Segurança e Auditoria de Sistemas

Annotations:

• SEQUÊNCIA DE PASSOS PARA UM OBJETIVO TÊM QUE SER PLANEJADO

1. Planejamento e Controle do Projeto de Auditoria de Sistemas
   1. Planejamento e Controle do Projeto de Auditoria de Sistemas

      Annotations:

      • Planejamento dos recursos e ações necessarias Definição de enfoque desejado na conclusão da auditoria Definição das técnicas e ferramentas
   2. Levantamento de informações sobre o sistema a ser auditado

      Annotations:

      • Melhor entendimento sobre o sistema Analise da documentação  do sistema, realizando testes e entrevistas com usuarios
   3. Inventario dos pontos de controle do sistema auditado

      Annotations:

      • Um ponto de controle é uma caracteristica principal do sistema que deve ser auditado Identificação dos pontos de controle que deve ser associado a um objetivo Para cada objetivo têm uma tecnica
   4. Priorização dos pontos de controle a serem auditados

      Annotations:

      • Definição da ordem no qual os pontos de controle devem ser abordados
      1. grau de risco
      2. quantidade/qualidade
   5. Avaliação dos Pontos de Controle

      Annotations:

      • Resolver os pontos de controle -- ocorre a auditoria Validar os pontos de controle antes e depois da auditoria
   6. Conclusão da Auditoria

      Annotations:

      • Geração de relatórios, pontos de controle que foram tratados e resultados obtidos Quais não foram auditados e porque?
   7. Acompanhamento da Auditoria

      Annotations:

      • Etapa que consiste em manter os resultados da auditoria realizados Numerando pontos de controle que não foram resolvidos para uma futura auditoria

1. Segurança em Ambientes Fisicos

   Annotations:

   • Medidas de Prevenção e detecção de invasão de recursos fisicos que oferecem suporte a infraestrutura tecnologica
   1. Exemplos: Programas, Dados armazenados, Pacotes transmitidos
   2. Para cada tipo de recurso (fisico ou tecnologico) existem normais de proteção que definem as melhores praticas de manutenção
      1. As principais Normas que definem as boas praticas são a ISO 27001 E 27002
         1. Controle de acesso fisico e logico varia em função do tipo de recurso ativo
2. Segurança em Ambientes logicos

   Annotations:

   • Medidas utilizando a prevenção e a detecção de invasores de recursos logicos que oferecem suporte a infraestrutura tecnologicas
   1. Exemplos: Cabeamento, Equipamento, Medidas de armazenamento
3. Premissas de controle de acesso

   Annotations:

   • Caracteristicas principais no qual se baseia uma tecnica de controle de acesso Os controles de acesso envolvem ideias de autentificação e autorização.
   1. No que se conhece

      Annotations:

      • Envolve o uso de logica implementada o que possibilita reduzir o custo da implementação das tecnicas ex: login e senha
   2. No que se possui

      Annotations:

      • Envolve o uso de dispositivos de baixo processamento/armazenamento responsaveis por fornecer identificação do usuario ex. smartcard, cartoes de banco, totens.
   3. No que o usuario é

      Annotations:

      • Baseada em caracterisitcas fisicas unicas do usuario. Envolve tecnicas mais custosas de serem implementadas ex. biometria(facil, digital e retina)

1. Criação de um Comitê segurança da Informação

   Annotations:

   • Orientar ações. Analisar os resultados sobre as medidas adotadas Coordenar os agentes da seg Garantir a implementação das medidas Gerencias os planos de seg e de contigencia
2. Mapeamento da segurança

   Annotations:

   • Identificar o grau de relevancia dos ativos as vulnerabilidade Organizar as demandas de seg
3. Estrategia de Segurança

   Annotations:

   • Definir um plano de ação que considere as particulariedades da organização em seus 3 niveis: tecnologico, fisico e humano. Definir como objetivo a proximação do cenario atual com o cenario esperado.
4. Planejamento da segurança

   Annotations:

   • Coordenar os comites interdepartamentais e promover a integração entre eles Iniciar ações preliminares quanto a capacitação de pessoas. Elaborar politicas de seg. Realizar medidas corretivas emergenciais
5. Implementação da Segurança

   Annotations:

   • Divulgação da politica de segurança para torna-la conhecida Implementação de mecanismos de controles fisicos e tecnologicos para eliminarou reduzir a vulnerabilidade
6. Administração da Segurança

   Annotations:

   • Monitorar os controles implementados, medindo a eficiencia e verificando a necessidade de reajustes projetar o retorno sobre o investimento com base nos resultados obtidos realizar a manutenção de planos estrategicos e de contigencia
7. Segurança na Cadeia Produtiva

   Annotations:

   • Nivelar o fator risco existente na organização com o existente em organizações parceiras e existir o mesmo.

Annotations:

• Objetivo: A auditoria têm como principal objetivo ver o aumento da qualidade do produto ou serviço. Em um sistema de informação, a qualidade é sustentada em 3 pilares desenpenho, segurança e corretude. Em outras palavras o sistema sofre a adequação e revisão aprimorando os seus controles internos.

1. Confidencialidade
2. Integridade
3. Disponibilidade
4. Privacidade

   Annotations:

   • Informações são mantidas, pois por padrão inacessiveis
5. Acuidade

   Annotations:

   • Validade das transações realizadas no sistema
6. Versatilidade

   Annotations:

   • Facilidade de uso
7. Manutenabilidade

   Annotations:

   • Capacidade que o sistema possui de sofre manutenção sem afetar o seu uso
8. Auditabilidade

   Annotations:

   • Capacidade do sistema ser auditado em função de susas informações que ele fornece sobre o sistema
9. Tipos de Auditoria de sistemas de Informação
   1. Auditoria de sistemas em desenvolvimento

      Annotations:

      • Realizada durante o processo de desenvolvimento do sistema, oferece resultados mais produtivos com maior custo em relação ao tempo
   2. Auditoria em Sistemas em Produção

      Annotations:

      • Envolve sistemas em utilização plena. Para isso o aspecto de manutenabilidade deve ser posto em forma precisa.
   3. Auditoria em Ambientes Tecnologicos

      Annotations:

      • Faz referencia a analise de toda a infraestrutura tecnologica que suporta o sistema e suas informações
   4. Auditoria em Eventos Especificos

      Annotations:

      • Auditoria que abrange os assuntos que não foram abordados nas outras auditorias. ex aspetos humanos, infraestrutura fisica, documentação

1. Ferramentas generalistas de sistemas

   Annotations:

   • São capazes de analisar qualquer tipo de sistema de informação, desde que este sistema esteja homologado são pagas e de grande porte com funções implementadas com principais tecnicas de auditoria Permite a integração com sistemas auditaveis não comtenpla a auditoria de modulos especificos
2. Ferramentas Especializadas

   Annotations:

   • Ferramentas responsaveis por realizar a auditoria, componentes/modulo especifico não homologados de um sistema Por serem muito especificas não são capazes de analisar o programa como todo.
3. Programas Utilitarios

   Annotations:

   • São ferramentas que não são capazes por si só de auditar um sistema  Auxiliares no processo de auditoria, fornecedores de utilidades como geradores de relatorios, planilhas, ferramentas de calculo, etc

1. Tecnica de Dados de Teste: Corretude

   Annotations:

   • Nesta tecnica são fornecidos dados de entrada controlados. Uma vez que o objetivo do módulo e os dados são conhecidos é possivel estimar o resultado. O resultado obtido é comparado ao resultado esperado. Esta tecnica visa analisar a capacidade do modulo processar corretamente os dados
2. Facilidade de Teste Integrado: Corretude

   Annotations:

   • São incluidos dados ficticios no sistema em produção, respeitando um determinado padrão Analisando se o sistema é capaz de identificar a existencia desses dadose de realizar o seu tratamento de forma adequada, ignorando ou eliminando estes dados ficticios apos aplicação desta tecnica
3. Simulação paralela: Corretude

   Annotations:

   • Envolve analisar o ssitema de forma global e não apenas em nivel de modulos individuais de forma a auditar o comportamento de integração entre os modulos Esta tecnicapode e deve ser desenvolvido em ambiente de teste
4. Logica de Auditoria embutida no Sistema: Segurança

   Annotations:

   • Consiste na inclusão de rotinas de controle(geração de relatorios, logs) que permitem a auditoria no sistema Tecnica que deve ser aplicada durante o desenvolvimento
5. Mapeamento e Rastreamento: Segurança

   Annotations:

   • Envolve a identificação de falhas em um sistema e uso de uma trilha de auditoria para encontrar o motivo de ocorrencia de falhas de forma a evitar que ocorram Esta tecnica depende da existencia da aplicação de logica embutida
6. Analise logica de Programação: Desenvolvimento

   Annotations:

   • Verificação da forma logica de programação de forma a garantir que os algoritmos utilizados sejam mais eficientes Tecnicas que necessitam da participação de um profissional especialista em desenvolvimento, programação e complexidade do algoritmo