ATIVIDADES PRTICAS SUPERVISIONADAS

4. Srie Segurana e Auditoria

CST em Gesto da Tecnologia da Informao

A atividade prtica supervisionada (ATPS) um procedimento metodolgico de ensino-aprendizagem desenvolvido por meio de um conjunto de etapas programadas e supervisionadas e que tem por objetivos: Favorecer a aprendizagem. Estimular a corresponsabilidade do aluno pelo aprendizado eficiente e eficaz. Promover o estudo, a convivncia e o trabalho em grupo. Desenvolver os estudos independentes, sistemticos e o autoaprendizado. Oferecer diferentes ambientes de aprendizagem. Auxiliar no desenvolvimento das competncias requeridas pelas Diretrizes Curriculares Nacionais dos Cursos de Graduao. Promover a aplicao da teoria e conceitos para a soluo de problemas prticos relativos profisso. Direcionar o estudante para a busca do raciocnio crtico e a emancipao intelectual. Para atingir estes objetivos a ATPS prope um desafio e indica os passos a serem percorridos ao longo do semestre para a sua soluo. A sua participao nesta proposta essencial para que adquira as competncias e habilidades requeridas na sua atuao profissional. Aproveite esta oportunidade de estudar e aprender com desafios da vida profissional.

AUTORIA: Renato Cividini Matthiesen

Faculdade Anhanguera de Limeira

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 2 de 7

COMPETNCIAS E HABILIDADES
Ao concluir as etapas propostas neste desafio, voc ter desenvolvido as competncias e habilidades que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir. Desenvolver sistemas informatizados desde a especificao de requisitos at os testes de implantao, bem como as tecnologias de comutao, transmisso, recepo de dados. Definir parmetros de utilizao de sistemas, gerenciar os recursos humanos envolvidos, implantar e documentar rotinas, controlar os nveis de servio de sistemas operacionais e banco de dados, gerenciando os sistemas implantados.

Produo Acadmica
Relatrios parciais, com os resultados das pesquisas e atividades realizadas. Segurana em Sistemas de Informao e Redes de Computadores. Controles e Poltica de Segurana. Gerenciamento de Riscos em Sistemas de Informao. Auditoria em Sistemas de Informao.

Participao
Esta atividade ser, em parte, desenvolvida individualmente pelo aluno e, em parte, pelo grupo. Para tanto, os alunos devero: Organizar-se, previamente, em equipes de participantes conforme orientao do professor. Entregar seus nomes, RAs e e-mails ao professor da disciplina. Observar, no decorrer das etapas, as indicaes: Aluno e Equipe.

Padronizao
O material escrito solicitado nesta atividade deve ser produzido de acordo com as normas da ABNT1, com o seguinte padro: Em papel branco, formato A4. Com margens esquerda e superior de 3cm, direita e inferior de 2cm. Fonte Times New Roman tamanho 12, cor preta. Espaamento de 1,5 entre linhas. Se houver citaes com mais de trs linhas, devem ser em fonte tamanho 10, com um recuo de 4cm da margem esquerda e espaamento simples entre linhas. Com capa, contendo: Nome de sua Unidade de Ensino, Curso e Disciplina. Nome e RA de cada participante. Ttulo da atividade. Nome do professor da disciplina. Cidade e data da entrega, apresentao ou publicao.

Consulte o Manual para Elaborao de Trabalhos Acadmicos. Unianhanguera. Disponvel em: <http://www.unianhanguera.edu.br/anhanguera/bibliotecas/normas_bibliograficas/index.html>.

Renato Cividini Matthiesen

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 3 de 7

DESAFIO
A necessidade de segurana em tecnologia e sistemas de informao vem crescendo na mesma velocidade em que as novas tecnologias e os novos sistemas so implantados nas empresas. Sempre que uma nova tcnica de segurana desenvolvida, outras tcnicas tambm so criadas para invadir estes sistemas. Esta dinmica no desenvolvimento de solues de segurana obriga as empresas a necessitarem de cuidados especiais para garantir a segurana de seus sistemas de informao. O correto treinamento de colaboradores para que eles trabalhem conscientes sobre os tipos de ameaas e mecanismos de proteo e a aplicao de um programa de auditoria sobre os sistemas informatizados so fundamentais para garantir a segurana dos sistemas, que armazenam e transportam um dos ativos mais importantes da empresa: a prpria informao. Este desafio prope que a equipe de tecnologia da informao (representada por um grupo de alunos) de uma empresa que realiza venda de livros e DVDs (Digital VideoDisc)atravs de seu sistema de comrcio eletrnico pela Internet elabore um Manualsobre Segurana e Auditoria em Sistemas de Informao. O manual dever apresentar aos colaboradores da empresa conceitos de segurana em tecnologia e sistemas de informao, informaes sobre a poltica de segurana da empresa e metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual ser dividido em quatro captulos: 1. Segurana em Sistemas de Informao e Redes de Computadores. 2. Controles e Poltica de Segurana. 3. Gerenciamento de Riscos em Sistemas de Informao. 4. Auditoria em Sistemas de Informao. O desafio dever ser realizado em grupos alunos, sendo que o grupo dever entregar um captulo do manual para cada item proposto acima. A formao dos grupos e a orientao sobre a elaborao dos captulos devero ser realizadas na primeira orientao de ATPS. Os captulos sero elaborados conforme descritos nas etapas do desafio, e devero ser entregues conforme planejamento do professor da disciplina.

