232
1
| Date post: | 11-Oct-2015 |
| Category: |
Documents |
| Upload: | extensaounis |
| View: | 102 times |
| Download: | 1 times |
1
2
3
REITOR
Prof. Ms. Stefano Barra Gazzola
GESTOR Prof. Ms. Wanderson Gomes de Souza
Supervisora Tcnica
Prof. Ms. Simone de Paula Teodoro Moreira
Design Instrucional Victor Rocha
Digenes Caxin
Coord. do Ncleo de Comunicao Maria Fernanda Guadalupe de Morais
Coord. do Ncleo de Recursos Tecnolgicos
Rogrio Martins Soares
Coordenadora do Ncleo Pedaggico Terezinha Nunes Gomes Garcia
Equipe de Tecnologia Educacional
Danbia Pinheiro Teixeira Maria Carolina Silva Castro Oliveira
4
Reviso Ortogrfica / Gramatical Gisele Silva Ferreira
Erika Sousa
5
Autor Fabrcio Pelloso Piurcosky
MBA em Gesto de TI, Especialista em Redes de Computadores, Bacharel em Cincia da Computao e, atualmente, Mestrando em Engenharia Eltrica pela UFSJ. Leciona desde 2006 em cursos de graduao e ps-graduao do Unis, foi gestor de TI do Unis at 07/2009 e desde 2006 Coordenador do Curso de Cincia da Computao do Unis.
6
PIURCOSKY, Fabrcio Pelloso.
Guia de Estudo Segurana e Auditoria de
Sistemas. Fabrcio Pelloso Piurcosky -
Varginha: GEaD-UNIS, 2012, 232p.
7
Sumrio
EMENTA ........................................................................................................................ 11
INTRODUO ............................................................................................................ 15
DINMICA .................................................................................................................... 17
AVALIAO .................................................................................................................. 18
1. SEGURANA DA INFORMAO .......................................................... 20
1.1 Conceitos e Princpios de Segurana da Informao .......... 21
1.2 A Segurana e o Ciclo de Vida da Informao ........................ 31
1.3 Classificao e Controle dos Ativos de Informao ............... 37
1.4 Classificao do Ativo da Informao ........................................... 39
1.4.1 Quanto Confidencialidade ........................................................ 39
1.4.2 Quanto Disponibilidade .............................................................. 41
1.4.3 Quanto Integridade ....................................................................... 43
1.4.4 Quanto Autenticidade .................................................................. 43
1.4.5 Monitoramento Contnuo ............................................................... 43
1.5 Aspectos Humanos da Segurana da Informao ................ 45
1.5.1 Segurana nos Termos, Condies e Responsabilidades de Trabalho ........................................................... 52
1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de Usurios.......................................................................... 53
8
1.6 Segurana do Ambiente Fsico........................................................... 55
1.6.1 Segurana em Escritrios, Salas e Instalaes de Processamento de Dados ........................................................................ 58
1.6.2 Segurana de Equipamentos ..................................................... 60
1.6.3 Segurana de Documentos em Papel e Eletrnicos .... 60
1.6.4 Segurana no Cabeamento......................................................... 64
1.7 Segurana do Ambiente Lgico ....................................................... 64
1.7.1 Segurana em Redes ...................................................................... 64
1.8 Controle de Acesso .................................................................................... 68
1.8.1 Controle de Acesso Lgico ........................................................... 68
1.8.2 Controle de Acesso Fsico ............................................................. 70
1.9 A Organizao da Segurana ............................................................ 71
1.10 A Segurana no Contexto da Governana de TI .................. 74
2. SEGURANA NO DESENVOLVIMENTO DE SOFTWARES ... 84
2.1 Modelos de Especificao da Segurana ................................... 86
2.2 Especificao da Segurana Desejada ........................................ 90
2.3 Especificao da Segurana da Aplicao ................................ 91
2.4 Segurana do Ambiente de Desenvolvimento ......................... 92
2.5 Segurana no Ciclo de Vida de Desenvolvimento da Aplicao ................................................................................................................. 98
9
3. AUDITORIA EM SISTEMAS DE INFORMAO.......................... 102
3.1 Fundamentos em Auditoria ............................................................... 104
3.2 Tipos de Auditoria .................................................................................... 107
3.3 Metodologia de Auditoria de Sistemas de Informao ..... 108
3.3.1 Planejamento e Controle do Projeto de Auditoria de Sistemas de Informao......................................................................... 108
3.3.2 Levantamento do Sistema de Informao a ser Auditado ........................................................................................................... 110
3.3.3 Na Identificao e Inventrio dos Pontos de Controle................................................................................................................................ 127
3.3.4 Priorizao e Seleo dos Pontos de Controle do Sistema Auditado ........................................................................................ 128
3.3.5 Avaliao dos Pontos de Controle ........................................ 129
3.3.6 Concluso da Auditoria................................................................ 129
3.3.7 Acompanhamento da Auditoria ............................................ 130
3.4 Ferramentas de Auditoria de Sistemas de Informao .... 131
3.5 Tcnicas de Auditoria de Sistemas de Informao ............. 134
3.6 Melhores Prticas de Auditoria de Sistemas de Informao .................................................................................................................................... 137
3.6.2 Associao de Auditores de Sistemas e Controles (ISACA) .............................................................................................................. 140
10
4.POLTICA DE SEGURANA .................................................................... 144
4.1 Planos de Segurana ........................................................................... 146
4.1.1 Plano Diretor de Segurana ...................................................... 149
4.1.2 Plano de Continuidade de Negcios................................... 154
4.1.3 Plano de Administrao de Crise........................................... 162
4.1.4 Plano de Continuidade Operacional .................................... 170
4.2 Ciclo de Vida de Desenvolvimento Seguro .............................. 181
4.3 Forense Computacional....................................................................... 181
4.4 Valor Empresarial da Segurana .................................................... 191
4.5 Software mal-intencionado: vrus, worms, cavalos de Troia e spywares ........................................................................................................... 192
4.6 Segurana da Informao uma necessidade latente .... 201
4.7 Segurana da Informao um enfoque mais srio do que imaginamos ........................................................................................................ 219
4.8 Formas de Proteo ltimas Dicas ........................................... 224
BIBLIOGRAFIA .................................................................................................... 230
11
EMENTA
Os conceitos e os tipos de ameaas, riscos e vulnerabilidades
dos sistemas de informao. O conceito e os objetivos da
segurana de informaes. O planejamento, implementao e
avaliao de polticas de segurana de informaes. O conceito
e os objetivos da auditoria de sistemas de informao. O
planejamento, implementao e avaliao de auditorias de
sistemas de informao.
12
13
Caro (a) aluno (a),
Vivemos na chamada Era da Informao, por isso vital
sabermos utilizar o que ela tem de mais interessante e tambm
estarmos preparados para ela.
Com o aumento do uso da tecnologia da informao,
novos problemas e desafios surgem diariamente para a
sociedade: malwares, spam, crakers, engenharias sociais e
outros. Cada vez mais os profissionais de computao
14
necessitam saber como ter segurana em suas aplicaes.
Estaremos construindo nosso conhecimento por meio de
fruns, leitura de artigos, reportagens, exemplificaes e
discusses. Para isso, temos o apoio do nosso ambiente
virtual de aprendizagem, com o qual, sem dvida, todos j
devem estar habituados.
O grande empresrio J. Willard Marriott disse, certa vez: "A
boa madeira no cresce com sossego; quanto mais forte o
vento, mais fortes as rvores".
Portanto, esperamos que soprem fortes ventos em nossa
caminhada, pois, assim, todos se tornaro valorosos, quer
profissionalmente, quer pessoalmente.
Contem comigo, forte abrao!
Professor Fabrcio Pelloso Piurcosky.
15
INTRODUO
Na disciplina de Segurana e Auditoria de Sistemas
estudaremos os conceitos e os tipos de ameaas, riscos e
vulnerabilidades dos sistemas. Conceituaremos o que
segurana e os objetivos de se manter uma poltica que cuide
disso. Tambm conceituaremos auditoria de sistemas e
veremos a importncia de implementar e planejar aes assim.
Teremos quatro unidades: na Unidade I, estudaremos
o que Segurana da Informao, veremos seu conceito,
classificao, aspectos humanos, segurana fsica e lgica e o
contexto da mesma em relao Governana de TI.
Na Unidade II, abordaremos a importncia da segurana
no desenvolvimento de softwares. Abordaremos modelos de
especificao de segurana, ambiente de desenvolvimento,
segurana da aplicao. Tambm veremos os conceitos e os
tipos de ameaas, riscos e vulnerabilidades.
16
Na Unidade III, conceituaremos o que auditoria,
destacando as metodologias existentes, ferramentas, tcnicas,
melhores prticas e outros aspectos ligados ao tema.
E, finalmente, na Unidade IV, falaremos sobre poltica de
segurana, apresentando exemplos de ciclo de vida de
desenvolvimento seguro, NBR ISO/IEC e Planos de Segurana.
A Ementa de nossa disciplina : Os conceitos e os tipos
de ameaas, riscos e vulnerabilidades dos sistemas de
informao. O conceito e os objetivos da segurana de
informaes. O planejamento, implementao e avaliao de
polticas de segurana de informaes. O conceito e os
objetivos da auditoria de sistemas de informao. O
planejamento, implementao e avaliao de auditorias de
sistemas de informao.
17
DINMICA
Nossa disciplina ter atividades pelo ambiente virtual e
encontros presenciais. As atividades sero publicadas com
prazos de incio e trmino (por meio da agenda da pgina
principal). Ressalto que os prazos sero seguidos
rigorosamente. Teremos como local de comunicao,
exclusivamente, o ambiente, pois l encontramos todas as
ferramentas (correio, mural, frum, portflio e bate-papo)
necessrias para tal. Assim, o e-mail externo no ser utilizado.
