A auditoria de redes de computadores
1 TEMA
A auditoria de redes de computadores e a utilização de políticas de segurança são abordagens utilizadas na tentativa de aumentar a segurança de redes e sistemas. Estas abordagens têm apresentado evoluções constantes e resultados relevantes.
2 PROBLEMA DE PESQUISA
A conexão dos computadores em redes criou inúmeras portas de acesso aos sistemas computacionais, facilitando por sua vez acessos desprotegidos. Quanto mais se aumenta a complexidade das redes, quanto mais recursos são disponibilizados aos usuários, quanto mais informação é requerida por este usuário, mais difícil se torna garantir a segurança dos sistemas de informação.
Este problema é agravado cada vez mais pela pouca relevância dada ao assunto em relação à avassaladora necessidade de novidades despejada nos usuários individuais que transportam as condições de insegurança vividas na computação pessoal para a computação corporativa. Na realidade o caminho inverso é que deveria ser percorrido, com os usuários de computação doméstica levando consigo todos os procedimentos de segurança adotados nas corporações.
Existe também, a complexidade crescente do ambiente computacional, sistemas centrais (mainframes, sistemas multiusuários), microcomputadores independentes, redes de computadores, ambiente cliente/servidor, internet e intranet, web services e organizações interconectadas;
Neste contexto levanta-se a seguinte problemática:
A vulnerabilidade dos sistemas de computadores, relacionadas à quantidade de pessoas com autorização de acesso, revela a fragilidade e a falta de segurança da maioria dos sistemas. Desta forma, estes sistemas necessitam de políticas de seguranças e auditorias constantes.
3 HIPOTESES
Como as organizações, sejam elas públicas ou privadas, perceberam que se tornaram vulneráveis, tem-se procurado, em alguns casos, recuperar o tempo perdido, implementando metodologias e ferramentas de segurança, sendo que o grande dilema desta questão é a criação de um ambiente controlado e confiável, mas que não tire do usuário a agilidade proporcionada pelo micro informática nos últimos anos.
Se o “esquecimento” dos procedimentos de segurança, até que ocorra algum problema grave, é muito comum nos ambientes denominados “cliente-servidor”. Para tanto se devem adotar políticas de segurança que determinem quais itens devem merecer atenção e com quais custos, sendo que de qualquer maneira vale a premissa: “Um ambiente totalmente seguro depende da aplicação de recursos ilimitados”.
Um diagnóstico simples para o problema pode ser feito observando as ocorrências de vírus. Se os computadores e as redes da organização sofrem de infecções virais, com certeza as informações presentes nesta rede, sejam públicas ou confidenciais estão sujeitas e vulneráveis a vazamentos, alterações indevidas e perdas. Da mesma forma a não existência de vírus garante que estas mesmas informações estão bem protegidas e invulneráveis.
4 OBJETIVOS
4.1 Geral
Auditar redes de computadores, de determinada empresa publica ou privada, e mensurar seus pontos de fragilidade diante de terceiros.
4.2 Específicos
Identificar, selecionar e acompanhar os controles informacionais necessários ao sistema de informações (SI), bem como das aplicações específicas deste SI.
5 JUSTIFICATIVA
Os processos de transformação de arquiteturas proprietárias em tecnologias abertas tornaram o acesso às informações mais fáceis e mais rápidas, de tal forma que a possibilidade de conhecimento destas informações, por parte do cidadão, em geral, deu um caráter mais democrático e aparentemente permitiria o controle social através desta perspectiva. Apenas um detalhe vem colocar em xeque esta perspectiva. Simultaneamente ao fato da facilidade e rapidez de acesso à informação terem aumentado, proporcionou um aumento exponencial da falta de segurança sobre a informação.
Tecnicamente toda uma rede de computadores funciona como elos de uma corrente e a fragilidade da mesma se dá pela possível fragilidade de um único elo mais desprotegido. São necessários diversos procedimentos adicionais que tem como função diminuir as possibilidades de vulnerabilidade que atinjam a integridade e confiabilidade destas informações.
6 REFERENCIAL TEORICO
Tendo em vista a problemática de presente estudo, apresenta-se uma proposta inicial de conteúdos a serem trabalhados para o Referencial teórico, que fundamentarão a execução da pesquisa, divididos em duas seções secundárias, a saber.
6.1 Auditorias de sistemas
6.1.1 Normas brasileiras de auditoria
Para consultar e efetuar os procedimentos das normas brasileiras de auditoria, bem como para abordagem, serão consultados inicialmente as seguintes normas:
- ABNT NBR ISO 19011:2002, Auditoria interna a qualidade – Diretriz para auditoria de sistemas de gestão da qualidade.
