Beruflich Dokumente
Kultur Dokumente
SERRA
2010
Auditoria e Segurana de Sistemas
2
Governo Federal
Ministro de Educao
Fernando Haddad
Ifes Instituto Federal do Esprito Santo
Reitor
Denio Rebello Arantes
Pr-Reitora de Ensino
Cristiane Tenan Schlittler dos Santos
Designer Instrucional
Andreia Chiari Lins
Professor Especialista/Autor
Jefferson Ribeiro de Lima
DIREITOS RESERVADOS
Ifes Instituto Federal do Esprito Santo
Av. Vitria Jucutuquara Vitria ES - CEP - (27) 3331.2139
Reviso de texto:
Ilioni Augusta da Costa
COPYRIGHT proibida a reproduo, mesmo que parcial, por qualquer meio, sem autorizao escrita dos
autores e do detentor dos direitos autorais.
Ol, Aluno(a)!
importante que voc conhea toda a equipe envolvida neste curso: coor-
denadores, professores especialistas, tutores a distncia e tutores presenciais,
porque quando precisar de algum tipo de ajuda, saber a quem recorrer.
Equipe do Ifes
ICONOGRAFIA
Veja, abaixo, alguns smbolos utilizados neste material para gui-lo em seus estudos
Fala do Professor
AUDITORIA E SEGURANA DE
SISTEMAS
REFERNCIAS BIBLIOGRFICAS 79
APRESENTAO
Ol!
Bons estudos!
AUDITORIA E SEGURANA DE
SISTEMAS
Ol,
Neste captulo voc ter um primeiro contato com a disciplina de
Auditoria e Segurana de Sistemas. A proposta inicial apresentar
os conceitos para trabalharmos posteriormente no estudo/execuo
da aplicabilidade das tcnicas da auditoria nas organizaes e na
gesto da Tecnologia da Informao (TI).
Bons Estudos!
Prof. Jefferson Ribeiro de Lima
Confidencialidade:
Processo pelo qual as informaes devem ser acessadas apenas
por pessoas autorizadas.
Exemplo: Declarao de imposto de renda que acessada apenas
pelo contruinte ou pelo administrador do sistema da receita.
Integridade:
Processo pelo qual as informaes devem ser mantidas de forma
ntegra, a fim de garantir que os dados no sejam alterados ou
excludos por pessoas no autorizadas.
Exemplo: Conta de e-mail, ningum pode alterar ou excluir, com
exceo do prprio usurio.
Disponibilidade:
o processo que garante a acesso as informaes quando
necessrio.
Exemplo: Voc pode ficar sem acesso a internet por causa de um
problema no provedor.
1.1. Auditoria
Auditor:
Profissional responsvel em efetuar o exame da auditoria. Possui
competncias e habilidades necessrias para avaliao e gerao
de laudos para certificao da empresa.
___________________________________________________
___________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
___________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
Atividade 01
1) Responda:
a) Qual a importncia da auditoria nas empresas?
b) O processo aplicao dos mtodos da auditoria pode variar
conforme a empresa?
c) Podemos afirmar que os conceitos de segurana da informao
so aplicados apenas nos sistemas computacionais?
d) Entre os conceitos aplicveis na segurana da informao: con-
fidencialidade, integridade e disponibilidade. Qual deles podemos
destacar como o primordial?
e) Explique a diferena entre auditoria e auditoria de
sistemas?
f) Podemos afirmar que o auditor de sistemas um profissional de
conhecimento especfico? Por qu?
g) Defina quais so as atribuies de um auditor de sistema?
h) Cite alguns benefcios proporcionados pela auditoria assistida?
TIPOS DE AUDITORIA
Ol,
Esse captulo tem por objetivo definir as principais diferenas entres
os tipos de auditoria interna, externa e articulada, com o intuito de
fornecer o conhecimento necessrio para aplicao da tcnica na
auditoria de sistemas.
Bons estudos!
Auditoria Interna;
Auditoria Externa;
Auditoria Articulada.
Auditoria de sistemas;
Atividade 2
1) Responda:
a) Cite os tipos de autoria e explique suas diferenas.
b) Qual a papel desempenhado pelo comit gestor interno?
c) Podemos dizer que procedimentos so normas? Explique.
d) Quais so os processos passveis de auditoria?
e) Comente a respeito da auditoria articulada e qual a sua
finalidade.
f) Comente sobre a importncia do trabalho da auditoria
externa.
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________
PLANEJAMENTO DA AUDITORIA
Ol,
Nesse captulo vamos entender os conceitos para desenvolver o pla-
nejamento da auditoria. Esse planejamento primordial para a
execuo e finalizao do trabalho realizado pelo auditor.
Bons estudos!
Conhecer a empresa;
Preventivos;
Detectivos ;
Corretivos.
3.3.Ponto do controle
Testes de conformidade;
Testes substantivos.
