, com objetivo de facilitar a resoluo de problemas futuros. Estabelecer procedimentos de controle de acesso a arquivos e programas em dispositivos de armazenamento de dados (discos, fitas e cartuchos), terminais e estaes de trabalho.
- 39 -

Estabelecer uma rotina de backup e recuperao dos sistemas, aplicativos e dados. Produzir e manter atualizados manuais de operao de sistemas, aplicativos e equipamentos. Estabelecer mecanismos para minimizar os impactos provocados por falhas de hardware ou software. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como controles organizacionais, segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios, etc.
Controles sobre microcomputadores

Geralmente em um ambiente com microcomputadores h um menor controle fsico e ambiental sobre os equipamentos. Normalmente o ambiente de microcomputadores no controlado., j que os equipamentos so instalados em salas comuns, na maioria das vezes com livre acesso a qualquer pessoa. Dependendo do grau de confidencialidade e criticidade dos dados e aplicativos processados nesse ambiente, a falta de controle fsico e ambiental pode ser um problema significativo ou no. Com isso, essencial que a equipe de segurana e auditoria tenha em mente outros tipos de riscos, vulnerabilidades e controles a serem avaliados. Riscos e Controles Especficos A maioria dos problemas e riscos associados computao em microcomputadores surge da falta de controle desse ambiente. Geralmente os usurios agem da forma como acham melhor. H certa dificuldade de conscientizar os usurios quanto importncia da segurana das informaes e das polticas, padres e prticas de trabalho a serem adotadas. Controles Organizacionais Quando no houver um departamento de informtica formalmente estabelecido, importante que o auditor determine quem tem acesso aos sistemas em microcomputador e como essas pessoas os utilizam. A documentao um item importante, devendo incluir os procedimentos operacionais para processamento dos sistemas, backup e recuperao. A documentao deve ser suficiente para permitir que algum, com poucos conhecimentos a respeito das aplicaes especificas, possa process-las sem problemas e efetuar operaes bsicas de backup e recuperao. Conformidade com a Legislao A organizao deve estabelecer polticas para garantir que seus usurios estejam conscientes da legislao, obedeam as normas e no pratiquem a pirataria de software. Pirataria A pirataria deve ser uma prtica condenada na instituio, no s por ser ilegal e anti-tica, mas tambm porque pode ser arriscado utilizar um software sem ter certeza de sua fonte.
- 40 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka recomendvel que o auditor verifique se todos os softwares utilizados foram realmente contratados pela organizao. A equipe de segurana e auditoria pode utilizar ferramentas de software para auxiliar na tarefa de verificao das licenas de software contidas nos discos rgidos. Controles de Acesso Fsico e Lgico O acesso fsico a computadores de mesa normalmente menos controlado do que nos ambientes de computadores de grande porte, onde tradicionalmente o acesso restrito por portas trancadas, fechaduras com segredo, vigilncia constante ou circuitos internos de TV. recomendvel que os usurio de micro sejam encorajados a utilizar senhas, criptografia, proteo automtica de tela, pacotes de segurana e, se possvel, armazenem os dados confidenciais em um servidor de arquivos. Continuidade de Servios A gerncia de segurana e auditoria pode recomendar o uso de um servidor de arquivos para armazenamento de dados ao invs do disco rgido local. Normalmente o servidor de arquivos administrado pelo departamento de informtica e possui procedimentos de backup peridico de seu contedo. Recomendar o uso de estabilizadores e fontes de energia ininterrupta. Verificar os logs para monitorar mensagens de erro e falhas do sistema. Proteo Contra Vrus de Computador Existem diversos controles que a organizao pode usar para reduzir o risco de infeco por vrus. Alguns so de natureza tcnica; outros, administrativos. Uso de Disquetes e Arquivos via Internet Todos os disquetes externos e arquivos da Internet de vem ser submetidos ao anti-vrus possa antes de serem carregados. Disquetes contendo arquivos compactados devem ser descompactados para que o anti-vrus possa cumprir sua finalidade. Uso de Software Aprovado pela Gerncia A organizao deve estabelecer uma poltica que controle o contedo de seus microcomputadores, permitindo apenas softwares aprovados pela gerncia. Com isso, pode-se reduzir o risco de difuso de vrus anexados a aplicativos de fontes desconhecidas. Para garantir o cumprimento da poltica, a gerncia deve realizar auditorias regulares nos computadores dos usurios, utilizando, se for o caso, sistemas de gerncia de rede que permitam acesso e superviso remota dos microcomputadores conectados rede. aconselhvel manter uma certa padronizao de produtos, com o objetivo de facilitar o treinamento dos usurios e as manutenes de software que se fizerem necessrias. Procedimentos de Emergncia No caso de todas as medidas preventivas falharem, a organizao deve ter um plano de emergncia preparado para lidar com situaes de ataque de vrus.Lista de Verificaes
- 41 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. A lista proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados. Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto de partida na elaborao de suas prprias listas de verificaes. Lista de Verificaes Controles sobre microcomputadores: Manter um inventrio dos equipamentos de microinformtica. Instituir controles de entrada e sada de peas e equipamentos, com o objetivo de evitar ou minimizar a perda ou roubo de equipamentos. Instruir os usurios de laptops para no armazenarem nesses equipamentos senhas que possibilitem acesso a sistemas internos ou informaes confidenciais no criptografadas. Manter, se possvel, padronizao de produtos de hardware e software. Utilizar apenas softwares contratados. Utilizar estabilizadores de energia ou equipamentos similares de proteo aos microcomputadores. Manter registro das licenas de software, identificando em que mquinas esto sendo processadas. Cadastrar os pacotes de software em demonstrao em registros separados no inventrio, para que possam ser tomadas as providencias necessrias para sua contratao ou sua eliminao da mquina ao trmino do perodo de demonstrao. Cadastrar os pacotes de software adquiridos sem nus (freeware) em registros separados no inventrio. Permitir a carga de novos softwares apenas ao administrador do sistemas ou pessoas por ele autorizadas. Verificar periodicamente o contedo dos discos rgidos dos microcomputadores e eliminar os softwares que no corresponderem aos registros do inventrio. Estabelecer uma poltica contra pirataria de software, prevendo inclusive punies aos infratores. Utilizar sempre senhas ou outros mecanismos de identificao e autenticao dos usurios. Manter atualizados os anti-vrus em todos os micros da instituio. Carregar no computador apenas software e dados a partir de fontes confiveis, submetendo todos os arquivos externos ao anti-vrus, antes de serem carregados. Promover programa de treinamento e conscientizao dos usurios quanto segurana de informaes. Utilizar proteo automtica de tela, com senha. Utilizar criptografia. Realizar backup regularmente. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como controles organizacionais, segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios, etc.
- 42 -
Controles Sobre Ambiente Cliente-Servidor

O controle e segurana em ambiente cliente-servidor um desafio equipe de auditoria e segurana, j que sua arquitetura se baseia em tecnologias de microinformtica e de redes, as quais no foram originalmente projetas para serem seguras. Quase todos os dispositivos de segurana nesse ambiente forma projetados posteriormente, em funo da necessidade. um ambiente bastante heterogneo, tanto em relao a hardware e software, quanto ao perfil de usurios. A forma como o sistema operacional e os aplicativos cliente-servidor so distribudos logicamente constitui-se um desafio a mais equipe de segurana. Em uma auditoria, a equipe pode considerar os componentes separadamente ou como sistemas integrados. Dependendo do tipo de auditoria e da forma como os componentes foram distribudos, a auditoria pode se concentrar no computador central ou em mltiplos servidores, clientes e rede de comunicaes. Quando comparado ao ambiente de microcomputadores stand-alone (desconectados), entretanto, o ambiente cliente-servidor apresentar certas vantagens de segurana, j que permite que a organizao mantenha um controle central de seus dados, no que diz respeito a direitos de acesso, manuteno e backup, e tome medidas preventivas e corretivas de segurana mais eficazes. Configurao do Sistema Operacional A configurao inicial dos sistemas operacionais, distribuda pelos fornecedores, normalmente no tem como objetivo a segurana. Muito pelo contrrio, a configurao default do sistema feita na sua forma mais permissiva, facilitando sua instalao e uso, e habilitando seus componentes e servios mais populares. As brechas de segurana nas configuraes default dos sistemas operacionais so tantas que tornam sua customizao uma tarefa mais trabalhosa do que deveria ser. Contas de Usurio Todo usurio, para acessar algum recurso do ambiente cliente-servidor, precisa ter uma conta. A conta tem as informaes necessrias para que cada usurio seja reconhecido na rede, tais como nome e senha. Em alguns sistemas operacionais, a conta tambm tem outras informaes importantes, tais como direitos, permisses de acesso e grupos aos quais o usurio est associado. bom esclarecer a diferena entre direito e permisso. Um direito uma autorizao para o usurio executar certas operaes no sistema como um todo. A permisso, por sua vez, uma regra, associada a um determinado objeto, que define quais usurios podem acessar aquele objeto e de que maneira. Os direitos, por serem vlidos para todo o sistema, tm prioridade sobre as permisses. Por exemplo, o usurio Paulo tem o direito de fazer backup de arquivos e diretrios. Mesmo que o proprietrio de um determinado arquivo no tenha dado a permisso de backup ao Paulo, ele poder fazelo, j que o seu direito prevalece sobre a permisso especfica associada quele arquivo. Existem alguns tipos de contas de usurio especialmente importantes no que se refere a segurana: As contas sem senha ou guest normalmente so usadas em casos excepcionais de usurios ocacionais ou, como o prprio nome diz, convidados. As contas com senha padronizada
- 43 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka ou default, por sua vez, geralmente so associadas a produtos de software em demonstrao ou teste. Esses dois tipos de contas so enormes brechas de segurana, j que um invasor, sem muito esforo, pode utiliz-las para acesso inicial ao sistema e, uma vez conectado, pode tentar acessar, mais facilmente, contas privilegiadas. Seu uso, portanto no recomendado. A conta de administrador, tambm chamada de root ou super-usurio em ambientes Unix, uma conta em se tratando de segurana, pois tem controle completo da operao e segurana do SO e sobre qualquer arquivo ou diretrio. recomendvel que essa conta seja utilizada apenas pelo responsvel pela configurao e segurana da rede, quando as atividades a serem executadas assim o exigirem. Em outras palavras, sempre utilize uma conta cujos privilgios so os menores possveis, isto , suficientes apenas para executar a tarefa desejada. Utilizar contas privilegiadas para realizar tarefas corriqueiras torna o sistemas mais suscetvel atuao de cavalos de tria, por exemplo. Se, acidentalmente, um usurio processar um cavalo de tria, melhor que ele tenha pouqussimos privilgios para que os danos provados por esse programa sejam limitados aos dados e arquivos particulares do usurio, sem atingir arquivos confidenciais da instituio ou de configurao do SO. Grupos Um grupo um conjunto de permisses e direitos de acesso que pode ser associado a vrios usurios, sendo um artifcio utilizado pelo administrador do sistema para facilitar a gerncia de acesso aos recursos da rede. As contas de usurio que normalmente executam tarefas semelhantes so reunidas em um grupo e seus direitos de acesso so definidos para o grupo, evitando definies repetidas para cada usurio individualmente. Os grupos podem ser usados tanto para ceder como para limitar o acesso a recursos crticos. Por exemplo, apenas os usurios do grupo Presidncia podero ter acesso base de dados confidenciais da empresa. Com grupos, o administrador trata um grande nmero de usurios como se fosse uma nica conta. Se for necessrio alterar qualquer direito de acesso, isso pode ser feito no grupo, afetando, assim, os direitos de todos os usurios a ele associados. Dependendo de suas funes na empresa, um usurio pode ser definido em mais de um grupo. Permisses de Arquivo e de Diretrio As permisses de arquivo e de diretrio determinam se um usurio ou grupo pode acessar um arquivo ou diretrio e como se dar esse aceso. Normalmente o usurio proprietrio aquele que cria o arquivo ou diretrio e cabe a ele definir e alterar as permisses de acesso. O ambiente Windows NT O ambiente Windows NT apresenta, como uma de suas caractersticas de projeto, uma arquitetura de segurana, baseada no conceito de domnios, grupos de usurios, permisses e direitos de acesso, a qual facilita a implementao de uma estrutura computacional mais controlada. Seus componentes bsicos so LSA (Local Security Authority), SAM (Security Account Manager) e SRM (Security Reference Monitor). Colocar figura
- 44 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Subsistema de Segurana Local Security Authority (LSA) O subsistema de Segurana (LSA) o principal componente de arquitetura de segurana do NT e, por isso, muitas vezes considerado como o prprio subsistema de segurana. Dentre suas funes, destacam-se:

Criao de tokens de acesso durante o processo de logon do usurio; Validao do usurio de acordo como seu tipo de permisso de acesso; Controle e gerncia da poltica de segurana e auditoria no ambiente NT; Manuteno de log de mensagens de auditoria geradas pelo monitor de segurana (SRM).
O LSA, para realizar seus objetivos de segurana, utiliza os servios providos pelos outros componentes do subsistema. Gerenciador de Informaes de Segurana Security Account Manager (SAM) Esse componente mantm uma base de dados de segurana com informaes de todas as contas de grupo e usurios. Apesar de ser transparente ao usurio, o SAM presta, ao LSA, os servios de validao de usurios, comprando as informaes digitadas no processo de logon com as informaes anteriormente armazenadas na base de dados. Dependendo da arquiterura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma base SAM para cada estao de trabalho ou domnio. A validao, nesse caso, pode ocorrer de forma centralizada (na base SAM da mquina controladora do domnio) ou descentralizada (na base SAM da estao de trabalho). Monitor de Segurana Security Reference Monitor (SRM) O monitor de segurana tem como funo garantir o cumprimento das polticas de validao de acesso e de gerao de logs de auditoria estabelecidas pelo subsistema LSA, protegendo recursos e objetos contra acesso ou alteraes no autorizadas. Para tanto, o monitor valida o acesso a arquivos e diretrios, testa os privilgios de aceso dos usurios e gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a objetos. Para poder acessar qualquer objeto, o usurio submetido, de forma transparente, validao do SRM. O SRM compara as informaes do descritor de segurana do objeto pretendido com as informaes de segurana da token de acesso do usurio e toma a deciso se o acesso deve ser permitido ou no. Processo de Logon A inteno do NT com o usurio inicia-se com uma medida de segurana preventiva. Antes de fornecer seus dados, o usurio orientado a pressionar simultaneamente as teclas CTRL+ALT+DEL, a fim de detectar aplicativos rodando em segundo plano (background). O processamento em background um artifcio bastante utilizado por cavalos de Tria, na tentativa de capturar as informaes de logon do usurio. Em seguida, apresentada a tela de autorizao, na qual o usurio preenche sua identificao, senha e domnio ou servidor que pretende acessar. Essa fase do logon s ser realizada com sucesso se a identificao e
- 45 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka a senha do usurio estiverem corretas. Se apenas uma delas estiver certa, o NT envia mensagem de falha de autorizao do usurio, sem indicar o campo incorreto. Esse procedimento tambm uma medida preventiva, no caso de pessoas no autorizadas estarem tentado adivinhar os dados de um usurio. A fase seguinte a da autenticao do usurio. As informaes digitadas pelo usurio so repassadas pelo subsistema de segurana (LSA) ao gerenciador de informaes de segurana (SAM), o qual as compara com as informaes da base de contas de usurios do domnio pretendido. Se a identificao e a senha do usurio corresponderem aos dados de alguma conta da base de dados, o servidor avisa estao de trabalho que a autenticao daquele usurio foi satisfatria. O subsistema de segurana (LSA) constri, ento, uma token de acesso para aquele usurio, contendo seu nome, identificao de segurana, grupos de usurios a que pertence e privilgios de acesso. Essa token ser associada a todo e qualquer processo executado por aquele usurio. O subsistema Win32 cria um processo para o usurio, associando-o token e, ao final do procedimento de logon, apresentada a tela do gerenciador de programas. Controle de Acesso Discricionrio Os controles de acesso discricionrio permitem, aos proprietrios de recursos, aos usurios com acesso conta de administrador e aos usurios com autorizao para controlar os recursos do sistema, especificar quem pode acessar seus recursos e que tipo de aes podem realizar com eles. Esses controles podem ser associados a usurio especficos, a grupos de usurios, a ningum ou a todos os usurios conectados rede. No NT as definies de acesso podem ser feitas pelas seguintes ferramentes: Gerenciador de usurios em domnios (definies das polticas de segurana e administrao de contas de usurios e grupos); Gerenciador de arquivos (compartilhamento de arquivos e diretrios); Gerenciador de impresso (compartilhamento de impressora na rede); Painel de controle (definio de limites de compartilhamento de recursos na rede, ativao e desativao de servios de rede). Tokens de Acesso Com foi descrito anteriormente no processo de logon, o subsistema de segurana (LSA) constri uma token de acesso para cada usurio, contendo seu nome, identificao de segurana, grupos de usurios a que pertence e privilgios de acesso. Essa token associada a todo e qualquer processo executado por aquele usurio. Sempre que o usurio ou um processo a ele associado tentar acessar um objeto, os dados de sua token (identificao, grupos a que pertence e privilgios) so comparados aos dados da lista de controle de acesso do objeto, mais especificamente, s entradas de controle de acesso. O acesso s ser permitido se as informaes compradas forem compatveis. Listas de Controle de Acesso
- 46 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka As listas de controle de acesso so uma forma adicional de controle de acesso a recursos. Todo e qualquer recurso, seja um arquivo, diretrio ou impressora, tem um proprietrio, o qual decide quem pode ter acesso ao recurso e o que pode fazer com ele. O usurio pode especificar e controlar o impedimento de acesso ou o compartilhamento de objetos por ele criados ou controlados. As permisses de acesso a um determinado objeto so definidas nas chamadas entradas de controle de acesso (ACE Acces Control Entry), as quais so associadas a uma lista de controle de acesso no momento em que o usurio define os controles de acesso discricionrio para o objeto em questo. Se o usurio no definir esses controles de acesso, criada uma lista de controle de acesso padro ( default) para o objeto. Os dados dessa entradas so checados com a token de acesso do usurio, quando solicitado acesso ao objeto. Ferramentas de Segurana e Auditoria Gerenciador de Usurios em Domnios User Manager for Domains Essa ferramenta usada para administrar a segurana nos domnios e computadores associados ao Windows NT. Com ela, pode-se criar novos usurios e grupos, estabelecer as polticas de definio de contas de usurios, direitos de acesso e relacionamentos de confiana, e especificar atributos de segurana para cada usurio. Apenas o administrador do sistema tem o privilgio de gerencia e alterar a configurao estabelecida pelas ferramentas de segurana. Contas de Usurios O acesso aos recursos computacionais s permitido aps a entrada de um nome de conta e uma senha vlidos. Para controlar as contas de usurio, o gerenciador de usurios do NT utiliza as seguintes facilidades:
Poltica de contas controla as definies e alteraes de senhas, como por exemplo, tamanho da senha, prazos mximo e mnimo para alterao, bloqueio da conta ou da estao de trabalho aps um certo limite de tentativas de logon frustradas, etc. Poltica de direitos do usurio controla os direitos explcitos que podem ser designados a contas de usurios e grupos, tais como os direitos a acessar um computador localmente ou pela rede, restaurar e fazer backup de arquivos e diretrios, acessar e manipular o log de segurana, etc. Perfil de usurio - contm informaes sobre a forma de interao do usurio com qualquer estao de trabalho da rede. Os perfis podem ser criados pelo administrador para estabelecer ambientes seguros, onde o usurio s consegue interagir com o sistema por meio de formas preestabelecidas. Independentemente da estao de trabalho acessada, ser apresentado ao usurio o mesmo ambiente interativo, j que este est associado ao seu perfil e no estao de trabalho. Com essa ferramenta, o administrador pode criar, por exemplo, um perfil para cada tipo de funo na empresa, o qual poder ser associado a vrios usurios que exeram aquela funo. Dessa forma, vrias contas de usurio podem utilizar um ambiente comum de interao com a rede, facilitando a gerncia de controle.
- 47 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Grupos No NT, o administrador, na definio e manuteno de direitos e permisses de acesso, pode estabelecer trs nveis de contas:
Contas de usurio cada usurio tem uma conta protegida por senha, associada a direitos e permisses de acesso individualizados. As contas podem ser definidas localmente ou em nvel de domnio; Grupos locais conjunto de contas de usurios, definido em cada estao de trabalho, com direitos e permisses de acesso comuns quele domnio local; Grupos globais conjunto de contas de usurios, definido em nvel de domnio, com direitos e permisses de acesso comuns a mltiplos domnios.
Assim como no caso das contas de usurios, tambm h grupos que merecem uma ateno especial do auditor e da equipe de segurana, tais como os grupos de administrador e de operadores do servidor, por terem acesso privilegiado ao sistema, na execuo de vrias tarefas administrativas e de segurana, e usurios guest, pro serem capazes de acessar a rede sem necessidade de senha. Domnios e Relacionamento de Confiana Um domnio um conjunto de computadores, agrupados por motivos administrativos, que compartilham uma base de dados de usurios e uma poltica de segurana, facilitando a gerncia e o controle de segurana da rede. Em um domnio, cada usurio tem uma nica conta para acessar a rede a partir de qualquer computador do domnio. O administrador, por sua vez, precisa manter apenas uma conta para cada usurio e estabelecer uma nica poltica de segurana para todo o conjunto. A mquina controladora do domnio mantm uma base de dados contendo os nomes de contas e senhas de todos os usurios registrados no domnio. Uma vez que o usurios tenha sua conta nessa bases de dados, o controlador permitir seu logon em qualquer mquina associada quele domnio. Em redes mais complexas, com inmeros domnios, a segurana normalmente estabelecida a partir de relacionamentos de confiana. Esses relacionamentos nada mais so que ligaes entre domnios que possibilitam a um usurio com conta em um domnio acessar recursos de outros domnios da rede. Esses relacionamentos simplificam a gerncia da rede ao combinar dois ou mais domnios em uma unidade administrativa. Resumindo, existem duas vantagens na abordagem de relacionamentos de confiana. Do ponto de vista do usurio, necessria uma nica conta e senha para cada usurio acessar recursos de vrios domnios e, do ponto de vista gerencial, o administrador pode gerenciar vrios domnios de forma centralizada. Em termos de segurana, o estabelecimento de relaes de confiana requer, entretanto, planejamento adequado e conhecimento detalhado da rede. Gerenciador de Arquivos e Diretrios O Windows NT suporta mais de um tipo de sistema de arquivos, vale a pena mostrar as diferenas entre eles, quanto aos aspectos de segurana e auditoria.
- 48 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka NT File System (NTFS) Esse sistema de arquivos exclusivo do NT. No prov criptografia e no pode ser usado em disquetes. No caso de falha do sistema ou do disco, o NTFS prov recuperao de dados. Por ser o nico a utilizar o sistema de segurana de arquivos e diretrios do NT (menu de segurana do gerenciador de arquivos). Atravs do menu de segurana do gerenciador de arquivos, pode-se definir as permisses de arquivos e diretrios, em volumes NTFS, para usurios e grupos de usurios. O proprietrio pode definir uma combinao dos seguintes tipos de acesso: nenhum acesso, ler (R), gravar (W), executar (X), apagar (D), alterar permisso (P), tomar propriedade (O) e acesso total. File Allocation Table (FAT) Esse sistema de arquivos o mais usuado em computadores pessoais j que os arquivos por ele gerados podem ser lidos pelos sistemas operacionais MS-DOS, Windows NT e OS/2. High Performance File System (HPFS) O HPFS foi criado para o sistema operacional OS/2. Os arquivos por ele gerados podem ser lidos pelos sistemas operacionais OS/2 e NT (verses anteriores a 4.0). Em volumes FAT e HPFS, no possvel definir permisses individualmente a arquivos e diretrios, a no ser nos casos de compartilhamento, quando as permisses so definidas para o compartilhamento e no para os arquivos e diretrios individuais. Apenas o NTFS possibilita a definio de listas de controle de acesso. Segurana de Dados O servidor Windows NT suporta as seguintes facilidades de segurana de dados:
RAID 0 a 5 - a tecnologia RAID ( Redundant Array of Inexpensive Disk) uma estratgia de tolerncia a falhas padronizada pela indstria e categorizada nos nveis de 0 a 5. O NT possibilita que, com o hardware adequado, seja implementado RAID at o nvel 5. Esse nvel permite o particionamento dos discos fsicos, com cdigo de correo de erro armazenado como paridade, de forma que tanto o arquivo gravado como a paridade so seccionados e distribudos por vrios drives de disco, melhorando tambm o desempenho das operaes de I/O nos discos; Hot fixing recuperao de setores de disco durante a operao de I/O. Ao identificar um setor defeituoso, o NT move os dados para um setor sem defeito e isola o setor defeituoso; Backup operao de cpia de arquivos e diretrios para salvaguardar seu contedo. O programa de backup uma das ferramentas administrativas do gerenciador de programas do NT. Last Known Good Configuration permite ao usurio restaurar a ltima configurao de sistema que estava operando corretamente;
- 49 -
Disco de reparo emergencial - permite ao usurio restaurar o sistema a seu estado inicial de configurao (configurao original da mquina), quando no for mais possvel restaurar a ltima configurao do sistema em operao correta. Fonte de fora ininterrupta (UPS Uninterruptible Power Supply) permite a conexo de uma bateria ao computador para que o sistema continue processando normalmente, mesmo na ocorrncia de uma falha de fornecimento de energia.
Logs O servidor NT registra em logs (arquivos histricos) uma srie de eventos importantes para a gerncia, segurana e auditoria da rede. Existem trs tipos de log:
Log de sistema grava erros, mensagens de alerta ou informaes geradas pelo sistema; Log de aplicativo grava erros, mensagens de alertar ou informaes geradas pelo software aplicativo. Log de segurana grava tentativas de logon vlidas e invlidas, e eventos relacionados com o uso de recursos.
Na configurao padro, apenas o administrador do sistema tem acesso ao log de segurana, enquanto que os logs de sistema e de aplicativos podem ser acessados por qualquer usurio. No caso de domnios, o log de segurana mantido no servidor controlador do domnio e contm informaes sobre eventos ocorridos no controlador e em todos os outros servidores do domnio. No caso de estaes de trabalho stand-alone, os eventos so gravados no log de segurana da prpria estao. Os eventos gravados no log de segurana podem ser divididos nas seguintes categorias:
Eventos de sistema tentativas de logon e logoff, alteraes de poltica de segurana, criao, alterao e eliminao de contas de usurios e grupos; Eventos relacionados com arquivos, diretrios, configurao dos arquivos de log, nvel de acesso a impressoras e acesso remoto a servidores.
Pela natureza dos eventos gravados no log de segurana, esse log uma tima fonte de informaes para a gerncia de segurana e auditoria na rede NT. O ambiente Unix A segurana do sistema Unix basicamente implementada por direitos de acesso de usurios e grupos. Todo programa Unix processado com a permisso de algum usurio ou grupo. Um servidor Unix, por exemplo, pode rodar vrios servios, como controle de impresso, login remoto ou e-mail, e cada um desses servios est associado a uma conta de usurio. Portanto, as contas de usurios e as permisses de acesso so a chave da segurana no ambiente Unix. Contas de Usurios
- 50 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Todo usurios de um computador Unix precisa ter uma conta. A conta dividida em duas partes: o nome da conta, tambm chamada username, e a senha. O nome da conta um identificador que define para o computador quem o usurio e a senha um autenticador, isto , ela prova ao computador que o usurio realmente quem diz ser. Nos sistemas Unix uma pessoa ter mais de uma conta. Porm cada conta ter um username diferente, composto de 1 a 8 caracteres. Para controlar seus usurios, o Unix utiliza um arquivo de senhas, chamado /etc/passwd. Cada linha desse arquivo contm um registro de banco de dados cujos campos informam, por exemplo, o nome da conta, a senha criptografada, nmeros de identificao de usurio e de grupo, e outros dados relacionados com a conta daquele usurio especfico. Para dificultar o acesso de invasores s senhas dos usurios, o Unix utiliza um sistema de senhas criptografadas para que no seja necessrio armazenamento de senhas reais. Para entrar no sistema, o usurio se identifica, ao digitar o nome da sua conta, e se autentica, ao digitar sua senha. O Unix checa se a conta existe e se a senha digitada corresponde quela conta. SE uma das informaes no estiver correta, o processo de logon interrompido. Usurios Especiais Alm das contas de usurios pessoais, existem ainda contas Unix especiais, sem associao com uma pessoa, que executam funes de sistema. A mais importante delas o chamado superusurio ou root. A conta root utilizada pelo prprio sistema para realizao de funes bsicas, como o processo de logon de usurios, gravao de informaes de contabilizao de uso de recursos, gerncia de recursos de entrada/sada, etc. O acesso do root aos recursos e arqivos do sistema praticamente irrestrito. O uso dessa conta, portanto, s deve ser feito em casos especiais, pelo administrador do sistema, quando for imprescindvel ter os direitos de acesso do root para realizar as tarefas. Por ter todos esses poderes, o superusurio a principal brecha de segurana do Unix. Uma vez obtidos os privilgios do superusurio (descobrindo sua senha e logando como root), o invasor pode fazer praticamente qualquer coisa no sistema. Por isso, o principal objetivo dos invasores do Unix descobrir sua senha e tornar-se o superusurio. Grupos Todo usurio, alm de ter uma conta, tambm pertence a um ou mais grupos. No processo de criao de conta, o administrador do sistema designa pelo menos um grupo para aquele usurio. Para identificar todos os grupos existentes no sistema, pode-se listar o arquivos /etc/group. Cada linha desse arquivo corresponde a um grupo e contm informaes como nome, identificador e lista de usurios participantes do grupo. Do ponto de vista de segurana, os arquivos etc/passwd e /etc/group so altamente importantes. Um invasor, ao ter acesso ao arquivo de grupos, por exemplo, pode altera-lo, incluindo a si prprio em um grupo com acesso privilegiado ao arquivo de senhas. No arquivo de senhas pode tornar-se o superusurio, alterando a identificao de usurio para 0 e, a partir da, usufruir de todos os seus privilgios.
