Captulo 03: Gerenciamento de Riscos em Sistemas de Informao do manual.

3.1 Gerenciamento de Riscos em Sistemas de Informao

* Erro Humano: So considerados erros humanos uso mal-intencionado da informao da

empresa; Como as senhas de Banco de Dados,
Roteadores, Servidores e etc. serem relacionadas a algo que o responsvel goste e em um
simples bate-papo possvel descobri. O usurio ter o conhecimento de um procedimento
secreto da empresa e divulgar para terceiros.

* Falha de Hardware: Com o tempo o equipamento sofre uma quebra ou desgaste fsico da
maquina o que pode ocasionar perda irrecupervel da informao. Manter se possvel um
espelho deste equipamento (no caso servidores) em outro local tambm protegido.

* Falha de Software: Manter os backup dos arquivos em local seguro, para que quando ocorra
a falha de software possa ser recuperada as informaes antigas sem causar grandes danos a
empresa, manter as documentaes do sistema atualizadas e manter controle sobre o acesso
a essas informaes.

* Espionagem: Pessoas infiltradas na empresa se passando por cliente, funcionrio, fornecedor

e etc. que entram e que cometem: espionagem fotogrfica, sabotagem, furto de documentos,
escuta telefnica e entre outros, at mesmo subornar funcionrios da empresa para terem
acesso s informaes importantes.

* Vandalismo: Classificado como roubo de informaes cometido principalmente por hackers e

crackers, utilizando engenharia reversa de um determinado programa, os ataques podem ser a
indisponibilidade do servidor (desconectado por um tempo da internet) ou a perda total dos
dados armazenados da empresa.

* Engenharia Social: Entrar na empresa sem fora bruta ou invadir o sistema para roubar as
informaes sigilosas ou importantes se passando por outra pessoa, assumir outra
personalidade ou fingir que um profissional de outra rea.

Explora as falhas de segurana das prprias pessoas que, quando no treinadas para esses
ataques, podem ser facilmente manipuladas.

3.2 Ataques em Sistemas de Informao e Redes de Computadores:

* Ataque para Obteno de Informaes: Consiste no envio de programas que funcionem

como espies para o servidor da empresa para ter acesso s informaes sigilosas da empresa,
hospedadas ou digitadas pelo colaborador.

* Ataques de Negao de Servio: Consiste em na aplicao de varias tcnicas para

sobrecarregar o sistema impedindo os usurios de usarem, desligar uma ou mais conexo
entre computadores ou fazer vrios acesso simultneos a um site onde o servidor ser
sobrecarregado e impedindo o acesso.

* Ataques no Nvel de Aplicao: Consistem em ataques a aplicaes vulnerveis e com pouca

segurana. As principais tcnicas de ataque so: SQL Injection, Buffer Overflow e ataques a
terminal service, onde so bastante utilizados.

3.3 Mecanismos de Segurana

* Senha: um mtodo de segurana usado para a autenticao do usurio a um servio ou

sistema, para que a senha seja segura ela deve ter nmeros, letras e smbolos, e ter pelo
menos 8 caracteres e ser fcil de lembras.

Exemplo: conta de email, com o usurio e a senha voc faz a autenticao no sistema e tem o
acesso a todos os seus emails recebidos.

* Criptografia: uma arte de escrever uma mensagem em forma cifrada ou em cdigos onde
apenas o emissor e o receptor podem ter acesso a ela, a tcnica mais conhecida a Chave que
pode ser formada de nmeros, letras e smbolos (como uma senha) capaz de codificar e de
decodificar
informaes.

Exemplo: acesso a um banco de dados onde s permitido o acesso se tiver a possibilidade de

descodificar a chave criptogrfica.

* Assinatura Digital: um mecanismo que permite a criao de um cdigo, atravs da chave

criptogrfica, onde quem recebe este tipo de mensagem possa confirmar se o remetente
realmente quem ele diz ser ou se houve alguma alterao na mensagem.

Exemplo: Em uma empresa usa-se a assinatura digital para documentos que preciso ser
enviados pela internet a algum rgo publico.

