Professor: Rhyan Ximenes





É uma atividade independente que tem como missão

o gerenciamento de risco operacional envolvido;



Avaliar a adequação das tecnologias e sistemas de

informação utilizados na organização através da:



Revisão e avaliação dos controles;



Desenvolvimento de sistemas;





Procedimentos de TI;



Infraestrutura;



Operação;



Desempenho e segurança da informação que envolve o

processamento de informações críticas para a tomada

de decisão.





Verifica a eficácia dos controles e procedimentos de

segurança existentes;



A eficiência dos processos em uso;



Da correta utilização dos recursos disponíveis;





Assessoramento a administração na elaboração de planos e

definição de metas;



Colaboração no aperfeiçoamento dos controles internos,

apontando deficiências e irregularidades que possam

comprometer a segurança e o desempenho organizacional.





O auditor de sistemas tem de se aprimorar com o campo

de atuação (processos);



Atua no processo de extração de informações;



Análise de banco de dados

e suportar decisões das demais

áreas de auditoria.





A necessidade global de referências nesse assunto, para o

exercício dessa profissão, promoveram a criação e

desenvolvimento de melhores práticas como:

 COBIT;

 COSO;

 ISSO 27001;

 ITIL.





A formação acadêmica do auditor de sistemas pelos

motivos acima acaba sendo multidisciplinar:



Análise de sistemas;



Ciência de Computação;



Administração com ênfase em TI;



Advocacia com foco em Direito da Informática - direito

digital e correlatos.





Certificação CISA – Certified Information Systems

Auditor, oferecida pela ISACA – Information Systems

and Control Association;



É uma das mais reconhecidas e avaliadas por organismos

internacionais;





Processo de seleção consta de uma prova extensa que

requer:



Conhecimentos avançados;





Experiência profissional e a necessidade de manter-se

sempre atualizado;



Através de uma política de educação continuada (CPE)

na qual o portador da certificação deve acumular carga

horária de treinamento por período estabelecido.





Aborda aspectos como:



Integridade;



Disponibilidade;



Confidencialidade;



Aderência às normas (conformidade);

Auditoria de Sistemas

Obs.: Sistemas ainda em desenvolvimento podem ser avaliados e acompanhados.





Entrada;



Processamento e saída de dados;



Efetividade;



Satisfação e usabilidade de um sistema de informação em

particular.





São baseadas nos instrumentos desenvolvidos e aplicados

na auditoria externa;



São instrumentos que o auditor possui para atingir suas

metas,

definidas

no

planejamento

de

auditoria,

independente do tipo de auditoria praticada;



As ferramentas de auditoria podem ser classificadas em:

Generalistas, Especializadas e de utilidade geral.





São softwares que podem processar, simular, analisar

amostras, gerar dados estatísticos, sumarizar e outras

funções que o auditor desejar;



Vantagens:



Pode processar diversos arquivos ao mesmo tempo;



Processa vários tipos de arquivos em vários formatos;



Permite integração sistêmica com vários tipos de

softwares e hardwares;



Reduz a dependência do auditor em relação ao

especialista de informática.



 São softwares que podem processar, simular, analisar

amostras, gerar dados estatísticos, sumarizar e outras

funções que o auditor desejar;

 Desvantagens:

 O processamento das aplicações envolve gravação de dados em separado para serem analisados em ambientes distintos, poucas aplicações poderiam ser feitas em ambiente online;

 Se o auditor precisar rodar cálculos complexos, o software não poderá dar esse apoio;

 Entre outros.



 Audit Command Language (ACL):

 Ferramenta mais modernas para extração de informações de banco de dados, tratamento e análise;

 Detecção de erros e riscos gerais do negócio associados a dados transacionais incompletos, imprecisos e inconsistentes;

 O diferencial em ao Excel e Access é o fato de trabalhar com grandes volumes de transações distribuídas em diversas operações e em sistemas diferentes.



 Interactive Data Extraction & Analisys (IDEA):

 É um software para extração e análise de dados utilizado para controles internos e detecção de fraudes;

 Vantagens:

 Cria um registro de todas as alterações feitas em um arquivo (banco de dados) e mantém uma trilha de auditoria com registro das operações;

 Permite importar e exportar dados em uma variedade de formatos;

 Pode ler e processar milhões de discos em poucos segundos;



 Pentana:

 Permite a realização de planejamento de auditoria, planejamento e monitoramento de recursos, controle de horas, registro de check-lists, programas de auditoria, desenho e gerenciamento de plano de ação etc.

 Útil para governança, controle de riscos e adequação as leis.