- 51 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Tcnicas de Administrao da Segurana de Contas de Usurios Programas para quebrar a segurana de suas prprias senhas. Geradores de senhas Arquivos de senhas shadow Controle de data de expirao de senhas Bloqueio de contas que no sero usadas por um perodo de tempo Nomes de contas no bvios ou uso de alias
Ferramentas de Segurana e Auditoria Alm de instalar todos os patches (correes) distribudos pelo fornecedor do sistema Unix, existem outras precaues de segurana a serem tomas, como backup do sistema, desabilitao dos servios de rede desnecessrios e definio criteriosa das contas, grupos e permisses de acessos a arquivos e diretrios. Essas precaues esto associadas a atividades administrativas que podem, e devem, ser planejadas com antecedncia. O objetivo dessas medidas limitar a quantidade de pontos possivelmente vulnerveis a acessos no autorizados e indisponibilidade do sistema. Para auxiliar nas tarefas de identificao de falhas de segurana do Unix, existem programas, chamados security scanner, que testam o sistema em busca de brechas de segurana e fragilidade de configurao j conhecidas. Como exemplo desses softwares destacam-se COPS Computer Oracle and Password System, que roda localmente e detecta senhas fceis de serem descobertas e problemas de segurana na configurao do sistema operacional; SATAN Security Analysis Tool for Auditing Network; e ISS Intenet Security Scanner. Estes dois ltimos testam a mquina na rede em busca de falhas no software do servidor, identificando brechas de segurana e servios de rede que tornam as mquinas vulnerveis. Essas ferramentas podem ser baixadas da Internet gratuitamente. Logs O Unix mantm diversos tipos de log que podem auxiliar na tarefa de auditoria do sistema, j que, por meio de sua anlise, pode-se identificar se o sistema est operando normalmente ou no, e se foi utilizado por pessoas no autorizadas, por exemplo. O sistema Unix pode ser customizado de maneira a registrar apenas as atividades que o administrador do sistema julgar necessrias. A recomendao que registre tudo e se utilize filtros, a partir de situaes previamente definidas como autorizadas e corretas, para limitar o nmero de registros a serem verificados manualmente pelo administrador. Se ainda assim a massa de dados for muito grande, recomenda-se refinar os filtros. A codificao desses filtros pode ser uma tarefa bastante complexa e enfadonha. Para minimizar os esforos de codificao, existem programas de anlise de logs, disponveis na Internet, que monitoram o sistema Unix e tomam algumas aes de acordo com padres predeterminados. Convm lembrar que de nada valero os registros do log se estes no forem revisados periodicamente pela gerncia de segurana.
- 52 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Modems e Dispositivos de Comunicao Por serem um elo entre a organizao e o ambiente externo, os modems so uma preocupao a mais equipe de segurana e auditoria. Os modems podem ser usados por usurio interno, devidamente autorizado, para divulgao, ao ambiente externo, de informaes confidenciais ou para acesso no autorizado de pessoas externar organizao aos recursos computacionais internos. Como existem vrios tipos de modems no mercado, a primeira recomendao seguir as orientaes de conexo e configurao contidas no manual do fornecedor. Uma medida de segurana aconselhvel manter o nmero de telefone do modem sob certo sigilo, divulgando-o apenas s pessoas que precisam utiliza-lo. A divulgao ampla e sem critrios do nmero do modem aumenta as chances de algum tentar usa-lo para invadir seus sistemas. Com relao s linhas telefnicas, recomendvel que sejam ainda analisadas outras medidas de proteo, tais como: proteo de acesso fsico s linha, evitando a possibilidade de um invasor conseguir conectar fisicamente um outro modem sua linha, interceptar as ligaes, descobrir identificaes e senhas de usurios e redirecionar o fluxo de informaes; e proteo ao acesso fsico a outros dispositivos de comunicao, como conectores e repetidores. aconselhvel avaliar a possibilidade de uso de fibras ticas, por serem mais difceis de serem grampeadas, e de criptografia, para dificultar a compreenso das mensagens transmitidas na comunicao. Outra boa opo utilizar linhas privadas, mais seguras e mais rpidas, caso as ligaes via modem sejam feitas para poucas localidade especficas e a confidencialidade de dados ou a necessidade de melhor desempenho justifique os custos mais latos de uma linha privada. Firewall Seguindo a mesma filosofia das paredes contra incndio, os firewalls so dispositivos utilizados na proteo de redes de computadores contra ataques externos, dificultando o trnsito de invasores entre as redes. Os sistemas tradicionais de rede, sem firewall, normalmente permitem acesso direto ao mundo externo a partir de qualquer mquina conectada na rede interna e vice-versa. Sua segurana, portanto, extramente frgil, pois a existncia de um nico computador sem proteo pode comprometer todo o aparato de segurana de rede, permitindo acesso a invasores a partir daquele computador inseguro. Com acesso a um dos computadores da rede, o invasor pode capturar senhas de usurios e alterar a configurao de software at mesmo de outros computadores conectados. Portanto, esse tipo de implementao no s difcil de administrar em termos de segurana como tambm quase impossvel detectar uma invaso. A gerncia de segurana, portanto, lanando mo dessa barreira entre a rede interna e o mundo externo, pode concentrar seus esforos de proteo da rede institucional na configurao do firewall, ao invs de proteger, contra invases externas, cada uma das mquinas ligadas rede interna. Os firewalls so normalmente configurados para permitir certas operaes e limitar ou impedir outras. Acredita-se que a instalao de um firewall, corretamente configurado, capaz de reduzir os riscos de invaso em pelo menos 20%.
