Universidade Federal do Espírito Santo Campus Alegre
CCENS – Departamento de Computação
Ferramentas para Auditoria de Sistemas
Sistemas de Informação
Prof. MSc. Giuliano Prado de Morais Giglio
}
Ferramentas de Auditoria de Sistemas de
Informação
A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação da empresa, bem como avaliar
a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos.
}
Preocupação com a qualidade dos processos
computadorizados – criação do Analista de
Segurança da Informação e do Analista de
Qualidade da Informação.
}
Durante o Desenvolvimento de Sistemas
}
Auditoria de Sistemas em Produção
}
Auditoria no ambiente tecnológico
}
Auditoria em eventos específicos
Instrumentos informatizados utilizados para realizar uma atividade de auditoria.
• Auxiliam na extração, sorteio, seleção de dados e transações, atentando para discrepâncias e desvios.
• Auxiliam nas atividades de planejamento,
documentação e geração de relatórios da auditoria.
Exemplos de ferramentas para realizar atividades de auditoria.
•
Software generalista de auditoria de Tecnologia da Informação.
• Softwares especialistas de Auditoria.
• Programas utilitários.
Envolve o uso de software aplicativo,
que pode processar, além de simulação
paralela, uma variedade de funções de
auditoria de forma automatizada e nos
formatos que o auditor desejar.
• ACL (Audit Command Language) : é um software de extração e análise de dados desenvolvido no Canadá;
http://www.acl.com
• IDEA (Interactiva Data Extraction & Analysis) software para extração e análise de dados também desenvolvido no Canadá;
http://www.youtube.com/watch?v=1MQZTxyTX0o#t=80
• Audimation: é a versão norte-americana do IDEA, da
Caseware-IDEA, que desenvolve consultoria e dá
suporte para o produto; http://www.audimation.com
• Galileo: software integrado de gestão de auditoria.
Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna;
• Pentana: software de planejamento estratégico da
auditoria, sistema de planejamento e monitoramento
de recursos, controle de horas, registro de checklists
e programas de auditoria, inclusive de desenho e
gerenciamento de plano de ação.
SE Audit (Gestão de Auditorias): software que realiza o gerenciamento de todas as etapas do processo de auditoria, desde o planejamento e aprovação, até o monitoramento, seja ela interna de fornecedores , e/ ou de organismos certificadores.
O SE Audit é um sistema 100% web, multiusuário e multi- departamental, que incorpora ferramentas de:
organização, classificação e pesquisa.
http://www.softexpert.com.br/planejamento-controle-auditorias.php
Snort:
ü Uma Ferramenta "open-source”
ü Leve, Pequeno e de longo alcance de vulnerabilidades
ü A utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores.
http://www.snort.com.br/default.asp
Nessus:
É uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades.
Era um aplicativo Open-Source, hoje continua sendo de uso gratuito, mas o código fonte passou a ser fechado, para evitar a concorrência predatória de outras empresas.
Existem versões do Nessus para diversos sistemas
http://www.nessus.org
Nmap (Network Mapper):
É uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais.
Determina quais hosts estão disponíveis na rede, quais serviços os hosts oferecem, quais sistemas operacionais eles estão executando e que tipos de filtro de pacotes/firewalls estão em uso.
http://insecure.org/nmap
Vantagens:
• Pode processar vários arquivos ao mesmo tempo;
• Pode processar vários tipos de arquivos com formatos diferentes (bancos de dados);
• Poderia também fazer uma integração sistêmica com vários tipos de softwares ou hardwares;
• Reduz a dependência do auditor, sendo que evita o desenvolvimento de aplicativos específicos para diferentes auditorias de Sistemas de informação.
Uma ferramenta para apoiar o desenvolvimento através da geração de relatórios dinâmicos que dão um feedback sobre a qualidade do código que está sendo produzido.
SONAR
O Sonar é uma ferramenta open source construída para avaliar a qualidade do código que está sendo desenvolvido.
Questões de arquitetura, código duplicado, pontos potenciais de bugs, nível de complexidade e cobertura dos testes são avaliadas pelo Sonar, de modo a dar para a equipe um feedback da qualidade do seu código.
O Sonar pode ser configurado para armazenar todas as informações do seu código em um banco de dados para que se possa fazer também um acompanhamento da evolução da qualidade do código.
http://www.sonarqube.org/
SONAR
Desvantagens:
• O software não consegue processar cálculos
complexos, pois se trata de um sistema
generalista, não aprofunda na lógica e na
matemática muito complexas.
ü http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de-pos- graduacao-e-pesquisa/anais/2010/trabalhos/gestao-e-
desenvolvimento-de-tecnologias-da-informacao-
aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf
ü https://app.uff.br/riuff/bitstream/1/7543/2/Paula%20Melo%20de%20 Andrade%20Alves.pdf