É uma atividade independente que tem como missão
o gerenciamento de risco operacional envolvido;
Avaliar a adequação das tecnologias e sistemas de
informação utilizados na organização através da:
Revisão e avaliação dos controles;
Desenvolvimento de sistemas;
Procedimentos de TI;
Infraestrutura;
Operação;
Desempenho e segurança da informação que envolve o
processamento de informações críticas para a tomada
de decisão.
Verifica a eficácia dos controles e procedimentos de
segurança existentes;
A eficiência dos processos em uso;
Da correta utilização dos recursos disponíveis;
Assessoramento a administração na elaboração de planos e
definição de metas;
Colaboração no aperfeiçoamento dos controles internos,
apontando deficiências e irregularidades que possam
comprometer a segurança e o desempenho organizacional.
O auditor de sistemas tem de se aprimorar com o campo
de atuação (processos);
Atua no processo de extração de informações;
Análise de banco de dados
e suportar decisões das demais
áreas de auditoria.
A necessidade global de referências nesse assunto, para o
exercício dessa profissão, promoveram a criação e
desenvolvimento de melhores práticas como:
COBIT;
COSO;
ISSO 27001;
ITIL.
A formação acadêmica do auditor de sistemas pelos
motivos acima acaba sendo multidisciplinar:
Análise de sistemas;
Ciência de Computação;
Administração com ênfase em TI;
Advocacia com foco em Direito da Informática - direito
digital e correlatos.
Certificação CISA – Certified Information Systems
Auditor, oferecida pela ISACA – Information Systems
and Control Association;
É uma das mais reconhecidas e avaliadas por organismos
internacionais;
Processo de seleção consta de uma prova extensa que
requer:
Conhecimentos avançados;
Experiência profissional e a necessidade de manter-se
sempre atualizado;
Através de uma política de educação continuada (CPE)
na qual o portador da certificação deve acumular carga
horária de treinamento por período estabelecido.
Aborda aspectos como:
Integridade;
Disponibilidade;
Confidencialidade;
Aderência às normas (conformidade);
Auditoria de Sistemas
Obs.: Sistemas ainda em desenvolvimento podem ser avaliados e acompanhados.
Entrada;
Processamento e saída de dados;
Efetividade;
Satisfação e usabilidade de um sistema de informação em
particular.
São baseadas nos instrumentos desenvolvidos e aplicados
na auditoria externa;
São instrumentos que o auditor possui para atingir suas
metas,
definidas
no
planejamento
de
auditoria,
independente do tipo de auditoria praticada;
As ferramentas de auditoria podem ser classificadas em:
Generalistas, Especializadas e de utilidade geral.
São softwares que podem processar, simular, analisar
amostras, gerar dados estatísticos, sumarizar e outras
funções que o auditor desejar;
Vantagens:
Pode processar diversos arquivos ao mesmo tempo;
Processa vários tipos de arquivos em vários formatos;
Permite integração sistêmica com vários tipos de
softwares e hardwares;
Reduz a dependência do auditor em relação ao
especialista de informática.
São softwares que podem processar, simular, analisar
amostras, gerar dados estatísticos, sumarizar e outras
funções que o auditor desejar;
Desvantagens:
O processamento das aplicações envolve gravação de dados em separado para serem analisados em ambientes distintos, poucas aplicações poderiam ser feitas em ambiente online;
Se o auditor precisar rodar cálculos complexos, o software não poderá dar esse apoio;
Entre outros.
Audit Command Language (ACL):
Ferramenta mais modernas para extração de informações de banco de dados, tratamento e análise;
Detecção de erros e riscos gerais do negócio associados a dados transacionais incompletos, imprecisos e inconsistentes;
O diferencial em ao Excel e Access é o fato de trabalhar com grandes volumes de transações distribuídas em diversas operações e em sistemas diferentes.
Interactive Data Extraction & Analisys (IDEA):
É um software para extração e análise de dados utilizado para controles internos e detecção de fraudes;
Vantagens:
Cria um registro de todas as alterações feitas em um arquivo (banco de dados) e mantém uma trilha de auditoria com registro das operações;
Permite importar e exportar dados em uma variedade de formatos;
Pode ler e processar milhões de discos em poucos segundos;
Pentana:
Permite a realização de planejamento de auditoria, planejamento e monitoramento de recursos, controle de horas, registro de check-lists, programas de auditoria, desenho e gerenciamento de plano de ação etc.
