2010 tecnologias para prevenção de crimes digitais
Upcoming SlideShare
Loading in...5
×
 

2010 tecnologias para prevenção de crimes digitais

on

  • 2,412 views

Prevenção de Crimes Digitais: Conceitos & Aplicações

Prevenção de Crimes Digitais: Conceitos & Aplicações

Statistics

Views

Total Views
2,412
Views on SlideShare
2,408
Embed Views
4

Actions

Likes
0
Downloads
19
Comments
0

1 Embed 4

http://www.linkedin.com 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

2010 tecnologias para prevenção de crimes digitais 2010 tecnologias para prevenção de crimes digitais Presentation Transcript

  • 2010 | 11 Pedro Siena Neto
  •  Aula 1 | Segurança da Informação Aula 2 | Técnicas de Prevenção Aula 3 | Tecnologias | Auditoria
  • 2010 | 11 Pedro Siena Neto View slide
  • Crime Acepções ■ substantivo masculino 1 Rubrica: termo jurídico. transgressão imputável da lei penal por dolo ou culpa, ação ou omissão; delito 2 Rubrica: termo jurídico. conforme o conceito analítico, ação típica e antijurídica, culpável e punível 3 Rubrica: termo jurídico. conforme o conceito material, ato que viola ou ofende um bem juridicamente tutelado 4 Derivação: por extensão de sentido. ação condenável, temida por suas conseqüências sociais desastrosas ou desagradáveis Ex.: desmatar é sempre um c. 5 Derivação: por extensão de sentido. qualquer ação, individual ou coletiva, ética e socialmente condenável Ex.: jogar comida fora é um verdadeiro c. 6 Derivação: por extensão de sentido. qualquer transgressão moral ou ética, socialmente rejeitada, cometida por uma ou mais pessoas View slide
  •  DADO: fatos em forma primária  Ex: nome, saldo bancário, ... INFORMAÇÃO: estruturas significantes com a intenção de gerar conhecimento no indivíduo e seu espaço  Ex: João tem R$ 10 de saldo em sua conta; portanto pode sacar este dinheiro.
  • The CIA Triad
  •  Confidencialidade  Acesso somente por pessoas autorizadas Integridade  Manter características do manipulador Disponibilidade  Sempre disponível para o uso legítimo Autenticidade  Garante que os dados não são falsos
  •  Os computadores atuais nasceram durante a Segunda Guerra Mundial. A partir de uma parceria entre a Marinha Americana e a Universidade de Harvard, foi criado o Harvard Mark 1. Em 1984, foi lançado o Macintosh que foi o primeiro produto de sucesso a usar uma interface gráfica. Foi na década de 80 que ocorreu a transição da citada ARPANET para o que atualmente se denomina Internet. Em 1969, foi criada, nos Estados Unidos, a ARPANET que tinha como objetivo conectar as bases militares e os departamentos de pesquisa do governo americano.
  •  A Internet que conhecemos hoje surgiu em 1990 na Organização Européia para Investigação Nuclear (CERN). Numa primeira fase, permitia apenas aos cientistas trocar dados. E finalmente, em 1991, a Web foi disponibilizada mundialmente. A Internet é uma rede de redes em escala mundial de milhões de computadores que permite o acesso a informações e todo tipo de transferência de dados.
  •  Atualmente estamos na quinta geração de computadores que tem como principal novidade a disseminação da Internet. Atualmente é possível acessar a Internet por microcomputadores (incluindo notebooks, netbooks, tablets e smartphones), celulares, vídeo games e até geladeiras. A conexão com a internet pode ser feita por linhas telefônicas fixas e móveis, por cabo, por satélite, por rádio e infra-vermelho.
  •  Os computadores tornaram-se indispensáveis e hoje são utilizados nos mais diferentes lugares para desenvolver inúmeras atividades. As novas tecnologias da informação, especialmente a Internet, impulsionaram e continuam impulsionando o processo de globalização econômica e cultural. A internet faz parte da vida do homem moderno, atualmente é impossível ter um computador sem conectá- lo a grande rede mundial.
  •  A internet tornou-se um dos maiores meios de divulgação e fonte de pesquisas, saciando a necessidade do homem pela busca de informações. Através da internet trocamos, transmitimos, recebemos e adquirimos informações e dados o tempo todo. Neste mundo contemporâneo, globalizado, interligado, pós-moderno e informatizado, surgiu uma nova forma de criminalidade, que convencionamos chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço.
  •  CRIMES DE INFORMÁTICA PRÓPRIOS: são crimes que só podem ser praticados através dos meios informáticos, não tendo outros meios possíveis. CRIMES DE INFORMÁTICA IMPRÓPRIOS: são crimes que podem ser praticados de qualquer forma, os computadores são apenas mais um meio para a execução destes crimes.
  • SUJEITO ATIVO Qualquer pessoa nos dias de hoje pode ser um sujeito ativo dos crimes praticados através da internet. A constatação da identidade não é feita visualmente. Quando se está conectado á internet são necessários apenas alguns elementos identificadores como: endereço da máquina que envia as informações, endereço da máquina que recebe as informações, login e senha. Dessa forma, o sujeito ativo do crime consegue camuflar seus dados reais e utilizar dados inverídicos.
  •  Dessa forma, o sujeito ativo do crime consegue camuflar seus dados reais e utilizar dados inverídicos. Geralmente, o agente envia um spam contendo um programa espião e a vítima ao recebê-lo executa-o, instalando o mesmo em seu computador. A partir desse momento, o criminoso tem acesso a dados sigilosos que permitirão a prática de vários delitos utilizando a identidade de sujeito passivo.
  • Segundo Luis Eduardo Nogueira Guimarães: “O perfil docriminoso, baseado em pesquisa empírica, indica jovens,inteligentes, educados, com idade entre 16 e 32 anos, dosexo masculino, magros, caucasianos, audaciosos eaventureiros, com inteligência bem acima da média emovidos pelo desafio de superação do conhecimento, alémdo sentimento de anonimato, que bloqueia seus parâmetrosde entendimento para avaliar sua conduta como ilegal,sempre alegando ignorância do crime e, simplesmente, ‘umabrincadeira’. E mais, preferem ficção cientifica, música,xadrez, jogos de guerra e não gostam de esportes sendo quesuas condutas geralmente passam por três estágios: odesafio, o dinheiro extra, e, por fim, os altos gastos ecomercio ilegal.”
  •  Antigamente a maioria dos crimes era praticada por profissionais da área de informática, principalmente programadores, vendo que na década de 70, o uso do computador era mais restrito e seu manuseio exigia um maior nível de conhecimento em informática. Já na década atual, o perfil do sujeito ativo está mais variado, pois hoje o acesso ao computador é mais fácil do que três décadas atrás.
  •  Os criminosos eletrônicos são classificados e doutrinados de acordo com o tipo de comportamento adotado e de acordo com o tipo de ações praticadas contra os sistemas de informação. Dessa forma, a classificação mais comum os divide em hackers e crackers. HACKERS: são, em geral, invasores de sistemas, que atuam por espírito de competição, desafiando seus próprios conhecimentos técnicos e segurança de sistemas informatizados de grandes companhias e organizações governamentais. CRACKERS: são aqueles que rompem a segurança de um sistema em busca de informações confidenciais com o objetivo de causar dano ou obter vantagens pessoais.
  •  Os verdadeiros criminosos são os crackers, também conhecidos como “hackers do mal”, pois invadem sistemas, roubam arquivos, destroem discos rígidos, espalham vírus, fazem espionagem industrial de lavagem de dinheiro sujo internacional, etc. Há ainda os “ciberpunks”, que desenvolvem vírus de computador perigosos com a finalidade de sabotar redes de computadores e em alguns casos propiciar a chamada DoS – Denial of Service, com a queda de sistemas de grandes provedores, impossibilitando o acesso de usuários ou causando prejuízos econômicos.
  • Real Virtual•é • pode ser• difícil de mudar • fácil de mudar• tempo linear • tempo não linear• leis consolidadas • leis não consolidadas• intuitiva • não intuitiva• todos tem • nem todos tem• vínculos persistentes • vínculos voláteis• forte compromisso • fraco compromisso• autoral • anônima• única • pode ser várias
  •  CRIMES CONTRA A HONRA: São os crimes de calúnia, difamação e injúria. Os criminosos são incentivados pelo anonimato e os crimes podem ocorrer em chats, blogs, pelo envio de spams, através de publicações em homepages, dentre outros meios de postagem eletrônica. Estes crimes devem contar com a agravante, pela facilidade de divulgação proporcionada pela Internet. CRIMES CONTRA A LIBERDADE INDIVIDUAL: São os crimes de ameaça, inviolabilidade de correspondência, divulgação de segredos, divulgação de segredos contidos ou não em sistemas de informação ou bancos de dados da Administração Pública.
  •  CRIMES CONTRA O PATRIMÔNIO: Compreende os crimes de furto, extorsão, dano e estelionato. CRIMES CONTRA OS COSTUMES: São os crimes de favorecimento à prostituição, de escrito ou objeto obsceno e a pedofilia. É muito comum encontrar páginas (sites) de pornografia e de prostituição, aliás, é muito difícil fazer uma pesquisa em um site de busca, sobre qualquer tema, em que não apareça pelo menos um resultado indicando um link sobre pornografia.
  •  Além dos crimes citados, também podem ocorrer na Internet crimes de lavagem de dinheiro e invasões de privacidade, pixações em sites oficiais do governo, vandalismo, sabotagem, crimes contra a paz pública, a pirataria em geral, espionagem, lesões a direitos humanos (terrorismo, crimes de ódio, racismo, etc), destruição de informações, jogos ilegais, falsificação do selo ou sinal público, falsidade ideológica, modificação ou alteração não autorizada de sistema de informação, violação de sigilo funcional, fraude em concorrência pública, dentre inúmeros outros.
  • Fluxo NormalF D
  • SigiloF D I Interceptação Minha comunicação é confidencial?
  • IntegridadeF D M Modificação Minha comunicação foi alterada?
  • AutenticaçãoF D M Mascaramento Com quem eu estou tratando?
  • Não-repúdio ? F D Não Alegações NãoEnviei! Recebi! Quem enviou? Quem recebeu? Quando isto ocorreu?
  • DisponibilidadeF D A Ataque Poderei me comunicar sempre que precisar?
  •  Automação dos ataques  Grandes quantidades de dados podem ser rapidamente coletados, usados e abusados Ação à distância  Dificulta a investigação, perseguição e punição  O atacante não precisa estar próximo da sua presa Propagação da técnica  Somente o primeiro atacante precisa ser habilidoso  Os criminosos não precisam de habilidade para terem sucesso
  • 2010 | 11 Pedro Siena Neto
  •  Segurança de um modelo distribuído  Processos  Canais de comunicação  Objetos Protegendo os objetos  Perfis de acesso: quem está habilitado para executar operações em um objeto  Principal: a autoridade que tem algum tipo de acesso ao objeto
  • Perfis de Acesso Objeto solicitaçãoCliente resultado ServidorPrincipal Rede Principal(usuário) (sevidor)
  •  Ameaças aos principais  Servidores: solicitar com uma identidade falsa  Clientes: receber resultado falso Ameaças aos canais de comunicação  Copiar, alterar ou injetar mensagens  Salvar e retransmitir mensagens
  •  Denial of Service (Negação de Serviço)  Solicitação excessiva e sem propósito aos serviços de rede resultando numa sobrecarga dos recursos físicos (banda de rede, capacidade de processamento do servidor, …) Código acoplado  Programa acoplado malicioso (cavalo de tróia)
  •  Criptografia e Segredo Compartilhado  Identificar um ao outro pelo segredo compartilhado apenas pelas próprias partes  Criptografia é a base Autenticação  Provar a identidade fornecida pelos solicitantes
  • "Cripto" vem do grego kryptós e significaoculto, envolto, escondido. Também dogrego, graphos significa escrever, logossignifica estudo, ciência e analysis significadecomposição. Daí, CRIPTOLOGIA é o estudoda escrita cifrada e se ocupa com aCRIPTOGRAFIA, a escrita secreta, e aCRIPTOANÁLISE, a quebra do segredo.
  • Esteganografia vem do grego "escritaescondida“ e é o estudo das técnicas deocultação de mensagens dentro de outras.Diferente da Criptografia, que a altera deforma a tornar seu significado originalininteligível.Enquanto a esteganografia oculta aexistência da mensagem, a criptografiaoculta o significado da mensagem. Muitasvezes, as duas são utilizadas em conjunto.
  • Criptologia Criptografia Criptoanalise Chave Chave AssimétricaSimétrica (Pública)
  •  Confidencialidade: só o destinatário autorizado será capaz de extrair o conteúdo da mensagem da sua forma cifrada. Integridade: o destinatário deve ser capaz de determinar se a mensagem foi alterada durante a transmissão. Autenticação do remetente: o destinatário deve ser capaz de identificar o remetente e verificar que foi mesmo este quem enviou a mensagem. Não-repúdio do emissor: não deverá ser possível ao emissor negar a autoria da mensagem enviada.
  •  Nem todos os sistemas ou algoritmos criptográficos são utilizados para atingir todos os objetivos listados. Existem algoritmos específicos para cada função. Mesmo em sistemas criptográficos bem concebidos, bem implementados e usados adequadamente, alguns dos objetivos acima não são práticos (ou mesmo desejáveis) em algumas circunstâncias.
  • ClássicaModernaQuântica
  •  ± 1900 aC A história acontece numa vila egípcia perto do rio Nilo chamada Menet Khufu. No túmulo de Khnumhotep II, homem de grande importância, alguns hieróglifos foram substituídos por outros ... ± 1500 a.C. A criptografia da Mesopotâmia ultrapassou a egípcia, chegando a um nível mais avançado. O primeiro registro do uso da criptografia nesta região está numa fórmula para fazer esmaltes para cerâmica.
  •  ± 1500 aC Nesta época, mercadores assírios usavam "intaglios", que são peças planas de pedra com inscrições de símbolos que os identificavam. Esta também foi a época em que culturas como a do Egito, China, Índia e da Mesopotâmia desenvolveram a esteganografia.
  •  Tatuagens com mensagens na cabeça de escravos. Infelizmente era preciso esperar o cabelo crescer para esconder a mensagem. A decifração era feita no barbeiro... Marcas na parte interna de caixas de madeira usadas para transportar cera. As marcas eram escondidas com cera nova. Para decifrar, bastava derreter a cera. Mensagens colocadas dentro do estômago de animais... e também de humanos.
  •  600 a 500 a.C. Escribas hebreus, escrevendo o Livro de Jeremias, usaram a cifra de substituição simples pelo alfabeto reverso conhecida como ATBASH. As cifras mais conhecidas da época são o ATBASH, o ALBAM e o ATBAH, as chamadas cifras hebraicas.
  •  600 a 500 a.C. O scytalae espartano ou bastão de Licurgo era um bastão de madeira ao redor do qual se enrolava firmemente uma tira de couro ou pergaminho, longa e estreita. Escrevia-se a mensagem no sentido do comprimento do bastão e, depois, desenrolava-se a tira com as letras embaralhadas.
  •  século 400 a.C. Textos gregos antigos, de Enéas, o Tático, descrevem vários métodos de ocultar mensagens. Este cientista militar e criptógrafo inventou um telégrafo hidro-ótico, um sistema de comunicação à distância. ± 300 a.C. Artha-sastra, um livro atribuído a Kautilya, foi escrito na Índia. Cita diversas cifras criptográficas e recomenda uma variedade de métodos de criptoanálise para obter relatórios de espionagem.
  •  ± 300 a.C. Euclides de Alexandria, matemático grego que viveu aproximadamente de 330 a.C. a 270 a.C., compilou e sistematizou o que havia na época sobre geometria e teoria dos números. Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C. Conhecido como criador de um método para identificar números primos, chamado de crivo de Erastótenes.
  •  ± 200 a.C. Políbio, um historiador grego nascido em Megalópolis e que viveu de 204 a.C. a 122 a.C., escreveu vários livros sobre o Império Romano. Descreveu também uma cifra de substituição que converte os caracteres da mensagem clara em cifras que, apesar de não ser da sua autoria, ficou conhecida como Código de Políbio.
  •  ± 130 a.C. Em Uruk, na região do atual Iraque, era comum os escribas transformarem seus nomes em números dentro do emblema que identificava seus trabalhos. A prática, provavelmente, era apenas para divertir os leitores e não estava relacionada à segurança.
  •  50 a.C. O imperador romano Júlio César usou uma cifra de substituição para aumentar a segurança de mensagens governamentais. César alterou as letras desviando-as em três posições - A se tornava D, B se tornava E, etc. Às vezes, César reforçava sua cifragem substituindo letras latinas por letras gregas. O Código de César é o único da Antiguidade que continua sendo usado até hoje. Atualmente denomina-se qualquer cifra baseada na substituição cíclica do alfabeto de Código de César.
  •  79 d.C. A fórmula Sator ou quadrado latino é encontrado em escavações feitas em Pompéia, inscrito numa coluna. Ocorre também num amuleto de bronze, originário da Ásia Menor, datado do século V. As palavras rotas arepo tenet opera sator parecem ter o efeito mágico de nunca desaparecem... persistem até hoje como um enigma de transposição.
  • A criptografia clássica, ou pré-computacional, era formada por um conjunto de métodos de substituição e transposição de caracteres de uma mensagem que pudessem ser executados manualmente (ou até mesmo mentalmente) pelo emissor e pelo destinatário da mensagem..
  • Enigma é o nome por que é conhecida uma máquina eletro-mecânica de criptografia com rotores, utilizada tanto para acriptografar como para a descriptografar mensagenssecretas, usada em várias formas na Europa a partir dos anos1920. A sua fama vem de ter sido adaptada pela maior partedas forças militares alemãs a partir de cerca de 1930. Ocódigo foi, no entanto, decifrado, e a informação contida nasmensagens que ele não protegeu égeralmente tida como responsávelpelo fim da Segunda Guerra Mundialpelo menos um ano antes do que seriade prever.
  • A era da criptografia moderna começa realmente comClaude Shannon, possivelmente o pai da criptografiamatemática. Em 1949 ele publicou um artigoCommunication Theory of Secrecy Systems com WarrenWeaver. Este artigo, junto com outros de seus trabalhos quecriaram a área de Teoria da Informação estabeleceu umabase teórica sólida para a criptografia e para a criptoanálise.Depois disso, quase todo o trabalho realizado emcriptografia se tornou secreto, realizado em organizaçõesgovernamentais especializadas (como o NSA nos EstadosUnidos). Apenas em meados de 1970 as coisas começaram amudar.
  • A era da criptografia moderna começa realmente comClaude Shannon, possivelmente o pai da criptografiamatemática. Em 1949 ele publicou um artigoCommunication Theory of Secrecy Systems com WarrenWeaver. Este artigo, junto com outros de seus trabalhos quecriaram a área de Teoria da Informação estabeleceu umabase teórica sólida para a criptografia e para a criptoanálise.Depois disso, quase todo o trabalho realizado emcriptografia se tornou secreto, realizado em organizaçõesgovernamentais especializadas (como o NSA nos EstadosUnidos). Apenas em meados de 1970 as coisas começaram amudar.
  • Em 1976 aconteceram dois grandes marcos da criptografiapara o público. O primeiro foi a publicação, pelo governoamericano, do DES (Data Encryption Standard), umalgoritmo aberto de criptografia simétrica, selecionado pelaNIST em um concurso onde foi escolhido uma variante doalgoritmo Lucifer, proposto pela IBM. O DES foi o primeiroalgoritmo de criptografia disponibilizado abertamente aomercado.
  • Os algoritmos de chave-simétrica (também chamados deSistemas de Chaves Simétricas, criptografia de chave única,ou criptografia de chave secreta) são uma classe dealgoritmos para a criptografia, que usam chavescriptográficas relacionadas para a decifragem e a cifragem. Achave de criptografia é relacionada insignificativamente àchave de decifração, que pode ser idêntica ou ter umasimples transformação entre as duas chaves. As chaves, naprática, representam um segredo, compartilhado entre duasou mais partes, que podem ser usadas para manter um canalconfidencial de informação. Usa-se uma única chave,compartilhada por ambos os interlocutores, na premissa deque esta é conhecida apenas por eles.
  • Ana BobTexto P Texto c P TextoAberto Cifragem Cifrado Decifragem Aberto K Canal seguro Uso de uma única chave: Chave Cifragem K DecifragemAlgoritmos: Algoritmos rápidos DES, AES, RC4, IDEA, etc. Chaves Curtas
  • A criptografia de chave pública ou criptografia assimétrica éum método de criptografia que utiliza um par de chaves:uma chave pública e uma chave privada. A chave pública édistribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve serconhecida apenas pelo seu dono.Num algoritmo de criptografia assimétrica, uma mensagemcifrada (encriptada é um termo incorreto) com a chavepública pode somente ser decifrada pela sua chave privadacorrespondente.
  • Os algoritmos de chave pública podem ser utilizados paraautenticidade e confidencialidade. Para confidencialidade, achave pública é usada para cifrar mensagens, com issoapenas o dono da chave privada pode decifrá-la. Paraautenticidade, a chave privada é usada para cifrarmensagens, com isso garante-se que apenas o dono dachave privada poderia ter cifrado a mensagem que foidecifrada com a chave pública.
  • Ana BobTexto P Texto c P TextoAberto Cifragem Cifrado Decifragem Aberto Chave Pública KUB Chave Privada KRB de Bob de Bob Par de Chaves SigiloAlgoritmos: através de criptografia por chaves RSA, El Gamal públicas Uso de duas chaves distintas:Algoritmos lentos Uma para cifragemChaves longas Outra para decifragem
  • Ana BobTexto P Texto c P TextoAberto Cifragem Cifrado Decifragem Aberto Chave Privada KRA Chave Pública KUA de Ana de Ana Par de Chaves Assinatura digital através de criptografia por chaves públicas•Algoritmos: RSA, DSS
  • Ana Bob C1 C2 C2 C1 P P TextoTexto Texto Cifragem Cifragem Decifragem Decifragem AbertoAberto Cifrado Chave Chave Pública KUB KRB Privada de Bob de Bob Par de Chave Chaves Privada Chave KRA KUA Pública de Ana de Ana Par de Chaves Sigilo e Assinatura Digital através de criptografia por chaves públicas
  • ICP é o acrônimo de Infraestrutura de Chaves Públicas. UmaInfraestrutura de Chaves Públicas é um órgão ou iniciativapública ou privada que tem como objetivo manter umaestrutura de emissão de chaves públicas, baseando-se noprincípio da terceira parte confiável, oferecendo umamediação de credibilidade e confiança em transações entrepartes que utilizam certificados digitais. A principal funçãodo ICP é definir um conjunto de técnicas, práticas eprocedimentos a serem adotados pelas entidades a fim deestabelecer um sistema de certificação digital baseado emchave pública.
  • A infra-estrutura de chaves públicas do Brasil, definida pelaMedida Provisória Nº 2.200-2, de 24 de Agosto de 2001, édenominada Infra-Estrutura de Chaves Públicas Brasileira, ouICP-Brasil.
  • Em criptografia, a assinatura digital é um método deautenticação de informação digital tipicamente tratadacomo análoga à assinatura física em papel. Embora existamanalogias, existem diferenças importantes. O termoassinatura eletrônica, por vezes confundido, tem umsignificado diferente: refere-se a qualquer mecanismo, nãonecessariamente criptográfico, para identificar o remetentede uma mensagem eletrônica.
  • A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades: autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor; integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento; não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem. Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.
  • Um certificado digital é um arquivo de computador quecontém um conjunto de informações referentes a entidadepara o qual o certificado foi emitido (seja uma empresa,pessoa física ou computador) mais a chave pública referentea chave privada que acredita-se ser de posse unicamente daentidade especificada no certificado.
  • Um exemplo de uso de certificados digitais vem dos bancos.Quando uma pessoa acessa sua conta corrente pela internet,certificados digitais são usados para garantir ao cliente queele está realizando operações financeiras com o seu banco.Se o usuário clicar no ícone correspondente no navegador deinternet, poderá obter mais detalhes do certificado. Sealgum problema ocorrer com o certificado - prazo devalidade vencido, por exemplo, o navegador alertará ousuário.É importante frisar que a transmissão de certificados digitaisdeve ser feita através de conexões seguras, como as queusam o protocolo Secure Socket Layer (SSL), que é própriopara o envio de informações criptografadas.
  • Para que possa ser aceito e utilizado por pessoas, empresas egovernos, os certificados digitais precisam ser emitidos porentidades apropriadas. Sendo assim, o primeiro passo éprocurar uma Autoridade Certificadora (AC) ou umaAutoridade de Registro (AR) para obter um certificadodigital.
  • Uma AC tem a função de associar uma identidade a umachave e "inserir" esses dados em um certificado digital. Paratanto, o solicitante deve fornecer documentos quecomprovem sua identificação. Já uma AR tem uma funçãointermediária, ela pode solicitar certificados digitais a umaAC, mas não pode emitir esse documento diretamente.
  • É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas (ICP) ou, em inglês, Public KeyInfrastructure (PKI), isto é, um conjunto de políticas, técnicase procedimentos para que a certificação digital tenhaamparo legal e forneça benefícios reais à sua população. OBrasil conta com a ICP-Brasil para essa finalidade.
  • A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz,isto é, a instituição que gera as chaves das ACs e queregulamenta as atividades de cada uma, é o InstitutoNacional de Tecnologia da Informação (ITI).
  • A ICP-Brasil oferece duas categorias de certificados digitais:A e S, sendo que cada uma se divide em quatro tipos: A1, A2,A3 e A4; S1, S2, S3 e S4.A categoria A é direcionada para fins de identificação eautenticação, enquanto que o tipo S é direcionado aatividades sigilosas.
  • A1 e S1: geração das chaves é feita por software; chaves detamanho mínimo de 1024 bits; armazenamento emdispositivo de armazenamento (como um HD); validademáxima de um ano;A2 e S2: geração das chaves é feita por software; chaves detamanho mínimo de 1024 bits; armazenamento em cartãointeligente (com chip) ou token (dispositivo semelhante a umpendrive); validade máxima de dois anos;
  • A3 e S3: geração das chaves é feita por hardware; chaves detamanho mínimo de 1024 bits; armazenamento em cartãointeligente ou token; validade máxima de três anos;A4 e S4: geração das chaves é feita por hardware; chaves detamanho mínimo de 2048 bits; armazenamento em cartãointeligente ou token; validade máxima de três anos.Os certificados A1 e A3 são os mais utilizados, sendo que oprimeiro é geralmente armazenado no computador dosolicitante, enquanto que o segundo é guardado em cartõesinteligentes (smartcards) ou tokens protegidos por senha.
  • e-CPF e e-CNPJ Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física), enquanto que o segundo é um certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).
  • A utilização do Certificado Digital para servidor web emconjunto com a tecnologia SSL (Secure Socket Layer),também conhecida como TLS (Transport Layer Security),possibilita criptografar e proteger as informaçõestransmitidas pela Internet, garantindo uma conexão seguraentre o navegador do usuário e o servidor web.
  •  Utiliza criptografia simétrica Fornece sigilo e integridade dos dados Modo transporte é mais eficiente Modo túnel produz uma Rede Virtual Privada (VPN)
  • O desenvolvimento da técnica reunindo o conceito decriptografia e a teoria quântica é mais antigo do que seimagina, sendo anterior à descoberta da criptografia deChave Pública. Stephen Wiesner escreveu um artigo porvolta de 1970 com o título: "Conjugate Coding" quepermaneceu sem ser publicado até o ano de 1983. Em seuartigo, Wiesner explicava como a teoria quântica poderia serusada para unir duas mensagens em uma única transmissãoquântica na qual o receptor poderia decodificar cada umadas mensagens porém nunca as duas simultaneamentedevido à impossibilidade de violar uma lei da natureza (oPrincípio de Incerteza de Heisenberg).
  • Utilizando-se fótons, a Criptografia Quântica permite queduas pessoas escolham uma chave secreta que não pode serquebrada por qualquer algoritmo, em virtude de não sergerada matematicamente, mesmo se utilizando um canalpúblico e inseguro. É interessante notar a mudança que seprocessará nos métodos criptográficos que, atualmente,estão amparados na Matemática mas, com a introduçãodesse conceito de mensagens criptografadas por chavesquânticas passam a ter na Física sua referência.