* Firewall: um mecanismo de proteo contra ataques vindos da internet, o firewall como

uma barreira que controla o trfego de dados entre o computador e a internet (ou entre a
rede onde o computador esta instalado e a internet), permitindo apenas a transio de dados
autorizados.

Exemplo: Em uma rede de uma determinada empresa, a utilizao do firewall serve para
impedir ataques vindos da internet para roubar informaes.

3.4 Preveno de Riscos

* Erro Humano: Toda informao dentro da empresa dever ser mantida em sigilo para no
prejudic-la, senhas de servidores, roteadores, banco de dados, ou qualquer sistema que seja
necessrio usurio e senha a senha deve seguir os padres do item 3.3.

* Falha de Hardware: Deve ter constante manuteno do equipamento, atualizao do sistema

operacional, aplicativos (Java, Adobe e etc.) e anti-malware.

* Falha de Software: Manter sempre atualizada as aplicaes, controles de acesso, backups das
informaes.

* Espionagem E Engenharia Social: Ter controle sobre a entrada e sada de pessoas da

empresa.

*
Vandalismo: Ter uma poltica de segurana eficaz, manter os funcionrios sempre informados
sobre a segurana da informao.

Captulo 04: Auditoria em Sistemas de Informao do manual

4.1 Tcnicas de Auditoria em Sistemas de Informao:

* Entrevista: A entrevista uma sesso de perguntas e respostas para se ter uma informao
especifica com pessoas selecionadas, individualmente ou em grupo.

* Questionrio de Verificao In Loco: a verificao entre os participantes do processo que

esta sendo avaliado. O momento de verificar se a infra-estrutura, o pessoal docente e tcnico
esto em condies reais de ser colocado a servio dos objetivos maiores, fazer as
comparaes entre as situaes reais e as intenes declaradas e os documentos previamente
examinados.

* Test Deck: uma tcnica usada para a elaborao de um conjunto de dados para testar os
processos computacionais ou a uma rotina que necessita ser verificada pela lgica de
processamento.

* Simulao Paralela: Elaborao de um programa de computador para simular as funes

rotineiras do sistema.

* Teste de Recuperao: a capacidade que o sistema tem de se recuperar aps a perda da

integridade de uma aplicao.

* Teste de Desempenho: um teste implementado que avalia o desempenho relacionado

caractersticas do objetivo do teste, como: perfis de andamento, fluxo de execuo, tempos de
resposta, confiabilidade e limites operacionais.

* Teste de Estresse: Avalia o comportamento do software sob condies crticas, tais como
restries significativas de memria, espao em disco, etc., ou seja, coloca o software sob

condies mnimas de operao.

* Teste de Segurana: Avalia a adequao dos procedimentos de proteo e as contramedidas

projetadas, para garantir a confidencialidade das informaes e a proteo dos dados contra o
acesso no autorizado de terceiros.

* Teste de Caixa Preta: um teste de software que verifica a sada de dados usando vrios
tipos de entrada, um abordagem mais realista para o teste escolher um subconjunto de
entradas que maximize a riqueza do teste.

* Teste de Caixa Branca: uma tcnica de teste que usa a perspectiva interna do sistema
para modelar os casos de teste. No teste de software, a perspectiva interna significa
basicamente o cdigo fonte. No teste de hardware, cada n de um circuito pode ser testado.

* Mapping: Tcnica utilizada pelo auditor para efetuar verificaes durante o processamento
dos programas, verificando se as rotinas no esto sendo utilizadas e a quantidade de vezes
que cada rotina foi utilizada quando submetida a uma quantidade de dados.

* Tacing: Possibilita seguir uma trilha das transaes no curso do processamento. Durante o
rastreamento, a seqncia da instruo executada listada (exemplos: 0001 0002
0015), permitindo ao auditor identificar as inadequaes e ineficincias na lgica de um
programa, o que pode viabilizar a identificao de rotinas fraudulentas, improcedentes ou
inadequadas pela alimentao de transaes.