Disponibilizarei um cronograma com todas as atividades que
devero ser cumpridas, alm de uma sugesto de ritmo de
leitura do nosso material. Tambm teremos o sistema de aulas
com plantes em determinados horrios durante a semana, em
que podero interagir pela ferramenta WEBEX e tambm assistir
aulas que sero gravadas.
18
AVALIAO
Na Etapa I (avaliao a distncia), sero distribudos 45
pontos nas atividades orientadas como: produo, interao,
anlise e aplicao dos conhecimentos adquiridos; auto-
avaliao; fruns; chats e portflio. Na Etapa II (avaliao
presencial), sero distribudos 55 pontos, em avaliaes que
exigiro uma reviso do guia de estudo que ser trabalhado
durante o mdulo. Podero ser utilizadas provas individuais, em
duplas, relatrios e grupos de discusso. As provas tero
questes abertas e fechadas. Tambm, nesta diviso de pontos
teremos a Avaliao Institucional que corresponder a uma
porcentagem desse valor sendo constituda por uma avaliao
com questes de todas as disciplinas.
19
META
Apresentar conceitos de Segurana, caractersticas da Informao e
seu Ciclo de Vida, Segurana em Ambiente Fsico e Lgico,
Segurana no Contexto da Governana de TI.
OBJETIVOS GERAIS
Esperamos que, aps o estudo do contedo desta unidade,
voc seja capaz de:
1. Conceituar segurana da informao;
Identificar as caractersticas da informao, seu ciclo de vida
e a importncia dela em ambientes fsico e lgico;
Conceituar a segurana no contexto da governana de TI.
20
SEGURANA DA INFORMAO
21
1.1 Conceitos e Princpios de Segurana da Informao
Como ter segurana nesse mundo tecnolgico? Essa pergunta
sempre feita e, com certeza, o debate sobre ela continuar a
existir. Falo isso porque muito pouco provvel que um dia
tenhamos um sistema que seja plenamente seguro sob todos
os seus aspectos. H um tempo atrs muitos afirmavam que um
computador somente estaria seguro se no estivesse
conectado a alguma rede. Esse pensamento faz sentido quando
pensamos somente em ataques que envolvem aspectos
lgicos. A grande maioria dos roubos de informaes acontece
com invases fsicas e por uso da persuaso. Assim, enquanto
tivermos o fator humano como preponderante na relao com
as mquinas, improvvel um sistema seguro em sua
totalidade. Com certeza, um dos assuntos mais discutidos e
22
importantes na atualidade Segurana da Informao. Em
2009, a revista InformationWeek publicou uma retrospectiva de
alguns dos maiores acontecimentos mundiais ligados
tecnologia, e olhe s o que temos:
Figura 1: Retrospectiva de Acontecimentos (Fonte: Revista InformationWeek, 2009)
Temos uma notcia que mostra a importncia do tema que
estamos estudando. Se no conseguiu observar, volte e olhe
mais uma vez a figura. Notou agora? Isso mesmo! O ataque ao
World Trade Center mudou a forma das empresas pensarem
em segurana e contingncia.
23
Pense um pouco no caso e, com base no que leu a
respeito, reflita um pouco agora na importncia do tema que
estudaremos.
Antes de passarmos diretamente ao tema de segurana,
vamos relembrar alguns conceitos importantes.
De acordo com Filho (2008), informao a forma final da
transformao ou processamento dos dados originais, em algo
com valor e significado para o usurio. Todo o dado trabalhado,
til, tratado com valor significativo atribudo ou agregado a ele e
com um sentido natural e lgico para quem usa a informao.
Assim, estas tm importncia fundamental nas empresas.
Vivemos a chamada Sociedade da Informao e do
Conhecimento (informao disponvel e fluindo a toda
velocidade), mercados globalizados (a informao estratgia
de competio). Filho (2008) destaca a importncia da
informao para as empresas, evidenciando que um ativo nas
organizaes e estas devem trat-la como um bem, pois
24
representa a inteligncia competitiva. Dessa forma, para se
montar uma estratgia ou um planejamento vital ter total
confiana nas informaes que transitam nos sistemas de
informao da empresa, afinal de contas, elas sero a base para
a tomada de deciso.
Mas, e quanto ao valor da informao? Voc sempre l
que informao o bem mais precioso... mas como quantificar?
No difcil! Analise comigo:
Se uma informao de previso de mercado usada para
produzir um novo produto que ir responder por um lucro
X, neste caso, essa informao possui esse valor X.
Se um novo sistema computadorizado de pedidos custa
R$ 100.000,00, mas isto poder gerar um adicional de R$
150.000,00 nas vendas, o valor adicionado pelo novo
sistema de R$ 50.000,00
Vrios autores j concordam que o valor econmico
advindo da gerao, do uso e da venda da informao est
crescendo muito mais depressa que o valor agregado pela
25
produo tradicional de bens e servios. Por essa ideia, j
consegue notar como esse tema vai ganhar importncia cada
vez mais?
Temos dois exemplos de como medir o valor de
uma informao. Conseguiria realizar isso tendo como
base algum sistema implantado em sua empresa ou que
voc tenha criado ou baseado em alguma pesquisa?
Vamos l, mos obra! Tente mensurar o valor
de uma informao. Faa isso em um documento
.doc ou .pdf e poste em seu portflio individual.
Lyra (2008) destaca que a segurana da informao tem vrios
aspectos importantes, mas, sem dvida, trs deles se destacam:
Confidencialidade capacidade de um sistema de
permitir que alguns usurios acessem determinadas
26
informaes ao mesmo tempo em que impede que
outros, no autorizados, a vejam.
Integridade a informao deve estar correta, ser
verdadeira e no estar corrompida.
Disponibilidade a informao deve estar disponvel
para todos que precisarem dela para a realizao dos
objetivos empresariais.
Estes trs aspectos so os principais, muitos autores concordam
que se a informao contiver todos eles, podemos trat-la como
uma informao segura.
No entanto, alm destes trs aspectos, ainda temos:
Autenticao garantir que um usurio de fato quem
alega ser;
No-repdio capacidade do sistema de provar que um
usurio executou uma determinada ao;
Legalidade garantir que o sistema esteja aderente
27
legislao pertinente;
Privacidade capacidade de um sistema de manter
annimo um usurio, impossibilitando o relacionamento entre o
usurio e suas aes;
Auditoria capacidade do sistema de auditar tudo que
foi realizado pelos usurios, detectando fraudes ou tentativas de
ataque.
Para elucidar a importncia das informaes para as
empresas e como essa uma rea de grande preocupao,
o jornal Estado de So Paulo de 27 de maio de 2012 trouxe
uma reportagem intitulada: Nos EUA um bunker para US$6
tri. Esta reportagem revela como a operadora Visa protege
seu data Center que autoriza 78 bilhes de transaes ao
ano e processam 10 mil mensagens por segundo. Fiz
questo de relatar isso aqui em virtude de futuramente talvez
no encontrarmos mais o link da mesma, que at este ano
encontra-se em
28
http://www.estadao.com.br/noticias/impresso,nos-eua-um-
bunker-para-us-6-tri-,878538,0.htm.
Voc poder confirmar o que vou relatar aqui. As
operaes da Visa acontecem em um caixote de concreto de
13 mil metros quadrados na cidade de Ashburn, no estado
americano da Virginia. O local tem por objetivo proteger-se
tanto fisicamente com fossos reais quanto logicamente com
muralhas virtuais. Isso mesmo necessrio, pois o data
Center capaz de autorizar uma mdia de 150 milhes de
transaes com cartes de crdito no mundo por dia - o
equivalente a US$ 6 trilhes ao ano - e de processar 10 mil
mensagens por segundo.
O responsvel pelo Centro de Operaes do Leste (COE,
na sigla em ingls), Michael Dreyer, diz: Tudo aqui
redundante.
Por dentro do local, h poucas placas indicativas do que
cada sala ou representa. O crebro da Visa est em um
29
salo de 1.858 metros quadrados sem nenhuma indicao
de sua funo na porta. Segundo Freyer, a regra isolar ao
mximo esse centro vital do contato humano e, com isso,
evitar acidentes e falhas. Em toda a planta, trabalham apenas
de 150 a 200 pessoas.
O comando do data center visto por visitantes de uma
ampla vidraa da sala de reunies apenas quando as luzes
se apagam. O acesso s possvel depois de se cruzar um
portal onde feita a leitura das informaes funcionais
contidas no crach do responsvel pela visita, bem como de
seus dados biomtricos e de seu rosto. Para chegar ao
crebro da Visa, outros trs portais so transpostos. Um
deles, com cmeras capazes de enxergar o que h dentro de
bolsas a cerca de quatro metros.
Segundo Dreyer, em 1992, as fraudes identificadas pela
Visa causavam um custo de 18 pontos bsicos para cada
operao. Atualmente, de apenas cinco pontos bsicos.
30
Uma rede de inteligncia capaz de prevenir 1,5 bilho de
tentativas de fraudes ao ano.
Fisicamente, a estrutura tambm de causar inveja, do
lado de fora, muralhas podem aguentar o impacto de um
caminho de grande porte em alta velocidade. Canais secos
rodeiam boa parte do prdio.
No interior, as paredes brancas tm 20 centmetros de
concreto de espessura e compem vrios corredores de 300
metros de comprimento.
A construo tambm est preparada para desastres
naturais. O prdio foi construdo para aguentar um terremoto
de 7 graus na escala Richter, como o que destruiu Porto
Prncipe, no Haiti, em janeiro de 2010, e ventanias de 270
quilmetros por hora. O teto est preparado para suportar at
60 centmetros de neve.
O prdio tem um estoque de 1,5 milho de gales de
gua purificada, para manter a refrigerao dos
31
computadores, e geradores a diesel capazes de gerar
eletricidade para uma cidade de 25 mil casas (22 MGW).
No h dvidas de que Segurana hoje fundamental para
os negcios!