- 53 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Porm, importante ressaltar que, antes de se conectar ao mundo externo e implantar essa barreia, a organizao deve considerar outras medidas de segurana. O firewall constitudo de duas partes. A primeira delas normalmente implementada na prtica por roteadores com filtros. O roteador atua como uma ligao entre as redes interna e externa, sendo responsvel pelo bloqueio de todos os pacotes de dados entre as duas redes, a no se que tenham sido gerados ou destinados para o gateway ou outras mquinas posicionadas entre o gateway e o roteador (mquinas sacrificadas). Pode ser configurado para limitar o trfego de pacotes segundo seus protocolos. A outra parte do firewall denominada gateway. Todo o trfego de pacotes entre a rede interna e externa passa primeiro pelo gateway, cujo software decide se o trfego ser permitido ou rejeitado. Sua configurao refora os cuidados do roteador por meio de medidas de segurana, como por exemplo, a autenticao de usurios. Por ser o responsvel pelo trfego de dados entre as duas redes, sua configurao deve ser feita com cautela, levando em considerao alguns aspectos de segurana, por exemplo: Na manter no gateway contas de usurios, programas utilitrios, arquivos de senhas e servios de nomes, pois podem facilitar o trabalho de possveis invasores rede interna; Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no log para posterior anlise pela equipe de segurana e auditoria; Monitorar as atividades do gateway; Desabilitar todos os servios de rede considerados desnecessrios.
Numa implementao de firewall com um roteador e um computador como gateway, o roteador restringe a comunicao entre as redes interna e externa, repassando o trfego entre elas obrigatoriamente pelo computador definido como gateway, o qual permite ou no o trfego, aps submeter os pacotes s regras de filtragem previamente estabelecidas. O software do gateway atua como intermedirio, recebendo os pacotes, analisando-os, armazenando informaes em logs e repassando-os se satisfizerem as condies dos filtros. Toda ateno da poltica de segurana de firewalls deve se voltar para configurao dos filtros que permitem ou rejeitam o trfego de rede. importante que a equipe de segurana tenha em mente que todo programa, protocolo ou servio de rede liberado pelo gateway pode representar uma ameaa segurana de toda a rede. Seu objetivo , portanto, dificultar o acesso rede e no o contrrio. Independentemente do tipo de firewall utilizado, a segurana da rede interna depende da segurana do servido de firewall, pois qualquer um que tiver acesso a esse servidor ou for capaz de reconfigurar seus filtros, provavelmente ser capaz de acessar, com facilidade, outros computadores da rede interna. Entretanto, vale ressaltar que o fato de ter um firewall no quer dizer que os outros controles e verificaes de segurana possam ser abandonados. Um firewall bem configurado consegue minimizar alguns riscos, mas no todos. Riscos Associados ao Ambiente Cliente-Servidor
- 54 -
AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka Os principais riscos associados a esse ambiente so acesso no autorizado provocado por contas com senhas frgeis ou sem senhas, erros de configurao e m definio de domnios, relacionamentos de confiana, grupos, permisses, privilgios de acesso, filtros de firewall, etc. Acesso no autorizado a arquivos de senhas, uso no autorizado de privilgios, monitoramento no autorizado de trfego da rede, alterao ou eliminao de eventos e atividades do arquivo de log, bugs de software e interceptao da comunicao entre computadores tambm so riscos comuns nesse ambiente.
Lista de Verificaes Controles sobre microcomputadores: Participar dos fruns de segurana disponveis na internet. Utilizar as verses mais atualizadas dos patches (correes) divulgados e distribudos pelos fornecedores de software. Utilizar softwares de auditoria de segurana, tais como COPS, SATAN, etc. Utilizar criptografia. Na configurao do sistema operacional, desabilitar as features desnecessrias. Utilizar o menor nmero possvel de contas de usurio Verificar as definies de domnio e relacionamentos de confiana. Verificar a definio dos grupos de usurios (usurio que fazem parte dos grupos e seus direitos de acesso). Verificar as permisses de acesso, principalmente a arquivos de configurao do sistema operacional e a arquivos considerados confidenciais, de forma a restringir acessos desnecessrios. Utilizar mecanismos ou pacotes de verificao de senhas, como Crack, para testar senhas frgeis escolhidas pelos usurios. Eliminar contas inativas, dormentes ou sem senhas. Auditar com certa freqncia os arquivos de senha (inclusive shadow) com o objetivo de identificar inconsistncia, adies no autorizadas, criao de novas contas, contas sem senha ou alteraes de identificao de usurio. Evitar utilizar contas guest ou default. Se forem necessrias, utiliz-las apenas em ambiente controlado. A senha do administrador ou root deve ser de conhecimento altamente restrito, sendo recomendado utilizar o acesso como root o menor tempo possvel. Evitar entrar no sistema a partir de contas com privilgios acima dos estritamente necessrios. Eliminar os servios de rede desnecessrios, especialmente aqueles considerados como mais suscetveis ao de invasores. Monitorar o sistema e analisar os logs regularmente. Realizar backup regularmente e manter pelo menos uma cpia em outra localidade (off-side). Se possvel, implementar redundncia (espelhamento, RAID, ect.). Implementar mecanismos de controle de acesso via modem, de tal forma que a conexo seja desfeita sempre que a ligao ou processo de login for interrompido ou terminado. Utilizar modems com senha.
- 55 -