Inconformidade ou no conforme
Inconformidade quer dizer no aceito. Esse termo muito utili-
zado pela auditria para identificar processos ou procedimentos
que no esto funcionando adequadamente.
A inconformidade gera problemas no controle das organizaes.
O principal papel do auditor e localizar esse problemas para auxi-
liar o processo de correo dos controles internos.
Figura 3 - Conferente
Atividade 3
1) Responda:
CONTROLES INTERNOS
Ol!
A partir deste captulo voltaremos a nossa ateno diretamente para
auditoria de softwares. O conceito de controle interno, j era aplic-
vel na gesto das empresas. Com a chegada da tecnologia da infor-
mao, esse conceito foi readequado para atender a nova filosofia
de trabalho. Sua finalidade definir uma poltica de organizao e
controle, a fim de proteger os ativos da organizao.
Bons Estudos!
Prof. Jefferson Ribeiro de Lima
4.1. Definio
Superviso
Registros e comunicao
Classificao de informao
Auditoriabilidade
Controle independente
Monitoramento
Efetuar registro de acessos atravs de logs. O gerente deve ter livre aces-
so ao sistema, para efetuar o acompanhamento das ocorrncias.
Projeto
Plano de falhas
Por mais ateno que um ser humano possa ter ao executar uma
tarefa, aps algumas horas de trabalho, seu raciocnio afetado.
Por isso, ao executar qualquer trabalho, efetue alguns minutos
de parada a cada hora, para relaxamento. Isso pode ser aplicado
tambm no momento do seu estudo. Ao executar uma ativida-
de continuamente, voc estar sujeito a sofrer uma estafa mental,
ocasionando queda de desempenho.
Creio que seja muito bvio saber qual ser o resultado esperado aps
uma operao de soma entre dois valores, por exemplo. A mesma coisa
ocorrer aps a alimentao de um sistema de gesto, o gerente ou ad-
ministrador da empresa normalmente tem um profundo conhecimento
do retorno que deve ser visualizado aps a transformao do dado pri-
mrio em um dado secundrio. O auditor de sistemas por sua vez, far
a entrada, buscando verificar a integridade, confiabilidade e disponibi-
lidade do sistema de gesto.
Atividade 4
1) Responda:
a) Quais so as principais recomendaes sobre o princpio do
controle interno computacional?
b) Qual o papel do supervisor de gesto da tecnologia da infor-
mao dentro do contexto do controle interno?
c) Quais so os tipos de controles internos que podem ser aplica-
dos no mbito computacional?
d) Cite algumas vantagens ao utilizar sistemas computacionais
para efetuar o controle interno nas organizaes?
2) Relacione:
a) Acompanhamento das ocorrncias.
b) Manuais para distribuio, processamento e autorizao.
c) Constantes Verificaes em procedimentos.
d) Reconhecimento e correo de erros.
e) Colaborador responsvel para a gesto da tecnologia da
informao.
f) Responsvel pela definio do que vai ser feito.
( ) Monitoramento ( ) Projeto( ) Superviso
( ) Controle independente ( ) Registros e comunicao
( ) Auditoriabilidade
Ol!
Nesse captulo vamos conhecer os programas utilizados pela audito-
ria e o papel de cada ferramenta para a captao, processamento e
gerao de resultado. Os programas que so utilizados como apoio
aos trabalhos dos auditores so denominados softwares generalistas
ou especialistas.
Bons Estudos!
Prof. Jefferson Ribeiro de Lima
5.1. Mtodos
A ) Controle de verso
B) Transaes
C) Anlise de dados
D) Simulao
5.2. Ferramentas
Software generalista
Softwares especialistas
Utilitrios
Test-deck
Teste de recuperao
Teste de desempenho
Teste de stress
Teste de segurana
Estabelecer objetivos;
Atividade 5
2) Responda:
a) Por que a simulao paralela importante? Comente.
b) Cite trs tipos de softwares generalistas?
c)Quais so diferenas destacadas entre o software generalista e
especialista?
d) Pesquise exemplos de softwares utilitrios que podem ser utili-
zados pelo auditor?
3) Relacione:
a) Test-desk ( ) Anlise do funcionamento
do sistema em condies ex-
tremas, como grande volume
de operaes e dados.
b) Teste de recuperao ( ) Mecanismo de segurana
do sistema como senha, cripto-
grafia e outros.
c) Teste de desempenho ( ) Avalia requisitos funcio-
nais do sistema.
d) Teste de stress ( ) Consiste na insero de
dados no programa em produ-
o e efetua validao.
e) Teste de segurana ( ) Checa a capacidade de re-
cuperao do sistema as falhas.
f) Teste da caixa preta ( ) Verifica o consumo de re-
cursos computacionais e tem-
po de resposta
g) Teste da caixa branca ( ) Anlise do cdigo fonte do
sistema.
AUDITORIA DE HARDWARE E
SOFTWARE
Ol!