Objetivo do Desafio
Elaborao de um Manual sobre Segurana e Auditoria em Sistemas de Informao que possa ser utilizado para apresentar aos colaboradores de uma empresa conceitos bsicos de segurana em tecnologia e sistemas de informao, poltica de segurana e metodologias para se realizar auditorias em seus sistemas informatizados.

ETAPA1 (tempo para realizao: 5 horas)

Aula tema: Introduo Segurana de Informao e Auditoria. Definio de processos de proteo de informaes e ativos digitais armazenados em computadores e redes de processamento de dados. Esta atividade importante para que voc conhea conceitos bsicos e a terminologia de segurana em sistemas de informao, redes de computadores e auditoria de sistemas. Para realiz-la importante seguir os passos descritos.

Renato Cividini Matthiesen

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 4 de 7

PASSOS
Passo 1 (Aluno) Fazer uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros complementares da disciplina. Em seguida leia o captulo de um dos livros que faz uma introduo aos conceitos de segurana em sistemas de informao e redes de computadores. Passo 2 (Aluno) Acessar e conhecer o site da Computer Crime Research Center. Disponvel em: <http://www.crime-research.org>. Acesso em:11ago. 2011. Acesse e leia o artigo: Crimes in cyber space de Jane Schmitt. O artigo tambm se encontra disponvel em: <https://docs.google.com/leaf?id=0B5zZAtiBwoEXOTJiYTViNTUtNjI4NC00ZWZmLTk4Y TUtY2VlZTM5Nzk0OTUw&hl=en>. Acesso em:11ago. 2011. Passo 3 (Equipe) Elaborar o Captulo 01: Segurana em Sistemas de Informao e Redes de Computadores do Manual de Segurana e Auditoria em Sistemas de Informao. Este captulo deve conter os seguintes tpicos: 1.1 Introduo Segurana em Sistemas de Informao e Redes de Computadores: escrever um texto que apresente de forma objetiva pelo menos trs fatores que levam as empresas a investirem em sistemas de segurana da informao. 1.2 Exemplos de Problemas de Segurana em Sistemas de Informao: fazer uma pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de falha de segurana em sistemas informao em empresas e suas consequncias. 1.3 Falhas em Sistemas de Informao: fazer a descrio das seguintes falhas de segurana em sistemas de informao: SQL Injection, Quebra de Cdigo JavaScript, Cross Site Scripting, Upload de Arquivos. 1.4 Correo de Falhas em Sistemas de Informao: fazer a descrio de pelo menos uma maneira de evitar e/ou corrigir as falhas em sistemas de informao descritas no tpico 1.3 deste relatrio. 1.5 Terminologia de Segurana: fazer uma descrio dos seguintes termos de segurana em sistemas de informao: Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo de Tria, Vrus e Worm.

ETAPA2(tempo para realizao: 5 horas)

Aula tema: Identificao das Necessidades de Segurana. Avaliao dos Controles de Segurana. Elaborao de Checklist. Esta atividade importante para que voc conhea os servios de segurana em um sistema de informao e aprenda a elaborar uma Poltica de Segurana para uma empresa. Para realiz-la importante seguir os passos descritos.

Renato Cividini Matthiesen

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 5 de 7

PASSOS
Passo 1 (Equipe) Elaborar o Captulo 02: Controles e Poltica de Segurana do Manual de Segurana e Auditoria em Sistemas de Informao. Este captulo deve conter os seguintes tpicos: 2.1 Servios de Segurana: apresentar a definio dos seguintes servios de segurana em sistemas de informao e redes de computadores: Confidencialidade, Autenticao, Integridade e Disponibilidade. 2.2 Controles Gerais de Segurana: fazer uma descrio dos seguintes Controles Gerais de Segurana em Sistemas de Informao: Controles de Software, Controles de Hardware, Controle de Operaes de Computador, Controles de Segurana de Dados, Controles de Implementao e Controles Administrativos. 2.3 Controles de Aplicao de Segurana: fazer uma descrio dos seguintes Controles de Aplicao de Segurana em Sistemas de Informao: Totais de Controle, Verificao de Edio, Compatibilizao Automtica, Clculos dos Totais de Controle e Listas de Distribuio de Relatrios. Passo 2 (Equipe) Dar continuidade elaborao do Captulo 02 e fazer o seguinte tpico: 2.4 Poltica de Segurana: elaborar um documento que apresente a descrio de uma Poltica de Segurana. Este documento deve apresentar um exemplo parcial da Poltica de Segurana para uma empresa conforme os itens e subitens a seguir: 2.4.1 Descrio do Sistema: fazer a descrio do papel do Sistema de Informao. 2.4.2 Requisitos de Segurana: descrever os seguintes itens: Ameaas Confidencialidade, Ameaas Integridade, Ameaas Disponibilidade e Possveis Atacantes. 2.4.3 Plano de Resposta a Incidentes de Segurana: fazer a descrio dos seguintes itens: Planejamento de Resposta a Incidentes, Pontos de Contato e Resposta a um Incidente.