Útil para governança, controle de riscos e adequação as leis.
Pentana:
Características:
Apresenta resultados em gráficos coloridos com alta resolução;
Produz relatórios sensíveis ao contexto e popula automaticamente documentos MS Office com base em relatórios de auditoria e formulários;
Gera relatórios em tempo real em todas as linhas de negócios;
Entre tantos outros.
São softwares desenvolvidos especialmente para executar certas tarefas em uma circunstância definida;
O software pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro contratado pelo auditor;
Vantagem:
Atende a demandas mais específicas, como crédito imobiliário, leasing, cartão de crédito e outras funções que exijam tarefas especializadas no segmento de mercado;
Desvantagens:
Pode ser muito caro, uma vez que seu uso será limitado ou restrito a apenas um cliente;
As atualizações deste software podem transformar-se em um problema.
São softwares utilitários utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc.;
Não foram desenvolvidos para executar trabalhos de auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria;
Vantagem:
Podem ser utilizadas como “quebra-galho” na ausência de outros recursos.
Antes de tudo é necessário fazer um levantamento dos riscos para delimitar o nível de risco em que a empresa está;
Só depois é traçado um nível de risco aceitável, que é aquele em que a empresa pode funcionar.
Que cuidados deve-se ter?
- Na avaliação do risco aceitável, é necessário cuidado ao se aceitar um determinado risco, mas se não for possível minimizá-lo, é
importante que se tenha um plano de resposta a incidentes.
É fato que não é possível eliminar totalmente um risco que está inserido no cenário da empresa, mas é possível minimizá-lo;
Para isso, temos que conhecer bem quais são as ameaças a que a empresa está susceptível e quais são as vulnerabilidades que existem na empresa.
Uma ameaça é uma situação de perigo a qual a empresa está sujeita;
De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças:
- As ameaças intencionais; - As não intencionais;
- As relacionadas aos equipamentos; - E as relativas a um evento natural.
Ameaças intencionais:
- São oriundas de pessoas que, por algum motivo, tem a intenção de efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques;
Esta pessoa pode ser externa ou interna à empresa;
Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização;
Os invasores externos à organização são, em sua maioria, crackers e espiões industriais.
Ameaças não intencionais:
- Também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como um funcionário novo que ainda não foi informado dos procedimentos de segurança.
Ameaças relacionadas aos equipamentos:
- Nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento;
Um firewall que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede.
Depois de se fundamentar bem sobre a segurança das
informações, os objetivos, as ameaças, as vulnerabilidades, os ataques e as ferramentas de
segurança, é chegada a hora entender como implementar uma política de segurança e porque ela é importante.
Uma política de segurança é um conjunto de regras que definem a forma de uso dos recursos e das informações pelas pessoas envolvidas no processo;
É a lei que rege a segurança das informações da empresa e deve ser cumprida a todo custo, com vista a prezar pela organização, controle e qualidade da segurança, evitando surpresas
indesejáveis.
Ela é criada dentro da própria corporação, atendendo as
necessidades já relacionadas na análise de riscos e se adequando constantemente às mudanças na empresa no passar dos anos.
Todo funcionário deve estar ciente da política de segurança local e sempre que uma pessoa nova passa a fazer parte do grupo deve ser devidamente treinada e informada das regras e punições.
Existem duas filosofias de política de segurança: - A política de permissão;
- E a política de proibição.
A política de segurança pode conter outras
políticas específicas, como:
Política de senhas:
- Define as regras sobre o uso de senhas nos recursos
computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Política de backup:
- Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e freqüência de
execução.
Política de privacidade:
- Define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
Política de confidencialidade:
- Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA) ou Acceptable Use
Policy (AUP):
- Também chamada de "Termo de Uso" ou "Termo de Serviço“; - Define as regras de uso dos recursos computacionais, os direitos
e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
Compartilhamento de senhas;
Divulgação de informações confidenciais;
Envio de boatos e mensagens contendo spam e códigos maliciosos;
Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
Cópia e distribuição não autorizada de material protegido por direitos autorais;
Ataques a outros computadores;
Comprometimento de computadores ou redes;
Entre outros.
