ATIVIDADES PRTICAS SUPERVISIONADAS

8 Srie Segurana e Auditoria em Sistemas de Informao

A atividade prtica supervisionada (ATPS) um mtodo de ensinoaprendizagem desenvolvido por meio de um conjunto de atividades programadas e supervisionadas e que tem por objetivos: Favorecer a aprendizagem. Estimular a co-responsabilidade do aluno pelo aprendizado eficiente e eficaz. Promover o estudo, a convivncia e o trabalho em grupo. Desenvolver os estudos independentes, sistemticos e o autoaprendizado. Oferecer diferenciados ambientes de aprendizagem. Auxiliar no desenvolvimento das competncias requeridas pelas Diretrizes Curriculares Nacionais dos Cursos de Graduao. Promover a aplicao da teoria e conceitos para a soluo de problemas relativos profisso. Direcionar o estudante para a emancipao intelectual. Para atingir estes objetivos as atividades foram organizadas na forma de um desafio, que ser solucionado por etapas ao longo do semestre letivo. Participar ativamente deste desafio essencial para o desenvolvimento das competncias e habilidades requeridas na sua atuao no mercado de trabalho. Aproveite esta oportunidade de estudar e aprender com desafios da vida profissional.

Sistemas de Informao

AUTORIA: Renato Cividini Matthiesen Faculdade Anhanguera de Limeira

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 2 de 6

COMPETNCIAS E HABILIDADES
Ao concluir as etapas propostas neste desafio voc ter desenvolvido as competncias e habilidades descritas a seguir. Capacidade para levantar dados e empreender uma abordagem sistmica no trato dos problemas de distribuio da informao. Capacidade de abstrao, representao, organizao e viabilizao de solues de software para diferentes domnios de aplicao. Habilidade em tomar decises e saber implement-las.

DESAFIO
A necessidade de segurana em tecnologia e sistemas de informao vem crescendo na mesma velocidade em que as novas tecnologias e os novos sistemas so implantados nas empresas. Sempre uma nova tcnica de segurana desenvolvida, outras tcnicas tambm so criadas para invadir estes sistemas. Esta dinmica no desenvolvimento de solues de segurana obriga as empresas a necessitarem de cuidados especiais para garantir a segurana de seus sistemas de informao. O correto treinamento de colaboradores para que eles trabalhem conscientes sobre os tipos de ameaas e mecanismos de proteo e a aplicao de um programa de auditoria sobre os sistemas informatizados so fundamentais para garantir a segurana dos sistemas de informao, que armazenam e transportam um dos ativos mais importantes da empresa: a prpria informao. Este desafio prope que a equipe de tecnologia da informao (representada por um grupo de at quatro alunos) de uma empresa que realiza venda de livros e DVDs (Digital Video Disc) atravs de seu sistema de comrcio eletrnico pela Internet elabore um Manual sobre Segurana e Auditoria em Sistemas de Informao. A elaborao do manual tem como objetivo apresentar a todos os colaboradores da empresa conceitos bsicos de segurana em tecnologia e sistemas de informao, informaes sobre a poltica de segurana da empresa e metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual ser dividido em quatro captulos: 1. Segurana em Sistemas de Informao e em Redes de Computadores. 2. Controles e Poltica de Segurana. 3. Gerenciamento de Riscos em Sistemas de Informao. 4. Auditoria em Sistemas de Informao. O desafio dever ser realizado em grupos de at quatro alunos, sendo que o grupo dever entregar um captulo do manual para cada item proposto acima. A formao dos grupos e a orientao sobre a elaborao dos captulos devero ser realizadas na primeira aula da disciplina. Os captulos sero elaborados conforme descritos nas etapas do desafio, e devero ser entregues conforme planejamento do professor da disciplina.

Objetivo do desafio
Elaborao de um manual tcnico sobre segurana em tecnologia e sistemas de informao.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 3 de 6

Produo Acadmica
Nesta atividade ser produzido: Relatrios parciais, com os resultados das pesquisas realizadas nas etapas.

Participao
Para a elaborao desta atividade, os alunos devero previamente organizar-se em equipes de participantes (conforme orientao do professor) e entregar seus nomes, RAs e emails ao professor da disciplina. Essas equipes sero mantidas durante todas as etapas.