Um bom exemplo de um sistema com privacidade trata-
se das urnas eletrnicas utilizadas pelo TSE. Utilizamos o
sistema para realizar nosso voto no relacionando o usurio
com a ao executada, garantindo assim que o nosso voto
seja secreto.
1.2 A Segurana e o Ciclo de Vida da Informao Quando realizamos um levantamento de informaes
para uma implantao ou um desenvolvimento de um sistema,
vital ter uma preocupao em como a informao ir fluir na
32
organizao. Assim, a identificao das necessidades e dos
requisitos da informao quem ditar o ciclo da mesma.
Conforme a Figura 2, a identificao das necessidades e
requisitos fundamental para que o restante do projeto consiga
uma boa fluidez e sucesso. Voc j deve ter lido, estudado ou
praticado algumas das tcnicas que auxiliam neste processo.
Podemos at mesmo destacar algumas, tais como a
observao pessoal, entrevistas e questionrios. No h uma
receita de bolo que devemos seguir sempre que precisamos
realizar um levantamento de informaes. Isso depender da
situao do ambiente, do tempo que temos e da possvel
reao dos usurios. A figura tambm serve para refletirmos um
pouco em como difcil darmos segurana informao.
Observem que, tanto na Obteno, como na Distribuio, h
relacionamentos com o meio externo e com o meio interno.
Estes so dificultadores que no podem ser restringidos, pois ao
mesmo tempo em que podem trazer problemas, eles tambm
podem ser importantes na obteno e seleo da informao.
33
Figura 2: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)
Lyra (2008) explica cada componente deste ciclo de vida:
Identificao das necessidades e dos Requisitos
Geralmente dentro de uma organizao nossa principal funo
desenvolver produtos e servios informacionais com
especificidade. Isso pode ser desde um simples relatrio, um
produto ou um novo processo. Ser que voc conseguiria fazer
isso sem conhecer as necessidades e as caractersticas que
envolvem a situao? De forma alguma, por isso importante
gastar tempo nesta etapa.
34
Obteno nesta etapa so desenvolvidos
procedimentos para a captura e recepo da informao
originria de uma fonte externa ou mesmo em como ela ser
criada. Para o primeiro caso (fonte externa), necessrio que
voc se preocupe com a integridade da informao, garantindo
que ela genuna, produzida por uma pessoa ou entidade
autorizada e que, portanto, est completa e compatvel com os
requisitos que foram levantados anteriormente.
Tratamento antes da informao ser utilizada ou
consumida, imprescindvel que ela seja classificada,
formatada, organizada. Tambm interessante torn-la mais
acessvel e de fcil utilizao. Mas aqui vai um alerta! Depois de
tratada, preciso dar a garantia de que ela continue ntegra,
bem como confidencial.
Distribuio esta etapa um verdadeiro desafio! Mais
frente veremos o porqu. Consiste em levar a informao at
quem ser seu consumidor. Para isso quanto mais capilar for a
rede de distribuio, melhor e mais seguro ser.
35
Uso aqui que veremos o quanto a informao ser
til para gerar valor organizao. Devemos aplicar, portanto,
os conceitos de disponibilidade, integridade e confidencialidade.
Armazenamento importante para que futuramente a
informao possa ser utilizada novamente. Ela ser mais
onerosa se a informao estiver em vrios formatos ou mdias. A
preocupao com a integridade e a disponibilidade devem ser
constantes, bem como confidencialidade, se a mesma for
sigilosa.
Descarte Beal (2005) diz que quando uma informao
torna-se obsoleta ou perde a utilidade para a organizao, ela
deve ser objeto de processo de descarte, obedecendo normas
legais, polticas operacionais e exigncias internas. Isso ajudar
no processo de gesto da informao. Essa cada vez mais
uma ao importante. J h vrios estudos sobre isso tendo em
vista a criao de um novo tipo de lixo: o lixo digital. Percebam
que no se trata do lixo eletrnico (equipamentos eletrnicos
que no utilizamos mais) que so deixados em casa ou no tm
36
o destino mais apropriado, poluindo assim o meio ambiente ou
danificando a nossa sade. Com o barateamento dos recursos
de hardware como HD e outros dispositivos de memria,
armazenamos cada vez mais informao. Se voc observar,
ver em seus dispositivos uma quantidade enorme de
informaes que voc nunca acessou e que talvez tenha feito
download h muito tempo. Com usurios que j possuem HDs
na ordem de Terabytes, as pessoas baixam tudo que veem e
ouvem na web, gerando assim um lixo digital muito grande. E
voc? Tem muitos arquivos que no utiliza ou nunca acessou?
Tenho certeza que sim.
O Descarte uma etapa muito importante para as
organizaes, uma vez que auxilia a gesto da informao.
Faa uma pesquisa sobre o tema e apresente que
informaes voc possui em seu notebook ou desktop e em
sua casa e que j poderiam ser descartadas.
37
1.3 Classificao e Controle dos Ativos de Informao
De acordo com Lyra (2008), a classificao da informao
o processo pelo qual estabelecemos o grau de importncia
das informaes frente a seu impacto no negcio ou processo
que elas suportam. Entendemos assim que, quanto mais ela for
estratgica ou decisiva para o negcio, mais importante ela
ser.
A figura 3 ilustra como os ativos da informao podem ser
divididos em grupos:
Software
Fsico Servios
Pessoas
Doc em
papel
Informao
Ativos da Informao
38
Figura 3: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)
Voc no consegue classificar os ativos da informao
sem ter um bom conhecimento do negcio. Isso permitir que
voc julgue o grau de importncia de cada um. Outro ponto que
preciso levar em conta a definio clara dos critrios de
classificao que sero adotados, regras, exigncias e normas
corporativas.
O ideal seria que todos conseguissem ler a Norma ISO
17.799; no entanto, ela sai com os seguintes preos:
Norma ISO 17799: R$ 290,00
NBR ISO/IEC 17799: R$30,00
Assim, coloquei em nossa Midiateca um checklist de
uma auditoria sobre os itens mais importantes. Assim voc
poder ter uma ideia do que se trata. Vamos leitura, pois os
citaremos vrias vezes no decorrer do guia!
39
1.4 Classificao do Ativo da Informao
Lyra (2008) destaca que existem vrias formas de
classificar o ativo da informao, no entanto, esta no deve ser
difcil de compreender e deve constar na poltica de segurana.
Deve ter um nmero equilibrado de nveis de classificao e
servir para demonstrar a diferenciao entre a importncia dos
ativos. Esta, ento, deve estar centrada em quatro eixos:
confidencialidade, disponibilidade, integridade e autenticidade.
Vamos, ento, tratar de cada um desses quatro eixos.
1.4.1 Quanto Confidencialidade
Nvel 1: Informao Pblica Aqui devem estar os
ativos pblicos ou no classificados. Como entendemos isso?
Ora, so informaes que, se forem divulgadas fora da
organizao, no traro impactos para o negcio. No vital a
integridade e seu uso livre.
40
Um bom exemplo de informao pblica trata-se dos
folders corporativos, brochuras, etc.
Nvel 2: Informao Interna Ativos cujo acesso do
pblico externo deve ser evitado, mas, se por acaso estes
venham a ter acesso, as consequncias no so crticas ou
preocupantes.
Listas de Telefones e ramais, agendas dos executivos,
planejamento semanal.
Nvel 3: Informao Confidencial Os ativos devem ter
acesso restrito dentro da organizao e protegidos do acesso
externo. O acesso no autorizado pode trazer comprometimento
s operaes da organizao e causar at mesmo perdas
financeiras.
Dados de clientes, senhas de acesso, informaes sobre
vulnerabilidades da organizao
41
Nvel 4: Informao Secreta Nesse nvel, o acesso tanto
interno como externo pode ser crtico para a organizao. Deve-
se controlar o nmero de pessoas que tem acesso a ela,
integridade das informaes e criar regras restritas para o uso
das mesmas.
Podemos citar informaes de concorrentes, contratos
confidenciais, informaes estratgicas, etc.
1.4.2 Quanto Disponibilidade
Geralmente sentimos falta ou avaliamos o quanto uma informao
importante quando precisamos dela e no conseguimos acess-la.
J aconteceu isso com voc? Com todos ns. Quem j no precisou
acessar um site que disponibilizaria o resultado de um processo de seleo
ou de um concurso? Se a informao atrasa 10 minutos do horrio proposto
ficamos totalmente indignados. Nesse momento, quanto valeria essa
informao? Valeria muito, no mesmo?
Agora, pense em outra situao: voc acessa uma informao nesse
instante e daqui a meia hora ela no est mais disponvel. Qual a falta que a
informao faz? Isso depender da importncia dela. Mas imagine que voc
42
administrador de um site de e-commerce e um cliente solicitou seu nmero
de pedido de compra, mas ao entrar no site no consegue recuperar esse
nmero. Isso poderia causar alguns problemas.
Dessa forma, podemos estabelecer uma ordem para recuperao de
informaes em casos de indisponibilidade, seria assim:
Nvel 1 Informaes que devem ser recuperadas em minutos.
Nvel 2 Informaes que devem ser recuperadas em horas.
Nvel 3 Informaes que devem ser recuperadas em dias.
Nvel 4 Informaes que no so crticas.
No h dvidas de que a classificao dos nveis de uma informao
no deve ser feita apenas pela equipe de Tecnologia da organizao. Esta
deve ser feita por um comit especfico da empresa. necessrio que a
equipe de TI se rena com o corpo diretivo e verifique que tipos de
informaes so fatores crticos para empresa. Ou seja, h informaes e
estruturas que no podem ficar inoperantes? De posse de tais informaes, o
departamento pode montar um planejamento caso algo a acontea. Isso evita
problemas como, por exemplo, um funcionrio no saber por onde comear
na recuperao de uma informao ou depender exclusivamente de algum
para determinar o que fazer.