Algumas situações abusivas (não
aceitável)
Inicialmente tudo é permitido e só depois algumas coisas são negadas;
A proibição é a exceção;
O funcionário recebe uma lista de proibições, o que não estiver na lista, é permitido;
Existem mais permissões que proibições, portanto é uma política mais aberta.
Inicialmente proíbe-se tudo e aos poucos vão se dando algumas permissões;
A permissão é a exceção;
O funcionário recebe uma lista de permissões, ou seja, o que ele pode fazer;
O que não constar na lista é proibido;
Existem mais proibições que permissões, portanto é uma política mais restritiva.
Medidas de Segurança
Política de Segurança;
Política de utilização da Internet e Correio Eletrônico;
Política de instalação e utilização de softwares;
Plano de Classificação das Informações;
Medidas de Segurança
Análise de Riscos;
Análise de Vulnerabilidades;
Análise da Política de Backup;
Plano de Ação Operacional;
Plano de Contingência;
Capacitação Técnica;
Backups;
Antivírus;
Firewall;
Detecção de Intruso (IDS);
Servidor Proxy;
Filtros de Conteúdo;
Sistema de Backup;
Monitoração;
Sistema de Controle de Acesso;
Criptografia Forte;
Certificação Digital;
Teste de Invasão;
Segurança do acesso físico aos locais críticos.
Autorização, em segurança da informação, é o mecanismo responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional;
Os recursos incluem:
- Arquivos;
- Programas de computador; - Dispositivos de hardware;
- Funcionalidades disponibilizadas por aplicações instaladas em um sistema;
Proteção de perímetro;
Detecção de anomalias e intrusão;
Proteção contra infecção;
Identificação de vulnerabilidades;
Backup/recovery.
Como funcionam?
- Realizam o monitoramento de redes;
- Plataformas e aplicações visando a detecção de atividades não autorizadas;
- Ataques;
- Mau uso e outras anomalias de origem interna ou externa.
Que tipos de métodos são empregados?
- Empregam métodos sofisticados de detecção que variam desde o reconhecimento de assinaturas, que identificam padrões de ataques conhecidos;
- Até a constatação de desvios nos padrões de uso habituais dos recursos de informação.
Os Intrusion Detection Systems (IDS) são as ferramentas mais utilizadas nesse contexto e atuam de maneira passiva, sem realizar o bloqueio de um ataque, podendo atuar em conjunto com outros elementos (ex.: firewalls) para que eles realizem o bloqueio.
Uma evolução dos IDS são os Intrusion Prevention Systems (IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques;
Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores.
Outras ferramentas importantes nesta categoria são:
- Os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao longo da rede, utilizam informações de perfil de tráfego dos diversos
roteadores e switches para imediatamente detectar ataques desconhecidos, ataques distribuídos (Distributed Denial of Service – DDoS) e propagação de worms.
Garantem que os sistemas e os recursos de informação neles contidos não sejam contaminados;
Incluem, principalmente, os antivírus e filtros de conteúdo.
Os antivírus ganham cada vez mais sofisticação, realizando a detecção e combate de ameaças que vão além dos vírus,
incluindo trojans, worms, spyware e adware.
Ameaças relativas a um evento natural:
- Os fenômenos naturais e incidentes estão presentes no
nosso cotidiano;
Muitas vezes são inevitáveis, não dependem da ação direta
de pessoas para acontecer e normalmente não temos a
quem responsabilizar, portanto cabe a segurança das
informações proteger os equipamentos deste tipo de
Ameaça;
Exemplos de eventos naturais:
- Incêndio;
- Queda de energia;
- Terremoto;
- Enchente;
- Ventanias e até mesmo ataques terroristas nas
proximidades, que apesar de nos parecer tão
improváveis, são constantes em outros países.
Uma vulnerabilidade é uma falha que pode ser explorada para se conseguir efetuar um ataque;
É importante que se conheça todas as vulnerabilidades existentes na empresa, por menor que ela seja;
A partir da lista de vulnerabilidades existentes, podemos perceber onde as ameaças podem aparecer.
Vejamos uma tabela que aponta possíveis vulnerabilidades e as ameaças que podem surgir em cada uma delas: