A auditoria de redes de computadores

1 TEMA

A auditoria de redes de computadores e a utilização de políticas de segurança são abordagens utilizadas na tentativa de aumentar a segurança de redes e sistemas. Estas abordagens têm apresentado evoluções constantes e resultados relevantes.

2 PROBLEMA DE PESQUISA

A conexão dos computadores em redes criou inúmeras portas de acesso aos sistemas computacionais, facilitando por sua vez acessos desprotegidos. Quanto mais se aumenta a complexidade das redes, quanto mais recursos são disponibilizados aos usuários, quanto mais informação é requerida por este usuário, mais difícil se torna garantir a segurança dos sistemas de informação.

Este problema é agravado cada vez mais pela pouca relevância dada ao assunto em relação à avassaladora necessidade de novidades despejada nos usuários individuais que transportam as condições de insegurança vividas na computação pessoal para a computação corporativa. Na realidade o caminho inverso é que deveria ser percorrido, com os usuários de computação doméstica levando consigo todos os procedimentos de segurança adotados nas corporações.

Existe também, a complexidade crescente do ambiente computacional, sistemas centrais (mainframes, sistemas multiusuários), microcomputadores independentes, redes de computadores, ambiente cliente/servidor, internet e intranet, web services e organizações interconectadas;

Neste contexto levanta-se a seguinte problemática:

A vulnerabilidade dos sistemas de computadores, relacionadas à quantidade de pessoas com autorização de acesso, revela a fragilidade e a falta de segurança da maioria dos sistemas. Desta forma, estes sistemas necessitam de políticas de seguranças e auditorias constantes.

3 HIPOTESES

Como as organizações, sejam elas públicas ou privadas, perceberam que se tornaram vulneráveis, tem-se procurado, em alguns casos, recuperar o tempo perdido, implementando metodologias e ferramentas de segurança, sendo que o grande dilema desta questão é a criação de um ambiente controlado e confiável, mas que não tire do usuário a agilidade proporcionada pelo micro informática nos últimos anos.

Se o “esquecimento” dos procedimentos de segurança, até que ocorra algum problema grave, é muito comum nos ambientes denominados “cliente-servidor”. Para tanto se devem adotar políticas de segurança que determinem quais itens devem merecer atenção e com quais custos, sendo que de qualquer maneira vale a premissa: “Um ambiente totalmente seguro depende da aplicação de recursos ilimitados”.

Read also  First national bank botswana

Um diagnóstico simples para o problema pode ser feito observando as ocorrências de vírus. Se os computadores e as redes da organização sofrem de infecções virais, com certeza as informações presentes nesta rede, sejam públicas ou confidenciais estão sujeitas e vulneráveis a vazamentos, alterações indevidas e perdas. Da mesma forma a não existência de vírus garante que estas mesmas informações estão bem protegidas e invulneráveis.

4 OBJETIVOS

4.1 Geral

Auditar redes de computadores, de determinada empresa publica ou privada, e mensurar seus pontos de fragilidade diante de terceiros.

4.2 Específicos

Identificar, selecionar e acompanhar os controles informacionais necessários ao sistema de informações (SI), bem como das aplicações específicas deste SI.

5 JUSTIFICATIVA

Os processos de transformação de arquiteturas proprietárias em tecnologias abertas tornaram o acesso às informações mais fáceis e mais rápidas, de tal forma que a possibilidade de conhecimento destas informações, por parte do cidadão, em geral, deu um caráter mais democrático e aparentemente permitiria o controle social através desta perspectiva. Apenas um detalhe vem colocar em xeque esta perspectiva. Simultaneamente ao fato da facilidade e rapidez de acesso à informação terem aumentado, proporcionou um aumento exponencial da falta de segurança sobre a informação.

Tecnicamente toda uma rede de computadores funciona como elos de uma corrente e a fragilidade da mesma se dá pela possível fragilidade de um único elo mais desprotegido. São necessários diversos procedimentos adicionais que tem como função diminuir as possibilidades de vulnerabilidade que atinjam a integridade e confiabilidade destas informações.

6 REFERENCIAL TEORICO

Tendo em vista a problemática de presente estudo, apresenta-se uma proposta inicial de conteúdos a serem trabalhados para o Referencial teórico, que fundamentarão a execução da pesquisa, divididos em duas seções secundárias, a saber.