Padronizao
O material escrito solicitado nesta atividade deve ser produzido de acordo com as normas da ABNT1, com o seguinte padro: em papel branco, formato A4; com margens esquerda e superior de 3cm, direita e inferior de 2cm; fonte Times New Roman tamanho 12, cor preta; espaamento duplo entre linhas; se houver citaes com mais de trs linhas, devem ser em fonte tamanho 10, com um recuo de 4cm da margem esquerda e espaamento simples entre linhas; com capa, contendo: nome de sua Unidade de Ensino, Curso e Disciplina; nome e RA de cada participante; ttulo da atividade; nome do professor da disciplina; cidade e data da entrega, apresentao ou publicao.

ETAPA 1 (tempo para realizao: 5 horas)

Aula tema: Introduo Segurana de Informao e Auditoria. Definio de processos de proteo de informaes e ativos digitais armazenados em computadores e redes de processamento de dados. Esta atividade importante para que voc conhea conceitos bsicos e a terminologia de segurana em sistemas de informao, redes de computadores e auditoria de sistemas. Para realiz-la importante seguir os passos descritos. Passo 1 (Aluno) Faa uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros complementares da disciplina. Em seguida leia o captulo de um dos livros que faz uma introduo aos conceitos de segurana em sistemas de informao e redes de computadores.

Consulte o Manual para Elaborao de Trabalhos Acadmicos. Unianhanguera. Disponvel em: <http://www.unianhanguera.edu.br/anhanguera/bibliotecas/normas_bibliograficas/index.html>.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 4 de 6

Passo 2 (Aluno) Leia o artigo O enfoque social da segurana da informao. Este artigo est disponvel no sistema Scielo e pode ser acessado atravs do seguinte link: <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt>. Acesso em: 11 ago. 2011. Passo 3 (Equipe) Elaborem o Captulo 01: Segurana em Sistemas de Informao e Redes de Computadores do Manual de Segurana e Auditoria em Sistemas de Informao. Este captulo deve conter os seguintes tpicos: 1.1 Introduo Segurana em Sistemas de Informao e Redes de Computadores: escrevam um texto que apresente de forma objetiva pelo menos trs fatores que levam as empresas a investirem em sistemas de segurana da informao. 1.2 Exemplos de Problemas de Segurana em Sistemas de Informao: faam uma pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de falha de segurana em sistemas informao em empresas e suas conseqncias. 1.3 Falhas em Sistemas de Informao: faam a descrio das seguintes falhas de segurana em sistemas de informao: SQL Injection, Quebra de Cdigo JavaScript, Cross Site Scripting, Upload de Arquivos. 1.4 Correo de Falhas em Sistemas de Informao: faam a descrio de pelo menos uma maneira de evitar e/ou corrigir as falhas em sistemas de informao descritas no tpico 1.3 deste relatrio. 1.5 Terminologia de Segurana: faam uma descrio dos seguintes termos de segurana em sistemas de informao: Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo de Tria, Vrus e Worm.

ETAPA 2 (tempo para realizao: 5 horas)

Aula tema: Identificao das Necessidades de Segurana. Avaliao dos Controles de Segurana. Elaborao de Checklist. Esta atividade importante para que voc conhea os servios de segurana em um sistema de informao e aprenda a elaborar uma Poltica de Segurana para uma empresa. Para realiz-la importante seguir os passos descritos. Passo 1 (Equipe) Elaborem o Captulo 02: Controles e Poltica de Segurana do Manual de Segurana e Auditoria em Sistemas de Informao. Este captulo deve conter os seguintes tpicos: 2.1 Servios de Segurana: apresentem a definio dos seguintes servios de segurana em sistemas de informao e redes de computadores: Confidencialidade, Autenticao, Integridade e Disponibilidade. 2.2 Controles Gerais de Segurana: faam uma descrio dos seguintes Controles Gerais de Segurana em Sistemas de Informao: Controles de Software, Controles de Hardware, Controle de Operaes de Computador, Controles de Segurana de Dados, Controles de Implementao e Controles Administrativos.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 5 de 6

2.3 Controles de Aplicao de Segurana: faam uma descrio dos seguintes Controles de Aplicao de Segurana em Sistemas de Informao: Totais de Controle, Verificao de Edio, Compatibilizao Automtica, Clculos dos Totais de Controle e Listas de Distribuio de Relatrios. Passo 2 (Equipe) Continuem a elaborao do Captulo 02 e faam o seguinte tpico: 2.4 Poltica de Segurana: elaborem um documento que apresente a descrio de uma Poltica de Segurana. Este documento deve apresentar um exemplo parcial da Poltica de Segurana para uma empresa conforme os itens e subitens a seguir: 2.4.1 Descrio do Sistema: faam a descrio do papel do Sistema de Informao. 2.4.2 Requisitos de Segurana: descrevam os seguintes itens: Ameaas Confidencialidade, Ameaas Integridade, Ameaas Disponibilidade e Possveis Atacantes. 2.4.3 Plano de Resposta a Incidentes de Segurana: faam a descrio dos seguintes itens: Planejamento de Resposta Incidentes, Pontos de Contato e Resposta um Incidente.