43
Faa uma pesquisa e aliste pelo menos duas formas de
recuperao de informao existentes no mercado. Tente, se
possvel, listar o custo dessas formas de recuperao.
1.4.3 Quanto Integridade
A depender da deciso a ser tomada, se a informao estiver errada,
isso pode significar transtornos e problemas srios. Assim, conseguir
realizar um trabalho de identificar as informaes que so relevantes ao
negcio far com que voc consiga direcionar seus esforos para os alvos
corretos, permitindo controlar, prevenir, detectar e corrigir as informaes
que a empresa, de fato, precisar.
1.4.4 Quanto Autenticidade
A ISO 17.799 recomenda que tanto dados como informaes que
sero acessadas por meios externos devem apresentar requisitos de
verificao da autenticidade. Dessa forma, mais uma vez voc dever
estabelecer em conjunto com a empresa quais as informaes que sero
tratadas neste contexto.
1.4.5 Monitoramento Contnuo
44
Lyra (2008) argumenta que, aps a classificao dos
ativos da informao, necessrio elaborar e manter
procedimentos de reavaliao peridica dos mesmos. Como
fazer isso? Tanto a rea de segurana como os proprietrios da
informao, devem reavaliar a pertinncia da categoria atribuda
a cada ativo para assegurar que os mesmos esto
adequadamente classificados.
Vamos fazer uma avaliao das informaes em nosso ambiente?
Tarefa 1: Divida os ativos da Informao.
Tarefa 2: Classifique o ativo software quanto Confidencialidade.
Tarefa 3: Classifique o ativo software quanto Disponibilidade em todos os nveis.
45
1.5 Aspectos Humanos da Segurana da Informao
Filho (2008) destaca que a segurana da informao se
preocupa com os objetivos de garantir a continuidade do
negcio, minimizar as perdas do negcio pela preveno e
reduo do impacto de incidentes de segurana, habilitar as
informaes a serem compartilhadas enquanto estabelece a
proteo da informao e do acesso aos Sistemas de
Informaes.
Isso se torna cada vez mais difcil porque o cenrio da
tecnologia mutante e evolutivo. H algumas dcadas a
realidade de tecnologia e as preocupaes trazidas por ela
eram totalmente diferentes das principais atenes que
precisamos ter hoje. Analise que na maioria das casas j existe
uma rede de Computadores, a Evoluo da Internet algo
mundial e a diversidade de sistemas.
46
Assim, dizemos que a informao segura e que cumpre
seu propsito quando a informao certa comunicada s
pessoas certas (na hora certa).
Pessoas so os elementos centrais para que a segurana
da informao acontea. Todos os incidentes sempre
envolvero pessoas, seja pelas vulnerabilidades que foram
exploradas, seja pelas ameaas que exploram as
vulnerabilidades.
muito comum a ideia de que manter a informao
segura papel obrigatrio da equipe de tecnologia. Alm disso,
muitos ainda acham que somente eles devem se preocupar
com isso. Na verdade, essa preocupao deve ser de toda a
organizao. Se isso no estiver claro em um ambiente
corporativo, pode-se investir milhes em segurana que o
retorno no ser o esperado.
47
Acesse o site do CERT.BR (http://www.cert.br/stats/incidentes/) e analise os incidentes de segurana registrados no ano mais recente. Compare com os incidentes reportados nos ltimos 5 anos. Analise que ataques tm crescido mais e veja como cada dia que passa mais difcil manter a informao segura.
Com o crescimento
dos nmeros de vrus e
de casos de invaso,
cada vez mais veremos
a figura de um novo
profissional nas
empresas: Security
Officer ou CSO (Chief
Security Officer). Este
tem o papel de
coordenar, planejar, implementar, monitorar e melhorar o
Sistema de Segurana da Informao. Ele deve ter as seguintes
atribuies:
Coordenar rea de segurana e de infraestrutura
organizacional;
Planejar investimentos de segurana;
Definir ndices e indicadores para segurana da
48
corporao;
Definir, elaborar, divulgar, treinar, implementar e
administrar a poltica de segurana, plano de
continuidade de negcios e de contingncia;
Investigar incidentes de segurana;
Analisar riscos envolvendo segurana.
Pense nas atribuies que falamos para o profissional de
segurana. Quais delas voc j fez na empresa em que atua?
Qual delas considera mais importante? Que ao prtica
envolvendo os usurios da empresa que voc atua poderia
ser implementada?
O SANS Institute define Engenharia Social como a arte de
utilizar o comportamento humano para quebrar a segurana
sem que a vtima sequer perceba que foi manipulada. O
CERT.BR define como um mtodo de ataque onde algum faz
uso da persuaso, muitas vezes abusando da ingenuidade ou
confiana do usurio, para obter informaes que podem ser
49
utilizadas para ter acesso no autorizado aos ativos da
informao.
Esta prtica acaba fazendo com que pessoas
desavisadas passem informaes importantes, pois confiam
demais no seu atacante. Ela pode ser dividida em duas
categorias: fsica e psicolgica.
Lyra (2008) apresenta as aes relacionadas categoria
fsica como sendo: procura de informaes no lixo, presena
fsica, observao do comportamento, escuta de conversa
telefnica, busca de papis e relatrios sobre as mesas da
organizao, uso de portas USB e roubo de pen-drives.
Nas questes psicolgicas, o problema est
relacionado ao comportamento humano e tendncia do ser
humano em ser prestativo, corts, e de no ver maldade nas
pessoas. Dessa forma, o atacante consegue informaes
para preparar o seu ataque.
50
Voc recebe um telefonema de um pesquisador que
muito educado e fala muito bem; aos poucos ele pode extrair
informaes tais como tipo de rede, sistema operacional
utilizados, etc.
No h dvidas de que o elo mais fraco do sistema
quando este interage com humanos. Dessa maneira, preciso
desenvolver interfaces que faam a segurana de forma menos
inoportuna e intrusiva.
Quando se fala sobre pessoas, devemos tambm lembrar
que os problemas de comportamento acontecem em qualquer
nvel, desde os que esto no topo at os que nem mesmo
utilizam computador. Nesse aspecto, pense no zelador que vai
abrir a sala de servidores para limpeza do cho e que por
descuido deixa a porta aberta enquanto vai buscar a vassoura
em outro lugar do prdio. Nestes poucos minutos como se a
empresa estivesse totalmente desprotegida ou escancarada.
51
Para voc ter uma ideia de como fcil obter informaes
pessoais, tente levantar informaes sobre voc mesmo.
Procure em sites da internet informaes sobre a sua pessoa.
Comece a analisar que no difcil encontrar coisas como seus
gostos pessoais, onde trabalha, onde estuda ou estudou, cidade
em que mora, etc.
Atravs disso, perceba como as informaes esto
disponveis e como vital cuidar bem delas e estar sempre
prevenido.
Em nossa Midiateca, temos um artigo chamado Engenharia Social. Ele traz informaes importantes sobre as formas de ataque mais comuns e outras informaes sobre essa prtica cada vez mais comum.
A figura 4 retrata um ambiente que em alguns aspectos
podemos at ver em nosso dia-a-dia. Poste no portflio
individual o que est sendo pedido e tente apontar 5 aes
urgentes a serem tomadas neste ambiente que no envolveria
custos para a empresa na sua implantao
52
Figura 4: Ambiente com Vulnerabilidades (Fonte:Espode,2002)
1.5.1 Segurana nos Termos, Condies e Responsabilidades de Trabalho
necessrio precaver-se para que exista um mnimo de garantia de
responsabilidade daqueles que utilizaro a informao da empresa. Deve ser
claro que responsabilidade de todos a segurana da informao e que as
aes dos funcionrios devem ser de acordo com a poltica de segurana.
Vamos identificar as vulnerabilidades
presentes neste biente ?
53
Lyra (2008) destaca que os termos e condies de trabalho devem conter o
que est relacionado ao cargo, as obrigaes, cuidados e condutas relativas
segurana da informao. Tais itens devem estar registrados no contrato de
trabalho. A isso, pode ser adicionado ainda um termo de confidencialidade
por ocasio da admisso do colaborador.
1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de Usurios
O processo de seleo deve ser alvo de ateno da segurana da
informao uma vez que a porta de entrada da organizao. Nem sempre
referncias, cpias de documentos e currculo suficiente para ter confiana
no entrevistado. preciso fazer aes de checagem de informaes,
confirmar dados, entrar em contato com as pessoas e empresas citadas,
confirmar diplomas nas instituies de ensino alistadas, verificar conduta,
etc.
No podemos falar em segurana da informao sem
mencionar algo fundamental que treinar, educar e
conscientizar os usurios. Todos os colaboradores, quer
internos, quer externos devem conhecer a poltica de segurana
da empresa, diretrizes, entender os conceitos de
confidencialidade, integridade e disponibilidade e os
54
desdobramentos das mesmas. Somente assim pode-se cobrar
uma conduta compatvel com as boas prticas de segurana.
Um erro bastante comum o de fornecer treinamento num
determinado perodo e no repetir os mesmos. Ora, as pessoas
mudam, as formas de ataque mudam, os sistemas mudam. Isso
implica ento, em treinamentos peridicos e sistemticos,
desenvolvendo a cultura da segurana da informao.
Entrevista de Kevin Mitnick CNN:
http://edition.cnn.com/2005/TECH/internet/10/07/kevin.mitnick.cnna/index.html
Um bom mercado de atuao o de fornecer treinamentos
e capacitaes de segurana para as empresas. No so raras
as empresas e rgos que no detm nenhum tipo de cuidado
com as suas informaes. Recentemente fui convidado para
ministrar uma palestra sobre Segurana, e a grande maioria dos
funcionrios no tinha nenhum tipo de cuidado com as senhas
pessoais do sistema. Algo que encaramos como premissa
55
bsica de segurana. Eram vrios os casos de funcionrios que
acessavam o sistema com o usurio e senha do colega.