6.1 Auditorias de sistemas

6.1.1 Normas brasileiras de auditoria

Para consultar e efetuar os procedimentos das normas brasileiras de auditoria, bem como para abordagem, serão consultados inicialmente as seguintes normas:

  • ABNT NBR ISO 19011:2002, Auditoria interna a qualidade – Diretriz para auditoria de sistemas de gestão da qualidade.
  • ABNT NBR ISO/IEC 27005:2008, Gestão de Risco e Segurança da Informação.
  • ABNT NBR ISO/IEC27002:2005, Código de Prática para a Gestão da Segurança da Informação.
  • ABNT NBR ISO/IEC 27001:2006, Sistemas de Gestão de Segurança da Informação – Requisitos.
Read also  The Nike history

6.1.2 Conceitos e aplicações de auditorias

Para discussão dos conceitos e aplicações de auditoria, e também para abordagem dos métodos, levantaram-se previamente os seguintes autores:

  • MARINHO, Fernando. Como proteger e manter seus negócios. São Paulo: Ed. Campus. 2003. 192 p.
  • WATNE, Donald A — Auditing EDP systems. Upper Saddle River, NJ : Prentice Hall, c1990. 576 p.
  • ALTER, Steven — Information systems : a management perspective. Reading, MA : Addison-Wesley, 1999. 523 p.
  • SING, Simon – O livro dos códigos. Rio de Janeiro: Record, 2001.
  • ATTIE, William — Auditoria : conceitos e aplicações. São Paulo : Atlas, 1998. 476 p.
  • BURCH, John G. — Computer control and audit. : a total systems approach. New York, NY : J. Wiley, c1978. 492 p.
  • DOUGLAS, I. J. Ed — Audit and control of systems software. Manchester : NCC, 1983. 165 p.
  • BRODBECK, H. Auditoria de Sistemas Computacionais, UFRGS. slides consultados na internet em 12/11/2008.
  • SENAC – Boletim Fiscal n.9, 2003
  • Comissão de Normas de Auditoria da INTOSAI. Normas de Auditoria. Egito, 1992.
  • GIL, Antônio de Loureiro – Segurança empresarial e patrimonial : segurança dos negócios, plano de contingências, segurança e informática. São Paulo : Atlas, 1995. 169 p.

7 METODOLOGIA

A auditoria de sistemas de computadores será realizada, através da execução de check-list, que conterão os seguintes tópicos: Conhecimento do ambiente computacional, determinação dos pontos de controle, estabelecimento dos objetivos de validação e avaliação dos pontos de controle.

Conhecimento do ambiente computacional

  • Eficiência;
  • Eficácia;
  • Obediência às políticas da administração.

Controle Interno Sistemas:

  • Fidelidade da informação em relação ao dado;
  • Segurança física;
  • Segurança lógica;
  • Confidencialidade;
  • Segurança ambiental;
  • Obediência à legislação.

Forma de Atuação

  • Através dos sistemas de informações;
  • Através do centro de computação;
  • Através dos processos ou resultados.
Read also  Natural Language Processing Technology

Analisando

  • Rotinas operacionais;
  • Informações operacionais;
  • Rotinas de controle;
  • Informações de controle.

Ponto de Controle

é a situação do ambiente computacional caracterizada como de interesse para validação e avaliação

  • Sistema
  • Módulo de um sistema
  • Banco de dados
  • Tabela de um banco de dados (arquivo)
  • Coluna de uma tabela (campo)
  • Linhas na tabela (registros)

REFERêNCIAS

  • ABNT NBR ISO 19011:2002, Auditoria interna a qualidade – Diretriz para auditoria de sistemas de gestão da qualidade.
  • ABNT NBR ISO/IEC 27005:2008, Gestão de Risco e Segurança da Informação.
  • ABNT NBR ISO/IEC27002:2005, Código de Prática para a Gestão da Segurança da Informação.
  • ABNT NBR ISO/IEC 27001:2006, Sistemas de Gestão de Segurança da Informação – Requisitos.
  • MARINHO, Fernando. Como proteger e manter seus negócios. São Paulo: Ed. Campus. 2003. 192 p.
  • WATNE, Donald A — Auditing EDP systems. Upper Saddle River, NJ : Prentice Hall, c1990. 576 p.
  • ALTER, Steven — Information systems: a management perspective. Reading, MA : Addison-Wesley, 1999. 523 p.
  • SING, Simon – O livro dos códigos. Rio de Janeiro: Record, 2001.
  • ATTIE, William — Auditoria: conceitos e aplicações. São Paulo : Atlas, 1998. 476 p.
  • BURCH, John G. — Computer control and audit. : a total systems approach. New York, NY: J. Wiley, c1978. 492 p.
  • DOUGLAS, I. J. Ed — Audit and control of systems software. Manchester : NCC, 1983. 165 p.
  • BRODBECK, H. Auditoria de Sistemas Computacionais, UFRGS. slides consultados na internet em 12/11/2008.
  • SENAC – Boletim Fiscal n.9, 2003
  • Comissão de Normas de Auditoria da INTOSAI. Normas de Auditoria. Egito, 1992.
  • GIL, Antônio de Loureiro – Segurança empresarial e patrimonial: segurança dos negócios, plano de contingências, segurança e informática. São Paulo : Atlas, 1995. 169 p.
Order Now

Order Now

Type of Paper
Subject
Deadline
Number of Pages
(275 words)