- ABNT NBR ISO/IEC 27005:2008, Gestão de Risco e Segurança da Informação.
- ABNT NBR ISO/IEC27002:2005, Código de Prática para a Gestão da Segurança da Informação.
- ABNT NBR ISO/IEC 27001:2006, Sistemas de Gestão de Segurança da Informação – Requisitos.
6.1.2 Conceitos e aplicações de auditorias
Para discussão dos conceitos e aplicações de auditoria, e também para abordagem dos métodos, levantaram-se previamente os seguintes autores:
- MARINHO, Fernando. Como proteger e manter seus negócios. São Paulo: Ed. Campus. 2003. 192 p.
- WATNE, Donald A — Auditing EDP systems. Upper Saddle River, NJ : Prentice Hall, c1990. 576 p.
- ALTER, Steven — Information systems : a management perspective. Reading, MA : Addison-Wesley, 1999. 523 p.
- SING, Simon – O livro dos códigos. Rio de Janeiro: Record, 2001.
- ATTIE, William — Auditoria : conceitos e aplicações. São Paulo : Atlas, 1998. 476 p.
- BURCH, John G. — Computer control and audit. : a total systems approach. New York, NY : J. Wiley, c1978. 492 p.
- DOUGLAS, I. J. Ed — Audit and control of systems software. Manchester : NCC, 1983. 165 p.
- BRODBECK, H. Auditoria de Sistemas Computacionais, UFRGS. slides consultados na internet em 12/11/2008.
- SENAC – Boletim Fiscal n.9, 2003
- Comissão de Normas de Auditoria da INTOSAI. Normas de Auditoria. Egito, 1992.
- GIL, Antônio de Loureiro – Segurança empresarial e patrimonial : segurança dos negócios, plano de contingências, segurança e informática. São Paulo : Atlas, 1995. 169 p.
7 METODOLOGIA
A auditoria de sistemas de computadores será realizada, através da execução de check-list, que conterão os seguintes tópicos: Conhecimento do ambiente computacional, determinação dos pontos de controle, estabelecimento dos objetivos de validação e avaliação dos pontos de controle.
Conhecimento do ambiente computacional
- Eficiência;
- Eficácia;
- Obediência às políticas da administração.
Controle Interno Sistemas:
- Fidelidade da informação em relação ao dado;
- Segurança física;
- Segurança lógica;
- Confidencialidade;
- Segurança ambiental;
- Obediência à legislação.
Forma de Atuação
- Através dos sistemas de informações;
- Através do centro de computação;
- Através dos processos ou resultados.
Analisando
- Rotinas operacionais;
- Informações operacionais;
- Rotinas de controle;
- Informações de controle.
Ponto de Controle
é a situação do ambiente computacional caracterizada como de interesse para validação e avaliação
- Sistema
- Módulo de um sistema
- Banco de dados
- Tabela de um banco de dados (arquivo)
- Coluna de uma tabela (campo)
- Linhas na tabela (registros)
REFERêNCIAS
- ABNT NBR ISO 19011:2002, Auditoria interna a qualidade – Diretriz para auditoria de sistemas de gestão da qualidade.
- ABNT NBR ISO/IEC 27005:2008, Gestão de Risco e Segurança da Informação.
- ABNT NBR ISO/IEC27002:2005, Código de Prática para a Gestão da Segurança da Informação.
- ABNT NBR ISO/IEC 27001:2006, Sistemas de Gestão de Segurança da Informação – Requisitos.
- MARINHO, Fernando. Como proteger e manter seus negócios. São Paulo: Ed. Campus. 2003. 192 p.
- WATNE, Donald A — Auditing EDP systems. Upper Saddle River, NJ : Prentice Hall, c1990. 576 p.
- ALTER, Steven — Information systems: a management perspective. Reading, MA : Addison-Wesley, 1999. 523 p.
- SING, Simon – O livro dos códigos. Rio de Janeiro: Record, 2001.
- ATTIE, William — Auditoria: conceitos e aplicações. São Paulo : Atlas, 1998. 476 p.
- BURCH, John G. — Computer control and audit. : a total systems approach. New York, NY: J. Wiley, c1978. 492 p.
- DOUGLAS, I. J. Ed — Audit and control of systems software. Manchester : NCC, 1983. 165 p.
- BRODBECK, H. Auditoria de Sistemas Computacionais, UFRGS. slides consultados na internet em 12/11/2008.
- SENAC – Boletim Fiscal n.9, 2003
- Comissão de Normas de Auditoria da INTOSAI. Normas de Auditoria. Egito, 1992.
- GIL, Antônio de Loureiro – Segurança empresarial e patrimonial: segurança dos negócios, plano de contingências, segurança e informática. São Paulo : Atlas, 1995. 169 p.