Neste captulo vamos estudar as formas para aplicao da auditoria
nos equipamentos e programas utilizados nas organizaes, a fim de
proteger o patrimnio fsico e intelectual da empresa.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
Aps anlise dos controles, o auditor criar um relatrio que vai con-
templar os objetivos e finalidades de cada teste, no intuito de atestar a
credibilidade dos documentos gerados pelo processo.
Atividade 6
1) Responda:
a) Quais so as vantagens da padronizao dos equipamentos uti-
lizados pelas empresas?
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________
Ol!
No captulo a seguir, o foco ser direcionado para segurana da in-
formao. Voc aprender a evitar possveis ameaas de segurana
que possam prejudicar o equilbrio dos negcios e o funcionamento
da empresa. Os conceitos que sero evidenciados representam uma
valiosa contribuio para o desenvolvimento da poltica de seguran-
a, aplicada na gesto empresarial.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
Anlise do risco
Avaliao do risco
Estimativa do risco
fato que essas ameaas esto presentes no dia a dia das empresas,
funo do auditor, auxiliar para evitar que os eventos maliciosos ocor-
ram atingindo os alvos de ataque.
Atividade 7
1) Responda:
a) Cite exemplos de riscos eminentes aos sistemas das
corporaes?
b) Quais so os alvos mais provveis de ataques nas empresas?
c) Ameaas ligadas ao hardware podem ocasionar que tipo de
prejuzo para instituio?
d) Qual a importncia da simulao de ataque?
e) Qual a finalidade da tabela de anlise de risco?
_______________________________________________
_______________________________________________
_______________________________________________
______________________________________________
_______________________________________________
_______________________________________________
______________________________________________
______________________________________________
_______________________________________________
_______________________________________________
PADRES DE PROCESSOS
Ol!
Nesse captulo vamos destacar alguns padres de se-
gurana que so altamente recomendas para garan-
tir a qualidade dos processos realizados nas empresas.
importante lembrar que os padres no so direcionados apenas
aos sistemas de informao, pois so prticas amplamente aplicadas
nas instituies para organizao e controle.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
ITIL
COBIT
Planejamento e organizao;
Aquisio e implementao;
Entrega e suporte;
Monitorao.
Logo COBIT
Figura 9 Logo Cobit
ISO guide 73
ISO 13335
Atividade 8
Trabalho de Pesquisa:
a) Faa uma pesquisa sobre a ISO 13335 e descreva a sua finalida-
de e aplicabilidade no contexto da gesto de segurana em TI.
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________
POLTICA DE SEGURANA DA
INFORMAO
Ol!
Neste captulo vamos conhecer e entender a importncia da poltica
de segurana e como fazer para diagnosticar possveis falhas na sua
criao. Vamos entender como detectar e reparar possveis vulnera-
bilidades dentro do contexto dessa poltica, atravs do acompanha-
mento, monitoramente e testes da aplicao das diretrizes.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
Atividade 9
1) Responda
ASPECTOS HUMANOS DA
SEGURANA DA INFORMAO
Ol!
Neste capitulo vamos conhecer como a fragilidade do aspecto hu-
mano pode colocar em risco os fatores da segurana da informao
nas organizaes, e tambm, conheceremos mecanismos para tentar
minimizar as consequncias do fato.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
Atividade 10
1) Responda:
SEGURANA DO AMBIENTE
Ol!
Vamos aprender atravs deste captulo a importncia da proteo
do ambiente fsico e lgico. Tambm conheceremos as prticas apli-
cadas para elaborao de barreiras preventivas, a fim de proteger o
patrimnio da organizao.
Bons estudos!
Prof. Jefferson Ribeiro de Lima
Por mais que se tente controlar o meio lgico, caso a empresa tenha
conexo rede mundial de computadores (Internet), no ser possvel
garantir que as falhas de vulnerabilidades apaream, devido s rpidas
mudanas que ocorrem na tecnologia.
Segundo Wikipdia,
Atividade 11
1) Responda:
a) Quais so os mecanismos aplicados para garantir a segurana
dos meios fsicos e lgicos?
b) Quais so os erros mais comuns ao manusear documentos nas
empresas?
c) Comente como a proteo das mdias pode ser efetuada?
d) Descreva o porqu o controle patrimonial importante?
e) Que tipo de plano de contingncia o mais adequado caso haja
falta energia na empresa?
f) Por que o ambiente lgico necessita de mais proteo?
g) Qual a importncia em se criar conta de acesso no sistema
para cada usurio?
h) Quais so os programas mais comuns utilizados para proteo
do ambiente lgico?
i) Cite algumas aplicaes lgicas primordiais para o funciona-
mento da empresa?
j) Descreva qual o papel do gestor da tecnologia da informao
no ambiente lgico?
3) Relacione:
1) Lgico
2) Fsico
( ) Controle patrimonial na empresa.
( ) Dificuldade para encontrar falhas.
( ) Efetuar conexo com a rede mundial dos computadores.
( ) Permetro de segurana na empresa.