No ano passado, convidei um ex-aluno do curso de Cincia da Computao do Unis para ministrar uma palestra. Na oportunidade, ele falava como Gerente de uma Unidade Bradesco de So Paulo e nos falou um pouco sobre as polticas de segurana da entidade. Entre as aes citadas, ele nos mostrou que se o funcionrio se levantar para buscar uma gua ou um caf norma da empresa ele bloquear o computador; se no o fizer, ele advertido. Isso uma norma imposta pela poltica de segurana.
1.6 Segurana do Ambiente Fsico
Um problema comum que deve ser evitado o de
preocupar-se somente com a segurana lgica. Muitas vezes
56
so esquecidas as medidas de preveno, deteco e reao a
possveis incidentes de segurana fsica dos ativos.
Sobre isso, a ISO 17.799 chama de barreira de segurana
qualquer medida preventiva que sirva para impedir um ataque a
algum ativo da informao. Mas o que poderia ser encarado
como barreira de segurana ou medida preventiva? Estas
podem ser de trs tipos:
Fsicas muros, cercas, trancas;
Lgicas senhas de logon;
Combinao das Anteriores token.
Alm de tais cuidados, importante definir um permetro
de segurana. Mas o que vem a ser isso? Trata-se de um
contorno ou linha imaginria que delimita uma rea ou regio
separada de outros espaos fsicos por um conjunto de
barreiras de segurana. E aqui vai uma dica: quanto mais clara
for a definio desse permetro, mais acertados sero os
investimentos e as barreiras a serem implementadas. Surge
57
outra pergunta: que permetros podem ser protegidos? Bem,
isso depender de cada situao, mas podemos citar prdios,
geradores, cofres, etc. Mas, se pensarmos somente na
informao e sua segurana, teremos os permetros que
seguem nos prximos itens do guia.
Agora, vamos fazer um rpido teste para verificar a
questo da segurana fsica de sua empresa. Quanto mais
respostas positivas voc der, melhor:
Voc sabe quantas pessoas da sua empresa possuem a chave
da sala do servidor?
Voc sabe quantas pessoas da sua empresa conhecem a
senha do servidor?
Voc sabe quantos incidentes de segurana j houve em sua
empresa?
Voc sempre avisado quando algum entra na sala do
servidor?
Voc sabe se a chave da sala do servidor j foi trocada alguma
vez?
58
Voc sabe se a chave da sala do servidor fica em uma rea
pblica?
Voc sabe se o acesso a esta sala ou a esta chave
controlado? Ou seja, a pessoa que empresta esta chave anota
quem foi o ltimo que a pegou?
Voc sabe se quem controla a chave da sala sabe da
importncia dos recursos que esto l?
1.6.1 Segurana em Escritrios, Salas e Instalaes de Processamento de Dados
A ISO 17.799 recomenda a elaborao de um projeto de
reas de segurana. Este deve contemplar escritrios fechados
ou com vrias salas dentro de um permetro seguro que
considere as ameaas de fogo, poeira, fumaa, vibrao,
vazamento de gua, exploso, manifestaes civis ou desastres
naturais.
59
necessrio ainda um cuidado especial com
equipamentos instalados em reas comuns. Nesses casos,
muito til aplicar medidas especficas de proteo contra
acesso no autorizado, dano ou furto. A norma sugere, inclusive,
mecanismos de bloqueio, como time-out e treinamento
especfico para prestadores de servios de limpeza e
manuteno.
No difcil encontrarmos empresas em que a impressora
fica numa rea de livre circulao. Conseguem perceber o
perigo que isso tem? Algum manda imprimir um documento
importante, algum passa uma ligao importante. Enquanto
atende essa ligao, que pode ser demorada, pode passar
algum e levar a informao impressa. E grandes problemas
podem surgir.
60
1.6.2 Segurana de Equipamentos
Um medo mrbido que todos ns temos o de falha de energia.
Geralmente, isso acontece quando menos esperamos, e, detalhe: quando a
energia retorna, ela traz consigo uma srie de problemas. A norma ISO mais
uma vez fornece auxlio. Ela aponta algumas opes para garantir a
continuidade do fornecimento eltrico, veja:
Alimentao com mltiplas fontes;
Uso de nobreaks;
Geradores de reserva.
Outro aspecto que voc no pode esquecer o hardware. Estes so
defeitos inerentes, podem estar funcionando muito bem e podem no estar
no minuto seguinte. Assim, algumas medidas podem ser tomadas, como por
exemplo:
Planejamento de manutenes peridicas;
Treinamento de melhores prticas de utilizao dos equipamentos.
1.6.3 Segurana de Documentos em Papel e Eletrnicos
Geralmente, quando se fala em segurana da informao,
instantaneamente pensamos na segurana atravs do
61
computador. No entanto, de nada adianta termos um perfeito
esquema de segurana para os meios eletrnicos ou que
geram a informao se no h nenhuma estrutura segura para
a guarda das informaes fsicas.
Lyra (2008) prope a adoo de procedimentos de
tratamento das cpias, armazenamento, transmisso e descarte
seguros. necessrio preocupar-se com umidade, acidez do
papel, tcnicas de restaurao, etc. lgico que, de acordo com
o negcio da organizao, ser decidido que papis devem ser
guardados e existe uma lei que rege sobre o tempo de guarda
de cada documento. Se a organizao precisar guardar
documentos, ela ento precisa dispor de controles, que podem
ser:
Uso de rtulos para identificar documentos;
Poltica de armazenamento de papis em local adequado;
Procedimentos especiais para impresso, cpia e
transmisso;
Recepo e envio de correspondncias sigilosas.
62
interessante ainda criar procedimentos especiais para
armazenamento e manipulao de papis sensveis luz e
ambiente, como cheques e notas fiscais.
Um bom mercado de atuao hoje em dia o de digitalizao de documentos. H empresas especializadas nisso. Pense em uma instituio de ensino como o Unis. Existe h mais de 40 anos. Imagine que amanh aparea um aluno que perdeu o seu diploma e necessite de uma cpia ou uma nova emisso. Detalhe: ele se formou em Engenharia Mecnica em 1975, por exemplo. Para terem uma ideia, entrei como aluno no Unis em 2000 e atuo profissionalmente l desde 2003. De 2000 para c, o Unis trocou de Sistema de Informao 3 vezes. Perceberam a importncia de manter em segurana os documentos impressos? No exemplo que dei, a instituio na oportunidade no possua nem mesmo sistema computacional. Uma boa sada para garantir essas informaes seria a digitalizao de todos os documentos que a instituio possui. Agora imaginem quanto mercado este tipo de ao tem.
63
Mas, e quanto aos documentos salvos na rede da empresa ou
mesmo nos computadores? Estes documentos eletrnicos
trazem trs preocupaes:
Dispor de um aparato de tecnologia que os deixe visveis
e compreensveis aos seus usurios;
Manter a integridade da informao, pois o documento
eletrnico pode ser mais facilmente alterado que o
documento em papel;
No se esquecer das evolues tecnolgicas (migrar
documentos armazenados em disquetes e fitas);
Estabelecer procedimentos de backup.
Sobre o ltimo item, essencial criar como isso vai
funcionar e controlar tambm o acesso a essas informaes e
quando e como devem ser descartadas.
64
1.6.4 Segurana no Cabeamento
Mais uma vez a norma ISO nos auxilia. Ela recomenda controles
para cabeamento eltrico e de telecomunicaes:
Sempre que possvel utilizar linhas subterrneas;
Proteger cabeamento de rede contra interceptaes no autorizadas
ou danos;
Separar cabos eltricos dos cabos de comunicao;
Uso de condoeis blindados e salas trancadas para os sistemas
crticos.
1.7 Segurana do Ambiente Lgico
1.7.1 Segurana em Redes
Lyra (2008) destaca que as preocupaes neste aspecto
passam pelos problemas de autenticao de usurios e
65
equipamentos e de restrio de acesso dos usurios aos
servios autorizados, buscando, com isso, estabelecer interfaces
seguras entre a rede interna e a rede pblica ou de outra
organizao. A norma mais uma vez nos ajuda. Ela menciona
diversos mecanismos de proteo de redes, tais como
criptografia, tokens, VPN's, antivrus, gateways e firewalls, que
podem controlar o trfego, estabelecer rotas de redes
obrigatrias e dividir grandes redes em domnios lgicos
separados, sendo que, com isso, pode-se dar proteo por
permetros de segurana especficos.
Embora alguns dos mecanismos de proteo voc j
conhea, convm que os apresentemos para relembrar alguns
conceitos.
Quando a norma cita firewall, isso representa recursos de
segurana com objetivo de controlar o acesso s redes. Serve
como uma barreira de proteo entre um computador e seu
ambiente externo. Com isso, possvel examinar e bloquear o
trfego. Mas que desvantagem esse mecanismo traz? Se voc
66
respondeu gargalo na rede, acertou. Pelo fato de todo trfego
passar por ele, necessrio dimensionar de forma correta o seu
servio, seno fatalmente ocorrer lentido na rede.
J os permetros lgicos ou zonas desmilitarizadas (DMZ),
protegem o computador ou segmento da rede que fica entre
uma rede interna e a Internet. Assim, podemos entender que ela
atua como intermediria tanto para o trfego de entrada quanto
para o de sada. As VPN's so outra alternativa para racionalizar
os custos de redes corporativas, dando confidencialidade e
integridade no transporte de informaes por meio das redes
pblicas. H vrios exemplos de softwares de VPN's que criam
tneis virtuais criptografados entre os pontos autorizados para a
transferncia das informaes.
Laudon (2010) aborda a questo dos desafios da
segurana sem fio. Se vamos a um shopping, a um aeroporto
ou qualquer lugar pblico, no raro, nos deparamos com uma
rede sem fio. Tanto a tecnologia Bluetooth quanto Wi-Fi so
67
suscetveis. A internet est recheada de materiais e guias
ensinando como penetrar nestes tipos de redes.
