AUDITORIA DE SISTEMAS

AUDITORIAS DIRECIONADAS

-1-
Olá!
Nesta aula, você irá:

1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso.

2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso.

3. Aprender como construir uma senha considerada eficiente.

4. Ver qual deve ser o conteúdo de um script de Call Center a fim de certificar-se que a pessoa que ligou é quem

realmente diz ser quem é.

1 Auditoria de redes
Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela posse. Estas

informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via

extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas

informações que refletem a vida da empresa tornou-se crucial.

A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações

nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de

transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.

Também devemos considerar os seguintes processos na auditoria de redes:

• Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática.

-2-
 • Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática.
• Desenho das arquiteturas e da topologia da rede.
• Implementação dos projetos físicos e lógicos.
• Monitoramento dos desempenhos e possíveis interceptações nas redes.
• Replanejamento de capacidade.
• Levantamento dos problemas operacionais e sua resolução.

O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e

aplicações, deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de portas

ou buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da

workstation em relação ao time-out interval.

O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a:

Segurança
Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
física

Segurança Customização de recursos de software, desempenho, acompanhamento e rendimento

lógica operacional.

Segurança As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos

de enlace limites estabelecidos.

Segurança Disponibilidade da rede, isto é, poder confiar que ela estará disponível quando necessária,

deaplicação mesmo em situações adversas.

-3-
2 Programa de auditoria de redes
Os papéis que servirão de evidência para a verificação de controles são documentados em forma de papéis de

trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em questão. Esses

documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria

NC-nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P”

do questionário.

Atenção Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que

escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais!

Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro!

C1 - Políticas empresariais que garantem implementação efetiva dos controles relacionados com o ambiente de

rede, que incluem os itens:

Administração de rede;

Registro das operações dos controladores, terminais, linhas de comunicação, etc.;

Vigilância sobre os acontecimentos;

Registro dos custos dos usos para facilitar o recharge;

Soluções dos problemas operacionais;

Geração de relatórios gerenciais

Se houver, faça um resumo do que você verificou e arquive na pasta administrativa da auditoria sob a legenda

DOCUMENTAÇÃO.

-4-
C2 - Controles sobre o ambiente e informações com relação a definição da plataforma de hardware, software,

sistema operacional e mitigação de riscos inerentes.

Observa se os equipamentos (servidores, workstations e impressoras) estão dimensionados o suficiente para

atender às necessidades da empresa.

Envolve observações sobre fornecedores, manutenção, compartilhamento de hardware, treinamento na

utilização de equipamentos e documentação.

C3 - Controles sobre o software.

Abrange sistema operacional do computador, sistema operacional do servidor, processadores de texto, planilhas,

utilitários, banco de dados, controle de acesso etc, além de verificar se existe uma política organizacional que

regulamente e monitore todo o uso de software na instalação considerando normas de conscientização,

padronização e controle de versão entre outros.

C4 - Controles de segurança

Garantem adequado controle sobre a transmissão de dados pela rede entre microcomputadores/Workstations,

proteção de dados críticos em relação a acessos indevidos, alterações e intercepção não autorizada.

São verificadas os gateways, servidores e bridges que permitem comunicação remota, procedimentos de

verificação/controle para assegurar apenas acessos autorizados (senhas, call-back), identificação de

equipamentos que permitam ligação com o mainframe (upload/download), existência de administrador de

segurança, existência de back-ups adequados, incluindo a rotina de geração e liberação dos mesmos, de plano de

contingência e de biblioteca externa dentre outros requisitos.

Verifica se são utilizados recursos de user-ids e senhas e se os mesmos são confiáveis no tangente a manutenção

e facilidade de identificação por terceiros. Também verifica se há usuários que não tem utilizado o sistema por

período diferente do que se espera. Isto poderá identificar funcionários que saíram da empresa e que continuam

com login ativo.

C5 - Informações gerais sobre implementação de firewall (firewalls = são dispositivos constituídos pela

combinação de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. O

firewall pessoal é um software utilizado para proteger um computador contra acessos não autorizados vindos

da internet, e constitui um tipo especifico de firewall) consistente com os padrões de segurança de informação

da empresa. Verifica quais tipos de internet, considerando conexões diretas para ISP, linhas discadas, linhas

dedicadas, satélites, rádio. Analisa se o firewall foi desenvolvido internamente ou se comprado e, se está

atualizado. Certifica-se se as trilhas de auditoria foram ativadas, quais os processos de rastreamento e

procedimentos quando houver troca de hardware e software.

C6 - Procedimentos específicos de controles de operação de firewall.

-5-
Verifica se os equipamentos de firewall são adequadamente guardados, atentando para verificação se o acesso é

apenas por pessoas autorizadas, se eles são controlados e monitorados, para quantos pontos e interfaces existem

com acesso ao firewall ou com acesso ao host da empresa.

3 Auditoria de hardware
O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados na

empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de

computador bem como controles referentes à proteção de vida de pessoas.

Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás

carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc.

4 Programa de controle interno de hardware

Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para

levantamento de controles internos de hardware nas páginas 105 a 111 do capítulo 8 do material que

receberam.

Veja a seguir um resumo do programa:

C1 – Controles de acesso físico ao ambiente de informática.

-6-
Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de controle.

Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo, acesso

aos backups e biblioteca externa.

C2 – Controle de acionamento e desligamento de máquinas.

Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto.

C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte.

Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para

dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas.

C4 - Localização e infraestrutura do CPD

Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes,

pólos geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de substâncias

inflamáveis). Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração,

treinamento contínuo contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador).

C5 – Controle de back-up e off-site

Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de

retenção, número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para

serem utilizados em caso de emergência.

Deve ser verificado se há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e recuperação

(como visto na aula 2).

C6 – Controles de aquisição e disposição do equipamento

Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo

está atualizado.

C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software,

sistema operacional e os riscos inerentes.

Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros

departamentos, necessidade de expansão do parque instalado e facilidades de treinamento.

Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter

a continuidade das operações de cada área.

C8 – Controles sobre os recursos instalados

Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos

softwares e se elas são seguidas.

C9 - Garantia de integridade de transmissão.

-7-
Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou

workstations além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os

equipamentos que permitem comunicação remota e procedimentos de verificação e controle para assegurar

somente os acessos autorizados.

5 Controle de acesso
Temos duas grandes vertentes em relação a acesso:

Acesso físico (relativo a entrada de indivíduos em determinados recintos)

O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de

várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria (uso de

caraterísticas pessoais como identificador das pessoas tais como digital, Iris, voz etc). Além da identificação da

pessoa torna-se necessário o controle de porte de metais. Sabemos que um simples imã pode desmagnetizar

uma CPU, não?

O cuidado com a identificação por leitura de impressão digital é a capacidade de o equipamento ler e reconhecer

a digital lida, muitas vezes afetada pela gordura nos dedos.

Acesso lógico (relativo a manuseio de informações em meios magnéticos)

A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou

gravarem informações é através de senhas. Desta forma, para eficiência do controle, torna-se necessário um

eficaz gerenciamento de senhas.

Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém,

onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria

tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de

banco e de crédito. Não facilitem a vida do ladrão! Guardem separadamente.

Outras informações pessoais não devem ser usadas pois a engenharia social* está presente na internet ou nos

pseudos telefonemas de fornecedores.

O sobrenome, número de documentos, placas de carro, números de telefone e datas relevantes também não

devem ser utilizados como senhas, pela mesma razão.

*Engenharia social: Usar de persuasão, abusando da ingenuidade das pessoas, para obter informações que

podem ser utilizadas para ter acesso não autorizado a computadores, sistemas, informações.

Saiba mais
Clique no link a seguir para saber mais sobre controle de acesso lógico:

-8-
 Clique no link a seguir para saber mais sobre controle de acesso lógico:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/07AS_doc01.pdf

6 Programa de controle de acesso

Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123,

capítulo 9, do material entregue a vocês. Farei aqui um resumo:

C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de

segurança.

Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam

envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em

controle de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as

pessoas que entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico

estará sendo executado.

C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso.

Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de

funções.

C3 – Software para controle de acesso

Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, transações,

programas, jobs, etc. além de gerenciamento de senhas.

Avalia procedimentos de segurança com relação:

• ao cadastramento, bloqueio e exclusão de usuários do sistema;
• a solicitação e alteração de senhas;

• ao desligamento do sistema/terminal após n tentativas de certo da senha;

-9-
 • ao desligamento do sistema/terminal após n tentativas de certo da senha;
• ao desligamento automático do sistema / terminal após n minutos sem uso;
• ao log de tentativas de acesso frustradas;
• a atualização (troca) de senhas dos usuários.
C4 – Controle de acesso a transações

Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo

funcionários que trocaram de área, funcionários demitidos.

Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente

revisados pelo administrador de segurança.

C5 – Controle sobre utilização de software

Certifica-se se:
• há inventário de software (de apoio, aplicativos) e se o mesmo está atualizado;
• há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas;
• há controle e ferramentas adequadas para detecção e eliminação de vírus de computador.
C6 – Controle sobre utilização de redes locais

Verifica se há restrição de acesso físico ao servidor da rede.

O que vem na próxima aula

Na próxima aula, você estudará os seguintes assuntos:
• Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e
manutenção de sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos.

CONCLUSÃO
Nesta aula, você:
• Estudou auditoria específica para redes de computadores, hardware e controle de acesso.
• Viu programas de auditoria para redes de computadores, hardware e controle de acesso.
• Aprendeu como construir uma senha considerada eficiente.
• Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é
quem realmente diz ser quem é.

- 10 -