ETAPA 3 (tempo para realizao: 5 horas)

Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenes. Esta atividade importante para que voc conhea tcnicas de gerenciamento de riscos, os principais tipos de ataques em Sistemas de Informao em Redes de Computadores e mecanismos de segurana. Para realiz-la importante seguir os passos descritos. Passo 1 (Aluno) Acesse o site: Invasao.com e leia a matria: Hackers invadiram 1.195 pginas governamentais neste ano, 2009. Disponvel em: <https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B 9e1nJ9U5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en>. Acesso em: 11 ago. 2011. Passo 2 (Equipe) Elaborem o Captulo 03: Gerenciamento de Riscos em Sistemas de Informao do manual. Este captulo deve conter os seguintes tpicos: 3.1 Gerenciamento de Riscos em Sistemas de Informao: faam uma descrio de pelo menos duas possveis causas de risco no sistema de informao da empresa referentes : Erro Humano, Falha de Hardware, Falha de Software, Espionagem, Vandalismo, Engenharia Social. 3.2 Ataques em Sistemas de Informao e Redes de Computadores: faam uma descrio e apresente pelo menos um exemplo dos seguintes tipos de ataques em sistemas de informao e redes de computadores: Ataque para Obteno de Informaes, Ataques de Negao de Servio e Ataques no Nvel de Aplicao.

Renato Cividini Matthiesen

Sistemas de Informao 8 Srie Segurana e Auditoria em Sistemas de Informao

Pg. 6 de 6

3.3 Mecanismos de Segurana: apresentem a definio e um exemplo dos seguintes mecanismos de segurana: Senha, Criptografia, Assinatura Digital e Firewall. 3.4 Preveno de Riscos: apresentem uma medida de preveno de riscos referente a cada uma dos seis riscos apresentados no tpico 3.1 deste captulo.

ETAPA 4 (tempo para realizao: 5 horas)

Aula tema: A Importncia da Auditoria. Os Tipos de Auditoria em Tecnologia da Informao. Principais Elementos Envolvidos na Auditoria. Avaliao de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes Disponveis no Mercado; Ferramentas de Anlise de Dados. Esta atividade importante para que voc conhea os principais tipos de auditoria em tecnologia e sistemas de informao, os elementos, procedimentos e metodologias envolvidos na auditoria e conhea ferramentas e softwares disponveis no mercado para realizar auditoria de sistemas. Para realiz-la importante seguir os passos descritos. Passo 1 (Equipe) Elaborem o Captulo 04: Auditoria em Sistemas de Informao do manual. Uma auditoria em sistemas de informao pode abranger desde o exame de dados registrados em sistemas informatizados at a avaliao do sistema (Aplicativos, Sistemas Operacionais, Banco de Dados e Estrutura de Rede). Este captulo deve conter os seguintes tpicos: 4.1 Tcnicas de Auditoria em Sistemas de Informao: descrevam as atividades das seguintes tcnicas de auditoria: Entrevista, Questionrio e Verificao In Loco, Test Deck, Simulao Paralela, Teste de Recuperao, Teste de Desempenho, Teste de Estresse, Teste de Segurana, Teste de Caixa Preta Teste de Caixa Branca, Mapping, Tacing, Snapshot e Integrated Test Facility. 4.2 Tipos de Auditoria de Sistemas: faam a descrio dos seguintes tipos de auditoria: Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas, Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria em Microcomputadores. 4.3 Controles: faam a descrio dos seguintes tipos de controles de auditorias: Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de Entrada de Dados, Controle de Processamento de Dados e Controle de Sada de Dados. Passo 2 (Equipe) Continuem com a elaborao do Captulo 04 e faam o seguinte tpico: 4.4 Softwares de Auditoria de Sistemas de Informao: faam uma pesquisa e apresente pelo menos trs softwares de auditoria de sistemas de informao comercializados atualmente (ou do tipo open source). Faam a descrio de suas funcionalidades, seus tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.

Renato Cividini Matthiesen