As redes Wi-FI, por exemplo, atravs da identificao do
SSID (Service Set Identifiers) por uma ferramenta de anlise,
podem acessar recursos da rede e identificar usurios ao
mesmo tempo em que acessa documentos. Tambm podem
obter os endereos IP e SSID para estabelecer pontos de
acesso ilcitos em um canal diferente.
Faa uma pesquisa
sobre outra forma de
mecanismo de
segurana abaixo:
ESTEGANOGRAFIA
68
1.8 Controle de Acesso
Se no houver um controle de acesso informao,
impossvel garantir os trs princpios bsicos de segurana.
Porm, este controle no pode engessar a organizao, no
deve impedir os processos de negcio da mesma.
O item 11 da norma citada todo dedicado a esse
assunto. Recomenda que nada deve ser permitido, tudo deve
ser proibido, a menos que se tenha permisso expressa para tal.
1.8.1 Controle de Acesso Lgico
Para esse controle, preciso que voc preste ateno a
recursos comumente usados como arquivo-fonte, sistema
operacional, bancos de dados, utilitrios, etc. Para estes ativos
temos de estabelecer, de acordo com Lyra (2008), os seguintes
controles:
69
Identificao e Autenticao do Usurio a identificao
se faz atravs da criao de contas de usurios com uma
identificao nica. Dessa forma, possvel autenticar o usurio
atravs da senha de acesso que o prprio usurio sabe. As
melhores prticas recomendam troca peridica de senhas,
identificao de senhas fceis, bloqueio de acesso aps um
certo nmero de tentativas erradas. Se possvel, muito
interessante que voc agregue autenticao baseada em algo
que o usurio tem (token, smart card, carto com chip). Alm
disso, cada vez mais comum ser a utilizao do que o usurio
. Caractersticas fsicas como impresso digital,
reconhecimento facial, voz, ris, etc. so cada vez mais comuns.
Administrao dos Privilgios de Usurios importante
realizar uma administrao adequada dos privilgios
concedidos. O uso de perfis e grupos de usurios com
diferentes necessidades e permisses permite o gerenciamento
de forma mais eficiente dos privilgios e os acessos aos ativos.
Deve-se revisar frequentemente os perfis e os componentes dos
70
grupos, uma vez que pessoas so trocadas de cargos e
responsabilidades, so demitidas e nem sempre o
departamento de tecnologia comunicado.
Monitorao do Uso e Acesso ao Sistema
imprescindvel que os sistemas possuam registros das
atividades de cada usurio. Embora isso represente uma carga
de informaes a mais no servidor, afetando sua performance,
esses mecanismos, ou log's, devem registrar data e hora, tipo de
atividade e eventuais alteraes de dados. Isso ser importante
para a comprovao de uma futura auditoria em caso de
violao da integridade da informao. Hoje h sistemas que
permitem o cadastro do intervalo de tempo em que o usurio
est autorizado a utilizar o sistema.
1.8.2 Controle de Acesso Fsico
necessrio controles de entrada apropriados para evitar
que pessoas no autorizadas obtenham acesso aos recursos de
informao. Estes precisam ser proporcionais importncia da
71
informao ou criticidade da mesma. Como exemplo, temos
crachs de identificao, carto com PIN, dispositivos de senha
nas portas de acesso, etc.
1.9 A Organizao da Segurana
Smola (2003) prope um modelo de gesto corporativa
de segurana da informao cclico e encadeado; este prev
que cada etapa gera resultados que sero importantes para a
prxima. Ele formado pelas etapas que seguem:
Comit Corporativo de Segurana da Informao papel
de orientar as aes corporativas, medindo os resultados
parciais e finais; alinhar o plano de ao s diretrizes
estratgicas do negcio; coordenar os agentes de segurana
em seus Comits Interdepartamentais e garantir o sucesso de
implantao, pois dar autonomia na gesto dos seus
associados; e promover a consolidao do modelo como um
processo autogerido.
Mapeamento de Segurana identificar o grau de
72
relevncia e as relaes diretas e indiretas entre os diversos
processos de negcio, permetros e infraestruturas; inventariar
os ativos fsicos, tecnolgicos e humanos que sustentam a
operao da empresa; identificar o cenrio atual ameaas,
vulnerabilidades e impactos e especular a projeo do cenrio
desejado de segurana; e mapear as necessidades e as
relaes da empresa associadas ao manuseio, armazenamento,
transporte e descarte de informaes.
Estratgia de Segurana definir um plano de ao,
geralmente plurianual, considerando todas as particularidades
estratgicas, tticas e operacionais do negcio, bem como
aspectos de risco fsicos, tecnolgicos e humanos; e criar
sinergia entre o cenrio atual e desejado, buscando apoio
explcito dos executivos s medidas propostas.
Planejamento de Segurana organizar os Comits
Interdepartamentais, deixando claro as responsabilidades,
escopo de atuao; iniciar aes preliminares de capacitao
dos executivos e tcnicos, com objetivo de direcionar para os
73
desafios; elaborar Poltica de Segurana de Informao slida,
considerando as caractersticas de cada processo de negcio
permetro e infraestrutura, procurando criar diretrizes, normas,
procedimentos e instrues que oficializaro o posicionamento
da empresa destacando as melhores prticas; e realizar aes
corretivas emergenciais de acordo com o que foi levantado no
mapeamento.
Implementao de Segurana divulgar para toda a
corporao a Poltica de Segurana, com vistas a torn-la um
instrumento oficial; capacitar e conscientizar os usurios em
relao ao comportamento; e implementar mecanismos de
controle fsicos, tecnolgicos e humanos.
Administrao da Segurana monitorar os controles
que foram implantados, medindo eficincia e mostrando as
possveis mudanas que interferem no negcio; projetar a
situao do Retorno sobre o Investimento (ROI), identificando os
resultados alcanados; garantir a adequao e a conformidade
do negcio com normas associadas, padres e legislao; e
74
manter planos estratgicos para contingncia e recuperao de
desastres.
Segurana na Cadeia Produtiva equalizar as medidas
de segurana adotadas pela empresa aos processos de
negcio comuns, mantidos junto aos parceiros da cadeia
produtiva: fornecedores, clientes, governo, etc. Isso deve ser
com objetivo de nivelar o fator de risco sem que uma das partes
exponha suas informaes compartilhadas.
1.10 A Segurana no Contexto da Governana de TI
O Control Objectives for Information and Related
Technology (COBIT) trata-se de um guia dirigido para a gesto
de Tecnologia da Informao. Este recomendado pelo
Information Systems Audit and Control Fundation (ISACA) e
possui uma srie de recursos que podem servir como modelo
de referncia para a gesto. Inclui ainda controle de objetivos,
mapas de auditoria, ferramentas para a sua implementao e
tcnicas de gerenciamento. um meio de otimizar os
75
investimentos, melhorar o ROI percebido com mtricas para
avaliao de resultados.
COBIT abrange quatro domnios:
Planejar e Organizar cobre o uso de informao e
tecnologia e como isso pode ser usado para que a empresa
atinja seus objetivos e metas. Como objetivos de alto nvel para
esse domnio esto: Definir um Plano Estratgico de TI e
orientaes; Definir Arquitetura de informao; Determinar o
gerenciamento tecnolgico; Definir os processos de TI;
Gerenciar o investimento em TI; Comunicar os objetivos de
gerenciamento e orientar; Gerenciar os recursos humanos de TI;
Gerenciar a qualidade; Estimar e gerenciar os riscos de TI e
Gerenciar projetos.
Adquirir e Implementar este domnio cobre os
requisitos de TI, aquisio de tecnologia e sua implementao
dentro dos processos de negcios da empresa. Foca ainda o
desenvolvimento do plano de manuteno. Como objetivos de
alto nvel temos: Identificar solues automatizadas; Adquirir e
76
manter software de aplicao; Habilitar operao e uso; Obter
recursos de TI; Gerenciar mudanas; Instalar e credenciar
solues e mudanas.
Entregar e Dar Suporte foca a execuo de aplicaes
dentro do sistema de TI e seus resultados, alm do suporte dos
processos. Pode-se incluir questes de segurana e
treinamento. Para esse domnio temos os seguintes objetivos de
controle: Definir e gerenciar nveis de servio; Gerenciar servios
de terceiros; Gerenciar performance e capacidade; Assegurar
servio contnuo; Assegurar segurana de sistema; Identificar e
alocar recursos; Treinar usurios; Gerenciar servios de
escritrio e incidentes; Gerenciar a configurao; Gerenciar
problemas; Gerenciar dados; Gerenciar o ambiente fsico e
Gerenciar operaes.
Monitorar e Avaliar este domnio lida com a estimativa
estratgica das necessidades da organizao e avalia se o atual
sistema atinge os objetivos que foram especificados para tal.
Cobre ainda questes de estimativa independente da
77
efetividade do sistema de TI e sua capacidade de estar alinhado
s estratgias. Essa avaliao ainda feita por auditorias
internas e externas. Tem por objetivos de alto nvel: Monitorar
processos; Assegurar avaliao dos controles internos; Obter
avaliao independente e Prover auditoria independente.
Bernardes e Moreira (2006) prope um modelo que permite ao
conselho administrativo de uma organizao a incorporao
da Governana da Segurana da Informao como parte do seu
processo de Governana Organizacional. A ideia do modelo
que o conhecimento sobre os riscos relacionados
infraestrutura de Tecnologia seja apresentado de forma objetiva
no momento da definio do planejamento estratgico. Uma
nova dimenso apresentada para contemplar: controles (o
que), processos (como), pessoas (quem) e tecnologia
(ferramentas automatizadas). O modelos COBIT e a norma ISO
17799 foram utilizadas para definio dos objetivos de controle a
serem implementados e o modelo ITIL foi utilizado para definir
os processos responsveis pela implementao. Os autores
78
defendem que para que o modelo COBIT, o modelo ITIL e a
norma ISO 17799 possam ser utilizados em um Modelo de
Governana da Segurana da Informao, importante
demonstrar uma correlao entre os objetivos de controle
apresentados no modelo COBIT e os apresentados na norma
ISO 17799.