ETAPA3 (tempo para realizao: 5 horas)

Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenes. Esta atividade importante para que voc conhea tcnicas de gerenciamento de riscos, os principais tipos de ataques em Sistemas de Informao em Redes de Computadores e mecanismos de segurana. Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Aluno) Acessar o site Olhar digital. Disponvel em: <http://olhardigital.uol.com.br>. Acesso em:11ago. 2011. Fazer uma busca e leia o artigo de Rodrigo Souza: Conhea os maiores erros
Renato Cividini Matthiesen

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 6 de 7

de segurana nas corporaes. O artigo est disponvel tambm no endereo: <https://docs.google.com/fileview?id=0B5zZAtiBwoEXNWM2OGM2ZjYtNzRlMi00ZGM0 LWIyZTUtMWM2YjZkMzE4ODBl&hl=en>. Acesso em: 11ago. 2011. Passo 2 (Equipe) Elaborar o Captulo 03: Gerenciamento de Riscos em Sistemas de Informao do manual. Este captulo deve conter os seguintes tpicos: 3.1 Gerenciamento de Riscos em Sistemas de Informao: fazer uma descrio de pelo menos duas possveis causas de risco no sistema de informao da empresa referentes a: Erro Humano, Falha de Hardware, Falha de Software, Espionagem, Vandalismo, Engenharia Social. 3.2 Ataques em Sistemas de Informao e Redes de Computadores: fazer uma descrio e apresente pelo menos um exemplo dos seguintes tipos de ataques em sistemas de informao e redes de computadores: Ataque para Obteno de Informaes, Ataques de Negao de Servio e Ataques no Nvel de Aplicao. 3.3 Mecanismos de Segurana: apresentar a definio e um exemplo dos seguintes mecanismos de segurana: Senha, Criptografia, Assinatura Digital e Firewall. 3.4 Preveno de Riscos: apresentar uma medida de preveno de riscos referente a cada um dos seis riscos apresentados no tpico 3.1 deste passo.

ETAPA4 (tempo para realizao: 5 horas)

Aula tema: A Importncia da Auditoria. Os Tipos de Auditoria em Tecnologia da Informao. Principais Elementos Envolvidos na Auditoria. Avaliao de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes Disponveis no Mercado; Ferramentas de Anlise de Dados. Esta atividade importante para que voc conhea os principais tipos de auditoria em tecnologia e sistemas de informao, os elementos, procedimentos e metodologias envolvidos na auditoria e conhea ferramentas e softwares disponveis no mercado para realizar auditoria de sistemas. Para realiz-la importante seguir os passos descritos.

PASSOS
Passo 1 (Equipe) Elaborar o Captulo 04: Auditoria em Sistemas de Informao do manual. Uma auditoria em sistemas de informao pode abranger desde o exame de dados registrados em sistemas informatizados at a avaliao do sistema (Aplicativos, Sistemas Operacionais, Banco de Dados e Estrutura de Rede). Este captulo deve conter os seguintes tpicos: 4.1 Tcnicas de Auditoria em Sistemas de Informao: descrever as atividades das seguintes tcnicas de auditoria: Entrevista, Questionrio e Verificao In Loco, Test Deck, Simulao Paralela, Teste de Recuperao, Teste de Desempenho, Teste de Estresse, Teste de Segurana, Teste de Caixa Preta, Teste de Caixa Branca, Mapping, Tacing, Snapshot e Integrated Test Facility.

Renato Cividini Matthiesen

CST em Gesto da Tecnologia da Informao 4 Srie Segurana e Auditoria

Pg. 7 de 7

4.2 Tipos de Auditoria de Sistemas: fazer a descrio dos seguintes tipos de auditoria: Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas, Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria em Microcomputadores. 4.3 Controles: fazer a descrio dos seguintes tipos de controles de auditorias: Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de Entrada de Dados, Controle de Processamento de Dados e Controle de Sada de Dados. Passo 2 (Equipe) Dar continuidade elaborao do Captulo 04 e fazer o seguinte tpico: 4.4 Softwares de Auditoria de Sistemas de Informao: fazer uma pesquisa e apresentar pelo menos trs softwares de auditoria de sistemas de informao comercializados atualmente (ou do tipo open source). Fazer a descrio de suas funcionalidades, seus tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.

Livro Texto da Disciplina

TORRES, Dennes. Segurana Mxima de Software. 1 ed.: Brasport, 2003.

Renato Cividini Matthiesen