* Snapshot: tcnica que fornece uma listagem ou gravao do contedo das variveis do
programa (acumuladores, chaves, reas de armazenamento) quando determinado registro
est sendo processado. A
quantidade de situaes a serem extradas predeterminada. uma tcnica usada como
auxilio a depurao de programas, quando h problemas e realmente exige fortes
conhecimentos de PED (processamento eletrnico de dados) por parte do auditor de sistemas.

* Integrated Test Facility: criada para facilitar a integrao dos testes durante o
desenvolvimento do sistema, podendo ser usado tambm no ciclo operacional (consiste no

desenvolvimento de rotinas dentro dos programas para selecionar dados de testes de

auditoria).

4.2 Tipos de Auditoria de Sistemas:

* Auditoria em Software Aplicativo: So projetados para executar determinado tipo de

operao, podem ser auditados os seguintes controles: controles de aplicativos, controles de
entrada de dados, autorizao para entrada de dados, controles de processamento de dados e
controles de sada de dados.

* Auditoria em Desenvolvimento de Sistemas: um processo realizado por profissionais

capacitados e consiste em reunir, agrupar e avaliar evidencias para determinar se um sistema
de informao suporta adequadamente um ativo de negocio, mantendo a integridade dos
dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as
regulamentaes e leis estabelecidas. Permite detectar de forma automtica o uso dos
recursos e dos fluxos de informao dentro de uma empresa e determinar qual informao
crtica para o cumprimento de sua misso e objetivos, identificando necessidades, processos
repetidos, custos, valor e barreiras que impactam fluxos de informao eficientes.

* Auditoria em banco de dados: A auditoria de banco de

dados monitora e registra as aes selecionadas do usurio do banco de dados. Informaes
sobre o evento so armazenadas na trilha de auditoria que pode ser usadas para verificar
atividades suspeitas. Por exemplo, se um usurio no autorizado estiver deletando dados da
tabela o DBA poder auditar todas as conexes estabelecidas com o banco de dados, junto
com as delees bem-sucedidas e malsucedidas de linhas das tabelas do banco de dados.
Tambm possvel usar a auditoria para monitorar e coletar dados sobre atividades
especficas do banco de dados, tipo coletar informaes sobre estatsticas sobre quais tabelas
esto sendo atualizadas, quantas operaes de E/S lgica so realizada e quantos usurios
esto conectados simultaneamente em horrios de pico.

* Auditoria em redes de computadores: A rede empresarial onde habita a informao que

alimenta as transaes e os processos de negcios. o local em que existem as informaes
mais importantes para a execuo de transaes no s econmicas, mas tambm financeiras.
O principal objetivo de auditoria de redes certifica-se da confiabilidade da rede no tocante :
segurana fsica, segurana lgica, segurana de enlace (canais de transmisso) e segurana de
aplicao.

* Auditoria em microcomputadores: A auditoria de microcomputadores permite identificar o

uso inadequado de recursos de informtica, prevenir acidentes com aplicaes importantes e
principalmente permitir reaproveitamento de software e hardware ociosos em determinado
departamento para utilizao por outro, evitando-se novos investimentos. O processo de
auditoria fundamenta-se em polticas,
Normas e Padres estabelecidos e amplamente divulgados nas instalaes da empresa.

4.3 Controles:

* Controle de software: O controle de software responsvel por dar acesso limitado ao

software de sistemas, caminhos de acesso e controla as alteraes do software do sistema.

* Controle de acesso: Os controles de acesso so responsveis pela classificao dos recursos

de informao de acordo com sua importncia e vulnerabilidade, manuteno de lista
atualizada de usurios autorizados e nveis de acesso, Controles lgicos e fsicos para
preveno e deteco de acesso no autorizado e superviso do acesso, investigao de
evidencias de violaes de segurana e adoo de medidas corretivas.