 Pentana:

 Características:

 Apresenta resultados em gráficos coloridos com alta resolução;

 Produz relatórios sensíveis ao contexto e popula automaticamente documentos MS Office com base em relatórios de auditoria e formulários;

 Gera relatórios em tempo real em todas as linhas de negócios;

 Entre tantos outros.



 São softwares desenvolvidos especialmente para executar certas tarefas em uma circunstância definida;

 O software pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro contratado pelo auditor;



 Vantagem:

 Atende a demandas mais específicas, como crédito imobiliário, leasing, cartão de crédito e outras funções que exijam tarefas especializadas no segmento de mercado;

 Desvantagens:

 Pode ser muito caro, uma vez que seu uso será limitado ou restrito a apenas um cliente;

 As atualizações deste software podem transformar-se em um problema.



 São softwares utilitários utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc.;

 Não foram desenvolvidos para executar trabalhos de auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria;

 Vantagem:

 Podem ser utilizadas como “quebra-galho” na ausência de outros recursos.



 Antes de tudo é necessário fazer um levantamento dos riscos para delimitar o nível de risco em que a empresa está;

 Só depois é traçado um nível de risco aceitável, que é aquele em que a empresa pode funcionar.



 Que cuidados deve-se ter?

- Na avaliação do risco aceitável, é necessário cuidado ao se aceitar um determinado risco, mas se não for possível minimizá-lo, é

importante que se tenha um plano de resposta a incidentes.



 É fato que não é possível eliminar totalmente um risco que está inserido no cenário da empresa, mas é possível minimizá-lo;

 Para isso, temos que conhecer bem quais são as ameaças a que a empresa está susceptível e quais são as vulnerabilidades que existem na empresa.



 Uma ameaça é uma situação de perigo a qual a empresa está sujeita;

 De acordo com [Moraes, 2010], existem 4 principais tipos de ameaças:

- As ameaças intencionais; - As não intencionais;

- As relacionadas aos equipamentos; - E as relativas a um evento natural.



 Ameaças intencionais:

- São oriundas de pessoas que, por algum motivo, tem a intenção de efetuar um ataque à empresa, no que diz respeito ao roubo de informações, indisponibilidade da rede, personificação, entre outros ataques;

 Esta pessoa pode ser externa ou interna à empresa;

 Infelizmente a maioria dos ataques provem de pessoas internas à organização, como um funcionário insatisfeito, com desejo de vingança ou até mesmo convencido ou subornado por uma pessoa externa à organização;

 Os invasores externos à organização são, em sua maioria, crackers e espiões industriais.



 Ameaças não intencionais:

- Também são oriundas de pessoas, mas diferente da ameaça intencional, a pessoa não tem consciência do que está fazendo e é levada pela ignorância ou até mesmo inocência, como um funcionário novo que ainda não foi informado dos procedimentos de segurança.



 Ameaças relacionadas aos equipamentos:

- Nesta situação o risco envolvido está na possibilidade de um equipamento de rede como um roteador, um servidor ou um firewall apresentar defeitos ou falhas no seu funcionamento;

 Um firewall que deixa de funcionar, por exemplo, é uma ameaça à segurança da rede.



 Depois de se fundamentar bem sobre a segurança das

informações, os objetivos, as ameaças, as vulnerabilidades, os ataques e as ferramentas de

segurança, é chegada a hora entender como implementar uma política de segurança e porque ela é importante.



 Uma política de segurança é um conjunto de regras que definem a forma de uso dos recursos e das informações pelas pessoas envolvidas no processo;

 É a lei que rege a segurança das informações da empresa e deve ser cumprida a todo custo, com vista a prezar pela organização, controle e qualidade da segurança, evitando surpresas

indesejáveis.



 Ela é criada dentro da própria corporação, atendendo as

necessidades já relacionadas na análise de riscos e se adequando constantemente às mudanças na empresa no passar dos anos.



 Todo funcionário deve estar ciente da política de segurança local e sempre que uma pessoa nova passa a fazer parte do grupo deve ser devidamente treinada e informada das regras e punições.



 Existem duas filosofias de política de segurança: - A política de permissão;

- E a política de proibição.





A política de segurança pode conter outras

políticas específicas, como:



Política de senhas:

- Define as regras sobre o uso de senhas nos recursos

computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.



Política de backup:

- Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e freqüência de

execução.





Política de privacidade:

- Define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.



Política de confidencialidade:

- Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.



Política de uso aceitável (PUA) ou Acceptable Use

Policy (AUP):

- Também chamada de "Termo de Uso" ou "Termo de Serviço“; - Define as regras de uso dos recursos computacionais, os direitos

e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.



 Compartilhamento de senhas;

 Divulgação de informações confidenciais;

 Envio de boatos e mensagens contendo spam e códigos maliciosos;

 Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;

 Cópia e distribuição não autorizada de material protegido por direitos autorais;

 Ataques a outros computadores;

 Comprometimento de computadores ou redes;

 Entre outros.

Algumas situações abusivas (não

aceitável)



 Inicialmente tudo é permitido e só depois algumas coisas são negadas;

 A proibição é a exceção;

 O funcionário recebe uma lista de proibições, o que não estiver na lista, é permitido;

 Existem mais permissões que proibições, portanto é uma política mais aberta.



 Inicialmente proíbe-se tudo e aos poucos vão se dando algumas permissões;

 A permissão é a exceção;

 O funcionário recebe uma lista de permissões, ou seja, o que ele pode fazer;

 O que não constar na lista é proibido;

 Existem mais proibições que permissões, portanto é uma política mais restritiva.





Medidas de Segurança



Política de Segurança;



Política de utilização da Internet e Correio Eletrônico;



Política de instalação e utilização de softwares;



Plano de Classificação das Informações;

Medidas de Segurança



Análise de Riscos;



Análise de Vulnerabilidades;



Análise da Política de Backup;



Plano de Ação Operacional;



Plano de Contingência;



Capacitação Técnica;





Backups;



Antivírus;



Firewall;



Detecção de Intruso (IDS);



Servidor Proxy;



Filtros de Conteúdo;



Sistema de Backup;





Monitoração;



Sistema de Controle de Acesso;



Criptografia Forte;



Certificação Digital;



Teste de Invasão;



Segurança do acesso físico aos locais críticos.



 Autorização, em segurança da informação, é o mecanismo responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional;

 Os recursos incluem:

- Arquivos;

- Programas de computador; - Dispositivos de hardware;

- Funcionalidades disponibilizadas por aplicações instaladas em um sistema;





Proteção de perímetro;



Detecção de anomalias e intrusão;



Proteção contra infecção;



Identificação de vulnerabilidades;



Backup/recovery.



 Como funcionam?

- Realizam o monitoramento de redes;

- Plataformas e aplicações visando a detecção de atividades não autorizadas;

- Ataques;

- Mau uso e outras anomalias de origem interna ou externa.



 Que tipos de métodos são empregados?

- Empregam métodos sofisticados de detecção que variam desde o reconhecimento de assinaturas, que identificam padrões de ataques conhecidos;

- Até a constatação de desvios nos padrões de uso habituais dos recursos de informação.



 Os Intrusion Detection Systems (IDS) são as ferramentas mais utilizadas nesse contexto e atuam de maneira passiva, sem realizar o bloqueio de um ataque, podendo atuar em conjunto com outros elementos (ex.: firewalls) para que eles realizem o bloqueio.



 Uma evolução dos IDS são os Intrusion Prevention Systems (IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques;

 Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores.



 Outras ferramentas importantes nesta categoria são:

- Os Network Behaviour Anomaly Detectors (NBAD) que, espalhados ao longo da rede, utilizam informações de perfil de tráfego dos diversos

roteadores e switches para imediatamente detectar ataques desconhecidos, ataques distribuídos (Distributed Denial of Service – DDoS) e propagação de worms.



 Garantem que os sistemas e os recursos de informação neles contidos não sejam contaminados;

 Incluem, principalmente, os antivírus e filtros de conteúdo.



 Os antivírus ganham cada vez mais sofisticação, realizando a detecção e combate de ameaças que vão além dos vírus,

incluindo trojans, worms, spyware e adware.





Ameaças relativas a um evento natural:

- Os fenômenos naturais e incidentes estão presentes no

nosso cotidiano;



Muitas vezes são inevitáveis, não dependem da ação direta

de pessoas para acontecer e normalmente não temos a

quem responsabilizar, portanto cabe a segurança das

informações proteger os equipamentos deste tipo de

Ameaça;





Exemplos de eventos naturais:

- Incêndio;

- Queda de energia;

- Terremoto;

- Enchente;

- Ventanias e até mesmo ataques terroristas nas

proximidades, que apesar de nos parecer tão

improváveis, são constantes em outros países.



 Uma vulnerabilidade é uma falha que pode ser explorada para se conseguir efetuar um ataque;

 É importante que se conheça todas as vulnerabilidades existentes na empresa, por menor que ela seja;

 A partir da lista de vulnerabilidades existentes, podemos perceber onde as ameaças podem aparecer.

 Vejamos uma tabela que aponta possíveis vulnerabilidades e as ameaças que podem surgir em cada uma delas:

