Conceitos Essenciais de Auditoria e Segurança da Informação

Aula 1: Fundamentos de Auditoria

Auditoria é uma atividade que engloba o exame de operações, processos e sistemas, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais.

Fases da Auditoria

• Planejamento
• Execução
• Relatório

Definições Chave em Auditoria

Objetivo de Controle

São metas de controle a serem alcançadas, ou efeitos negativos a serem evitados.

Procedimento de Auditoria

Formam um conjunto de ações (verificações e averiguações) que permitem obter e analisar as informações necessárias à formulação do parecer do auditor.

Achados de Auditoria

São fatos significativos observados pelo auditor durante a execução da auditoria.

Papéis de Trabalho

São registros que evidenciam atos e fatos observados pelo auditor. Esses papéis dão suporte ao relatório de auditoria, contendo o registro da metodologia adotada, procedimentos e verificações.

Recomendações de Auditoria

São medidas corretivas possíveis, feitas nos relatórios, a fim de corrigir deficiências detectadas durante a auditoria.

Pilares da Segurança da Informação (CIA)

Confidencialidade

É responsável pelo controle de acesso à informação, garantindo que apenas aquelas pessoas ou entidades que tenham permissão compatível com sua função, e determinada pelo dono da informação, possam acessá-la.

Integridade

É a necessidade de garantir que a informação mantenha todas as suas características originais, conforme determinadas pelo proprietário da informação.

Disponibilidade

Define que determinada informação esteja sempre disponível para o acesso quando necessário, de maneira íntegra.

Autenticidade

Responsável por garantir que a informação vem da origem informada, permitindo a comunicação segura e a garantia de que a informação à qual se tem acesso é correta.

Legalidade

Propriedade que define se determinada informação, ou operação, está de acordo com as leis vigentes no país.

Ameaças à Confidencialidade

• Browsing: Procura por informações sem necessariamente saber seu tipo.
• Shoulder Surfing: Olhar sobre o ombro da pessoa o que está sendo digitado.
• Engenharia Social: Fingir ser alguém com a intenção de ter acesso a informações.

Ameaças à Integridade

• Modificar uma mensagem: Interceptar uma mensagem e alterá-la antes de seu destino original.
• Alteração de logs de auditoria: Modificar logs de auditoria, normalmente com a intenção de ocultar fatos.
• Modificação de arquivos de configuração: Alterar arquivos críticos em um sistema para modificar sua funcionalidade.

Ameaças à Disponibilidade

• Desastres naturais ou provocados: Vandalismo, incêndios, terremotos, terrorismo.
• Negação de Serviço (DoS): Comprometimento de serviço de importância fundamental para processos.
• Comprometimento de informações: Modificar dados de forma a torná-los inúteis para outras pessoas.

Aula 3: Objetivos e Políticas de Segurança

Objetivos da Segurança

• Sigilo: Proteção contra a divulgação indevida de informações. Ex.: criptografia e controle de acesso.
• Integridade: Proteção contra a modificação não autorizada de informações. Ex.: assinaturas digitais.
• Disponibilidade: Proteção contra a interrupção do serviço. Ex.: backup e duplicação de sistemas.

Qual Informação Deve Ser Protegida?

A informação que está:

• Armazenada em computadores.
• Transmitida através de rede.
• Impressa ou escrita em papel.

A informação que é:

• Falada em conversas ao telefone.
• Enviada por e-mail.
• Armazenada em banco de dados.

Proteger a Informação de Quê?

• Espionagem industrial.
• Fraude.
• Arrombamento.
• Gravação de comunicação.
• Escuta telefônica.

Política de Segurança

Deve ser flexível, simples, objetiva, definir responsabilidades e garantir a privacidade.

Definição: É o conjunto de regras e práticas que estabelecem os limites de operação dos usuários do sistema.

Tipos de Políticas de Segurança

Física

Refere-se à situação física do sistema a proteger (incêndios e catástrofes naturais).

Administrativa

Ponto de vista organizacional no seio da empresa (seleção de pessoal responsável pela segurança).

Lógica

Define as regras de acesso e de circulação das informações no sistema (os controles para os acessos lógicos das informações).

Política de Autenticação

Um conjunto de procedimentos que permite que uma entidade (principal) comprove a sua identidade perante um sistema.

Exemplo: Prova de identificação baseada em um segredo (Login, Senha).

Política de Autorização

É a função que decide se as requisições de acesso a objetos feitas por sujeitos devem ser ou não permitidas.

Divulgação

Realizada através de avisos e reuniões.

Aula 4: Plano de Contingência

Plano de Contingência tem como objetivo auxiliar no restabelecimento do processamento dos sistemas críticos da organização, levando em consideração a criticidade de cada sistema e o prazo previsto para o seu restabelecimento.

Elaboração do Plano

Deve-se levar em consideração alguns tópicos fundamentais, mas a melhor forma é pensar nas necessidades da empresa:

• Identificar todos os processos.
• Avaliar os impactos no negócio.
• Identificar riscos e definir cenários possíveis de falha.
• Identificar medidas para cada falha.

Identificar Vulnerabilidade

Antes de montar um plano de contingência, devem ser verificados os pontos vulneráveis da empresa. Portanto, devemos nos perguntar: Onde eu sou vulnerável?

Identificar Ameaças

É conhecer quem é o inimigo de um setor ou organização.

Ameaças podem ser classificadas como internas ou externas. Ameaças externas podem ser consideradas as mais fáceis de evitar. O problema maior é tratar as ameaças internas, a exemplo de funcionários descontentes ou funcionários sem treinamento e conscientização dos perigos.

Treinamento

Aplicado aos funcionários, é fundamental, tanto para aumentar a autoestima do funcionário quanto para torná-lo capaz de desempenhar novas tarefas ou melhorar o desempenho das funções atuais.

Teste e Homologação

Afinal, como será possível saber se o plano realmente funciona? Através de testes, ou esperar até acontecer algum problema e testá-lo na prática, o que nem sempre pode ser a melhor saída.

Manutenção

Aplicada a equipamentos e regras, nesta categoria é possível notar a importância da manutenção de um plano de contingência. A nível de equipamentos e sistemas, deve-se destacar que manutenções preventivas são um fator fundamental para evitar problemas maiores.

Aula 7: SQL Injection em Ambientes Web

A segurança é um aspecto que muitas vezes é deixado de lado em detrimento de outros, tornando, na maioria das vezes, um site vulnerável a SQL Injection.

SQL Injection é um tipo de ataque muito simples, que se baseia na execução de comandos SQL, sejam comandos de manipulação de dados ou comandos de definição de dados.