Figura 5 : Relacionamento de Processos ITIL, COBIT E ISO.
Fonte: Bernardes e Moreira (2005)
79
Verifique que na figura 5 so mostrados quais objetivos
de controle so referenciados pelos processos descritos no
modelo ITIL (Suporte a Servios e Entrega de Servios).
Tambm evidencia a proposta para estruturao dos objetivos
de controle em nveis organizacional, ttico e estratgico.
Bernardes e Moreira (2005) destacam que o ponto de
partida para a construo do modelo de Governana da
Segurana da Informao est em definir uma estrutura
baseada nos modelos de tomada de deciso em Sistemas de
Informaes Gerenciais. Tal estrutura consiste de uma diviso
em 3 nveis: nvel operacional (dados do dia a dia, pontuais),
nvel ttico (informao obtida a partir de dados agrupados,
sintetizados, totais, percentuais, acumulados, plurais, etc) e
nvel estratgico (conhecimento macro, objetivo e relacionado a
todo o ambiente interno e externo). Nos nveis operacionais-
ttico-estratgicos, o modelo se refere a:
a) Operacional: Atividades dirias, cotidianas e reativas;
80
b) Ttico: Atividade proativas com revises peridicas, busca
contnua pela qualidade e possibilidade de planejamento em
longo prazo;
c) Estratgico: Gerar conhecimento para permitir a viso
organizacional para as questes de segurana computacional
a partir de avaliaes, auditorias, definio de nveis de
maturidade dos objetivos de controle definidos e processos
de extrao de conhecimento de base de dados.
Outro modelo de referncia para
gerenciamento de TI o ITIL. Voc dever montar uma
apresentao em .ppt sobre o tema acima e postar em
seu portflio individual. Ao final da apresentao, no se
esquea da bibliografia e um ltimo slide comentando
se em seu departamento voc desempenha alguma
ao parecida e se seria difcil implementar esse
modelo.
81
Em nossa Midiateca temos o texto COBIT. Apresenta de
forma sucinta e muito clara essa ferramenta. Leitura obrigatria.
Para mais detalhes sobre COBIT:
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
CONCLUSO
base de todos esse conceitos que vimos e revimos,
pode-se observar como cada vez mais com a evoluo dos
dispositivos, a globalizao e o contnuo aumento de uso da
tecnologia ser ainda mais desafiador manter a informao
segura. Nos Estados Unidos, os dados sobre roubo de
identidade so cada vez mais alarmantes, a privacidade cada
vez menor. Assim, se as empresas no levarem a srio os
investimentos em segurana e os departamentos de tecnologia
82
no forem criativos, grandes perdas acontecero.
Vimos ainda que existem vrias formas, e muitas delas
so simples, de fornecer um nvel melhor de segurana. Daqui
para frente, veremos uma nova figura dentro das empresas, que
o profissonal responsvel somente pela segurana da
informao. Tambm importante ressaltar o quanto a norma
ISO 17.799 nos ajudou nas definies.
Mais frente, notamos que pessoas so o elo
fundamental para ter segurana. No basta apenas
investimentos em segurana lgica, cada vez mais os incidentes
acontecem no meio fsico, envolvendo pessoas. O alerta foi at
mesmo envolvendo a contratao de pessoas.
O COBIT e o ITIL so os modelos mais amplamente
usados no mundo. Muitas das aes propostas so prticas de
nosso dia a dia, no entanto, precisamos colocar isso no papel,
tentando tangibilizar nossas aes e criar um escopo de
aplicao dessas prticas.
Enfim, conclumos que tanto as organizaes como as
83
pessoas no podem ignorar as normas de segurana e as boas
prticas de uso da tecnologia. O preo pode ser altssimo!
APONTAMENTOS SOBRE A PRXIMA UNIDADE
Em nossa prxima unidade, veremos a importncia de
desenvolver software com tcnicas de segurana. Veremos
modelos de especificao de segurana para a aplicao, para
o ambiente de desenvolvimento e no ciclo de vida da aplicao.
84
SEGURANA NO DESENVOLVIMENTO DE SOFTWARES
85
META
Apresentar a importncia da segurana no
desenvolvimento de softwares. Modelos de especificao de
segurana, ambiente de desenvolvimento, segurana da
aplicao. Tambm veremos os conceitos e os tipos de
ameaas, riscos e vulnerabilidades.
OBJETIVOS DA UNIDADE
Esperamos que, aps o estudo do contedo desta unidade,
voc seja capaz de:
1. Construir um software atravs de um modelo de
segurana;
2. Conceituar e identificar as maiores ameaas e riscos
quanto segurana.
86
2.1 Modelos de Especificao da Segurana
De acordo com Laudon (2010), anualmente as empresas
de segurana identificam cerca de 5 mil vulnerabilidades de
software na internet em programas para PC. Em 2008, a
Symantec identificou 47 vulnerabilidades no Internet Explorer, 99
nos navegadores Mozilla e 40 no Safari.
Common Criteria nome do padro de mercado que deu
origem Norma ISO/IEC 15.408. Seu objetivo fornecer um
conjunto de critrios para especificar a segurana de uma
aplicao de forma clara, estabelecendo caractersticas para o
ambiente de aplicao e definindo formas de garantir a
segurana da aplicao para o cliente final. Em suma, ele pode
ser usado para desenvolver um sistema seguro ou ainda,
realizar a avaliao de um j existente.
87
Mas a voc pergunta: o que faz com que um sistema seja
seguro?
Este padro nos d resposta. Ele estabelece que qualquer
sistema para ser seguro, precisa ter seu Security Target (objetivo
ou alvo de segurana) elaborado. Este deve indicar quais
aspectos de segurana foram considerados importantes para o
sistema em questo.
Ele define ainda sete nveis de garantia de segurana. A
cada nvel h um maior rigor nos testes. Esses so chamados
de EAL (do ingls Evalution Assurance Level, ou nvel de
garantia da avaliao) e so classificados entre os nveis 1 a 7,
sendo o nvel 7 o mais alto. Atingir este ltimo nvel no fcil,
envolve tempo e dinheiro. Podemos afirmar que atingir o nvel 3
j seria bastante interessante para a maioria dos aplicativos
comerciais.
preciso dizer que aplicar a norma em questo em sua
totalidade seria bastante oneroso. Embora seja muito
88
interessante, possvel atingir um bom nvel de segurana no
sendo necessrio aplicar a norma totalmente.
Albuquerque & Ribeiro (2002) apresenta um modelo mais
simples, e, portanto, mais interessante e plausvel de aplicao.
Se for iniciar uma aplicao do zero, ele apresenta quatro
passos, os quais so:
Especificar a segurana na fase de anlise gerar um
documento de especificao utilizando a ISO/IEC 15.408
como guia. No necessrio, aqui, seguir o padro
imposto por ela no que tange ao Security Target;
Manter ambiente de desenvolvimento e testes seguros e
capazes de atender ao EAL3;
Desenvolver aplicao utilizando boas prticas de
programao e fazer uso dos requisitos de segurana
criar processo de desenvolvimento definido e planejar
implantao dos requisitos especificados, e
89
testar o sistema internamente gerar as evidncias para
verificar aderncia s especificaes realizadas
anteriormente, como EAL3.
Ser que so os mesmos passos se a aplicao j estiver
desenvolvida? No, necessrio realizar algumas adaptaes,
que seguem:
Especificar a segurana para a aplicao usando ISO/IEC
15.408;
Levantar quais requisitos de segurana a aplicao
possui e quais esto presentes em seu ambiente de
desenvolvimento;
Verificar se os requisitos implementados atendem
necessidade de segurana verificada na especificao
inicial, e
escolher um nvel de garantia de segurana (somente at
EAL3, pois nveis 4 a 7 exigem testes e procedimentos
durante a implementao e portanto inviveis para
90
aplicaes prontas) e fazer os testes para garantir a
segurana da aplicao.
2.2 Especificao da Segurana Desejada
Assim como na anlise de sistemas, em segurana
tambm necessrio conhecer as necessidades do cliente, bem
como do usurio.
Essa preocupao com segurana vlida tendo em
vista as legislaes e polticas de segurana estabelecidas e as
ameaas ao negcio. Dessa maneira, a primeira ao a ser feita
levantar as necessidades legais e as polticas de segurana
que vertem sobre a aplicao. Tambm deve ser realizado um
levantamento dos tipos de ameaas.
Com tais levantamentos em mos, hora de consolidar
os objetivos de segurana. Cada um deles deve estar ligado a
pelo menos uma ameaa ou a uma legislao ou norma.
91
2.3 Especificao da Segurana da Aplicao
Para conseguir realizar esta especificao primordial
identificar as ameaas, pontos crticos, os ativos valiosos,
legislao aplicvel e as medidas de contingncia existentes no
ambiente. (LYRA, 2008)
Como realizar isso?
Mais uma vez, a norma ISO/IEC 15.408 nos auxilia. Ela
sugere a realizao de uma busca extensiva, passando por
quatro aspectos:
Poltica de segurana documento de normatizao,
sendo importante levantar os motivos dos requisitos
existirem;
92
Ameaas levantar somente as que so significativas,
que podem ocorrer com maior probabilidade e com
impacto;
Objetivos de segurana trata-se da segurana que ser
implementada;
Premissas ambiente esperado para a construo do
sistema, lembrando que deve ser autorizado pelo usurio;
Estratgia procurar atender cada objetivo de
segurana anterior.