Bloquear a reprogramao do modem por usurios no autorizados. Prover acesso via linha discada apenas a usurios formalmente autorizados. Desabilitar ou manter fisicamente seguros conectores ou repetidores de rede que no estiverem sendo utilizados. Limitar o acesso fsico aos dispositivos de rede, tais como cabos, roteadores, repetidores, e terminadores. Monitorar o uso da rede de telecomunicaes, com o objetivo de avaliar seu desempenho, detectar e eliminar falhas de comunicao. Manter os equipamentos de monitoramento da rede de telecomunicaes em local de acesso controlado. Estabelecer polticas ou procedimentos para download de arquivos da Internet. Configurar o firewall de maneira que sejam filtrados ou inibidos todos os servios ou protocolos de rede desnecessrios para a instituio. Configura o servidor de firewall de tal forma que este no seja tambm servidor de arquivos ou de nomes. Eliminar do servidor de firewall arquivos de senhas, contas de usurios, compiladores e utilitrios de desenvolvimento de software. No estabelecer relacionamento de confiana com mquinas externas. Registrar em logs e monitorar todas as operaes efetuadas no servidor de firewall. Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter genrico, tais como controles organizacionais, segurana de informaes, controles de acesso, planejamento de contingncias e continuidade de servios, etc.
- 56 -

Apostila Auditoria Segurança V8

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Apostila Auditoria Segurança V8

Transféré par

Droits d'auteur :

Formats disponibles

AUDITORIA E SEGURANA DE SISTEMAS Prof.

AUDITORIA E SEGURANA DE SISTEMAS

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

Camp o rea de Verificao mbit o

Campo rea de Verificao Avaliao da eficcia dos controles

Controles de acesso fsico Backup Controles de Acesso Lgico

Recursos humanos Recursos econmicos Recursos tcnicos

Altos custos de desenvolvimento sistemas de alto custos envolvem altos riscos.

AUDITORIA PLANEJAMENTO E EXECUO Organizao do trabalho da auditoria

Tcnicas de auditoria em programas de computador

AUDITORIA DA TECNOLOGIA DA INFORMAO

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

Controles sobre microcomputadores

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

Controles Sobre Ambiente Cliente-Servidor

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

AUDITORIA E SEGURANA DE SISTEMAS Prof. Biluka

Vous aimerez peut-être aussi