* Controle de aplicativos: So controles incorporados diretamente em programas aplicativos,

nas trs reas de operao (entrada, processamento e sada de dados) com o objetivo de
garantir um processamento confivel e acurado. Sem um controle de aplicativo apropriado,
existe o risco de que caractersticas de segurana possam se omitidas ou contornadas,
intencionalmente ou no, e que processamentos errneos ou cdigos fraudulentos sejam
introduzidos

* Controle de entrada de dados: So os controles responsveis por detectar transaes no

autorizadas, incompletas, duplicadas ou errneas, e assegurar que sejam controladas at
serem corrigidas, como documentos ou telas de entrada de dados, rotinas de preparao dos
dados (batch), autorizao para entrada de dados, validao dos dados de entrada e
tratamentos de erros.

* Controle de processamento de dados: Este controle deve assegurar que todos os

dados de entrada sejam processados e que o aplicativo seja executado com sucesso, usando os
arquivos de dados, as rotinas de operao e a lgica de processamento corretos.

* Controle de sada de dados: Depois de finalizado o processamento dos dados feito a

reviso dos dados de sada, a distribuio dos dados de sada e a segurana destes.

4.4 Softwares de Auditoria de Sistemas de Informao:

* AuditOne: As auditorias preventivas so realizadas com o objetivo de aferir e orientar seus

clientes quanto ao licenciamento de programas de computador.
A Auditoria realizada pela AUDIT ONE, nica no mercado. O ponto inicial do trabalho a
elaborao de um inventrio dos programas que esto sendo utilizados e uma anlise da
documentao existente para obter um inventrio das licenas. O passo seguinte a realizao
de uma conciliao do nmero de cpias em uso e as licenas, submetendo os dados e
informaes a um tratamento jurdico.
Outros Servios de Auditoria:
Anlise, verificao e aferio de aspectos legais e tcnicos da contratao e desenvolvimento
de sistemas.
Site: http://www.auditone.com.br

* Procedere: A realizao de Auditorias de Software, baseadas em padres reconhecidos

internacionalmente, identifica e mitiga sobremaneira os desvios dos softwares existentes em
relao aos processos que suportam, e indica quais caminhos a serem seguidos para a
diminuio deste GAP.

As Auditorias de Softwares devem tambm avaliar a TI do ponto de vista de processos e

metodologias, apontando as diferenas existentes entre os procedimentos determinados e
descritos nos manuais, sejam eles internos
ou de alguma metodologia de mercado, e em relao ao procedimento adotados na prtica.

A Auditoria de Software deve produzir os seguintes produtos:

Medio do Grau de aderncia dos Sistemas ao negcio da Empresa;
Diagnstico da segurana no tratamento de informaes;
Anlise do nvel de performance das aplicaes.

Benefcios esperados com uma Auditora em Softwares so:

Identificar pontos crticos na operao e uso dos softwares;
Diminuio dos riscos relacionados a Segurana da Informao;
Garantir a qualidade e a segurana do Processo de Manuteno dos Softwares auditados.
Site: http://www.procedere.com.br

5. Referencias Bibliogrficas

CERT. br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil.

Cartilha de Segurana para Internet. Disponvel em http://cartilha.cert.br/.

SILVA, Luiz Fernando Costa da. UNIVERSIDADE DE BRASILIA. Gesto de Risco em Tecnologia da
Informao como fator critico de sucesso na Gesto de Segurana da Informao dos rgos
da Administrao Publica Federal: estudo de caso da Empresa Brasileira de Correios e
Telgrafos ECT. Disponvel em
http://repositorio.bce.unb.br/bitstream/10482/7473/1/2010_LuizFernandoCostaPereiradaSilv
a.pdf. Data de acesso 19 de abril de 2013.

SETA, Paulo. Artigo Auditoria em sistemas de informao. Disponvel em

http://paulosaeta.wordpress.com/2011/12/06/auditoria-em-sistemas-de-informacao/. Data
de acesso dia 19 de abril de 2013.

SETA, Paulo. Artigo Gerenciamento de riscos em sistemas de informao. Disponvel em

paulosaeta.wordpress.com. Data de acesso dia 18 de abril de 2013.