2.4 Segurana do Ambiente de Desenvolvimento
Lyra (2008) diz que no possvel desenvolver uma
aplicao segura em um ambiente no seguro. Abaixo, temos
um modelo esquemtico de como seria esse ambiente, tendo
por base as normas. Aproveite e faa uma anlise respondendo
as 3 ltimas perguntas de cada quadro:
93
Avaliao de Vulnerabilidades
Objetivo Analisar ameaas que podem ser
exploradas .
Como? Procurar por possibilidades de
falhas, quer nos mecanismos de
segurana, quer na documentao,
quer no uso do sistema.
Fao isso?
Quando?
Posso melhorar ao
Testes de Segurana
Objetivo Garantir que sistema est atendendo
aos requisitos de segurana
94
Como? Testes de unidade, integrao,
sistema, instalao e aceitao.
Fao isso?
Quando?
Posso melhorar ao
Gerncia de Configurao
Objetivo Preservar Integridade do Sistema.
Como? Prevenindo mudanas, acrscimos e
excluses sem autorizao na
documentao do sistema.
Fao isso?
Quando?
Posso melhorar ao
Distribuio
95
Objetivo No comprometer a transio entre
desenvolvimento e a produo.
Como? Assegurar verso com
especificaes de segurana.
Fao isso?
Quando?
Posso melhorar ao
Documentao
Objetivo Operao segura do sistema
Como? Manual com orientaes de
configurao, manuteno e
administrao do sistema.
Fao isso?
Quando?
96
Posso melhorar ao
Desenvolvimento
Objetivo Representar as funcionalidades de
Segurana em todas as fases de
desenvolvimento.
Como? Particionar as especificaes de
segurana.
Fao isso?
Quando?
Posso melhorar ao
Suporte ao Ciclo de Vida
Objetivo Atingir requisitos funcionais de
segurana.
Como? Utilizao de modelos como CMMI,
97
Questionrio Importante
1 - Relacione que cuidado padronizado tem sido tomado por
minha equipe de desenvolvimento no que tange segurana.
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
2 - Que testes fazemos para verificar o nvel de segurana
das aplicaes criadas?
RUP
Fao isso?
Quando?
Posso melhorar ao
98
___________________________________________________________
___________________________________________________________
_______________________________________________________
3 H um consenso entre as tcnicas de desenvolvimento e a
prtica do dia a dia?
___________________________________________________________
___________________________________________________________
___________________________________________________________
________________________________________________________
2.5 Segurana no Ciclo de Vida de Desenvolvimento da Aplicao
Lyra (2008) aconselha a escolha de uma metodologia de
desenvolvimento. No entanto, alm disso, ele cita as boas
prticas de programao:
Criar funes intrinsecamente seguras;
Usar funes intrinsecamente seguras;
99
Testar o retorno de funes;
Documentar funes corretamente;
Tratar as entradas de dados;
Ter uma poltica de verso consistente;
Usar componentes e bibliotecas confiveis;
Evitar informaes sensveis em arquivos temporrios;
No armazenar senhas e chaves criptogrficas no cdigo;
Operar com o privilgio necessrio, e
tratar todas as entradas do sistema como no seguras.
Temos um Frum chamado Boas Prticas de
Programao. Antes de postar sua participao, voc dever
escolher duas boas prticas e pesquisar o que de fato elas
significam e comentar se voc tem o costume de utiliz-la.
Para finalizar nossa unidade, disponibilizei em nossa
Midiateca, uma monografia com o tema: Um Guia para
100
Implantao de Segurana Bsica em Sistemas. Vocs devero
ler da pgina 12 a 48, em que so apresentados os principais
problemas e aspectos de segurana. Aps a leitura, dever ser
construda uma resenha com metodologia cientfica (vide
manual de normatizao do Unis pginas 79 e 80, disponvel em
www.unis.edu.br, portal do aluno).
CONCLUSO
Nesta unidade vimos a importncia de construir aplicaes
com segurana, ou mesmo verificar em aplicaes j
implantadas. Importante ressaltar que nada disso pode ser feito
do nada, existem ferramentas, metodologias, prticas e normas
para nos auxiliar neste aspecto. Dessa forma,
responsabilidade nossa cada vez mais cuidar disso. Percebe-se
que no basta simplesmente ser um bom programador, ter uma
boa lgica se no h cuidado nenhum com a segurana. Vimos
que importante comear a tratar do assunto ainda nas
primeiras fases de levantamento de requisitos.
101
APONTAMENTOS SOBRE A PRXIMA UNIDADE
Em nossa prxima unidade veremos os conceitos de
auditoria, fudamentos, metodologias, ferramentas e prticas.
Veremos que ela importante em vrias fases como: aquisio,
desenvolvimento, documentao e manuteno de sistemas.
102
AUDITORIA EM SISTEMAS DE
INFORMAO
103
META
Apresentar conceitos de auditoria, destacando as metodologias
existentes, ferramentas, tcnicas, melhores prticas e outros
aspectos ligados ao tema.
OBJETIVOS DA UNIDADE
Esperamos que, aps o estudo do contedo desta unidade,
voc seja capaz de:
1. Conceituar Auditoria de Sistemas;
2. Entender o objetivo e importncia das Auditorias;
3. Aprender sobre as melhores prticas e ferramentas.
104
3.1 Fundamentos em Auditoria
O objetivo de realizar uma Auditoria de um Sistema de
Informao o de conseguir adequar, revisar, avaliar e
recomendar alteraes positivas nos processos internos, bem
como avaliar a utilizao dos recursos humanos, materiais e
tecnolgicos envolvidos (LYRA, 2008).
Gil (2000) destaca que a Auditoria de Sistemas
importante tendo em vista os recentes altos investimentos das
organizaes em sistemas, a necessidade de segurana dos
computadores e seus sistemas e a garantia do alcance da
qualidade dos sistemas computadorizados.
Podemos resumir que a Auditoria de Sistemas de
Informao possui alguns objetivos principais, quais so:
Integridade ter confiana nas transaes processadas
pelo sistema. Isso permite que os usurios tomem
105
decises sem receio, sem desconfiana. Muitas vezes
dentro de empresas ao extrair um relatrio ningum se
compromete em assin-lo ou em tomar uma deciso
tendo somente ele por base de informaes.
Confidencialidade informaes reveladas somente s
pessoas que de fato precisam delas. muito comum em
empresas, um funcionrio assumir outra funo ou no
ter mais uma funo anterior e continuar com acesso s
informaes do cargo anterior.
Privacidade enxergar apenas as informaes que lhe
so cabveis para execuo de suas atividades.
Acuidade validar as transaes realizadas. Evitar que
dados incompatveis populem o sistema, gerando
transaes indevidas ou invlidas.
Disponibilidade sistema disponvel para realizar as
tarefas. Queda ou problemas no sistema podem gerar
106
Em nossa Midiateca temos um Glossrio com termos utilizados em Auditoria. A leitura ajudar na compreenso mais fcil dos termos. (Leitura obrigatria.)
despesas ou prejuzos incontveis. Lembram da queda de
servio da Speed?
Auditabilidade documentar logs operacionais. Embora
isso possa trazer um pouco de lentido ao sistema,
maiores gastos em infraestrutura
computacional, extremamente
vantajoso.
Versatilidade sistema deve ser
amigvel, adaptvel e ter condies
de uso para exportar e importar
dados. Nos dias atuais
extremamente importante no ter aes de digitao nos
sistemas, quanto mais se conseguir automatizar as
tarefas, menos erros ocorrero.
Manutenibilidade os procedimentos devem conter
controles. Estes devem incluir testes, converses e
documentao.
107
3.2 Tipos de Auditoria
H vrias modalidades de Auditoria, porm, tendo em
vista o assunto que discutimos e de acordo com Lyra
(2008), destacamos:
Auditoria Durante o Desenvolvimento de Sistemas: auditar
todo o processo de construo do sistema, desde a fase
de requisitos at a implantao, passando ainda pela
metodologia de desenvolvimento;
Auditoria de Sistemas em Produo: auditar os
procedimentos e resultados dos sistemas j implantados;
Auditoria no Ambiente Tecnolgico: auditar o ambiente de
informtica, no que tange a estrutura organizacional,
contratos, normas tcnicas, custos, planos, etc.;
Auditoria em Eventos Especficos: auditar eventos novos
ou eventos no detectados por auditorias anteriores.
108
3.3 Metodologia de Auditoria de Sistemas de Informao
Quando falamos em metodologia, necessrios uma
palavra de cautela. Nem sempre podemos seguir risca, com
os olhos fechados uma metodologia do incio ao fim. Cada
empresa, cada poca, cada situao tm as suas
particularidades. No entanto, estabelecer um norte de atuao
sempre til, mas no se deve deixar de lado o chamado jogo
de cintura, pois assim o trabalho torna-se peculiar e mais
interessante. A metologia proposta por Lyra (2008) est descrita
abaixo e dividido em fases, conforme poder ver:
3.3.1 Planejamento e Controle do Projeto de Auditoria de Sistemas de Informao
Para isso interessante levar em considerao a
abrangncia das aes, o enfoque desejado, alm de um
109
levantamento do quantitativo de sistemas que sero auditados.
Este ser ento o planejamento inicial das aes e dos recursos
necessrios para executar a auditoria.
Mas a voc pergunta, como vou fazer isso de forma
correta? A vo algumas dicas ou recomendaes:
Forme uma Equipe de Trabalho;
Divida essa Equipe em dois grupos: Coordenao e Execuo;
Coordenao: composto pelo gerente de auditoria, gerente da
rea usuria responsvel pelo sistema de informao, gerente
da rea de TI e gerente ou responsvel tcnico do sistema;
Execuo: composto por auditores e tcnicos da rea de
informtica e da rea usuria.
O grupo Coordenao dever: definir procedimentos a serem
utilizados durante o trabalho de auditoria, escolher alternativas
para acompanhar trabalhos, acompanhar e c