  • 2010 | 11 Pedro Siena Neto
  • FísicaLógica
  •  Catástrofes (incêndio, enchentes, etc) Roubos de equipamentos Falta de energia Redundância (pane de equipamentos, quebra de fibra ótica, etc) Acesso indevido
  •  Controle de acesso Temperatura e clima Energia Detecção e combate a catástrofes Monitoramento
  •  Ataques (hackers, crackers, etc) Códigos maliciosos Captura e/ou quebra de senhas Perda ou corrupção dos dados
  •  Políticas de segurança e privacidade Firewall IPS (sistemas de prevenção de intrusos) IDS (sistemas de detecção de intrusos) Criptografia Certificação Assinatura digital
  •  Backup Alta disponibilidade Redundância Antivírus Antispam Segurança em redes sem fio Filtro de conteúdo
  •  Controle de MAC Address  Acesso autenticado  VPN  Regras de acesso# regra origem destino protocolo porta de porta de ação origem destino#1 qualquer interno TCP qualquer 23 bloqueia#2 IP x.x.x.x interno TCP qualquer 23 permite#3 Interna qualquer TCP qualquer 21 Permite#4 qualquer interna TCP qualquer 21 bloqueia
  •  WEP  autenticação fraca  senhas estáticas  pouco escalável WPA  Encriptação forte (PSK/TKIP)  Autenticação forte (EAP-FAST, EAP-FAST, PEAP) WPA2  Encriptação mais forte (AES de até 256bits)
  •  Espelhamento de disco  RAID Cluster de alta disponibilidade
  •  Freqüência  Ex: Diário, Semanal, Mensal, Anual Retenção  Ex: 7 dias, 4 semanas, 12 meses, 10 anos
  •  CD/DVD  SSD (Pen-drive)  2 a 5 anos  0,1 a 1 milhão de ciclos Fita Magnética  Ou até receber uma  5 anos voltagem errada Microfilmagem  Disco rígido  10 anos  5 a 10 anos
  •  Cartão de proximidade Token Chaves físicas
  •  Reativa  Resposta a incidentes  Investigação  Aplicação de sanções Pró-ativa  Planejamento  Normalização  Infraestrutura segura  Educação, treinamento  Auditoria
  • De acordo com as estatísticas do relatório de01/2006 do Federal Trade Commission, asorganizações receberam mais de 685,000reclamações de fraude de consumidores noúltimo ano, sendo que 37% representamcasos de roubo de identidade.Estima-se que o número verdadeiro de casos sejamuito maior; fightidentitytheft.com estima que 10milhões de americanos já foram vitimados,a um custo total de 50 bilhões de dolares.
  •  Compre apenas em “sites” seguros  Some people think buying things online puts them at inordinate risk of identity theft—yet those same people think nothing of allowing a waiter or retail store clerk to whisk their credit card away to some back office where they could easily record the numbers and information or even make a "white card" copy of its magnetic strip. The key to safe online financial transactions is to shop only at reputable Web sites and to be sure transactions are secured with SSL encryption (which you can recognize by the little "locked" icon at the bottom of most Web browsers).  One caveat, though: You want to deal with sites that use encryption so someone can’t steal your payment information as it passes across the Internet—but scam sites can encrypt their transactions too. So we’re back to the basic: Buying from Amazon.com or the Microsoft Web site is safer than ordering from Joe’s Homepage (unless you know who Joe is and that he can be trusted).
  •  Proteja sua informação pessoal  Online or off, it’s not just your credit card numbers that you need to guard diligently. In some cases, just a name is enough for an ID thief to gather much more information about you. If you have a name that’s common, like John Smith, it won’t be so easy, but if your name is unusual, so that you’re the only one with that name in your particular city or region, an ID thief may be able to find out your address, phone number, and date of birth through an online “people search” service, such as Zabasearch. Then with that information, if you own your home and live in a county that puts its property records on the Web, the thief can go to that site and find out how much your home is worth, getting a good idea of whether you’re a good target. Some tax districts even include a photo of your home, which may show your car sitting in the driveway with license plate number displayed. Be aware of your online presence and opt out of as many directories and databases as possible.
  •  Proteja PINs e senhas  Make sure you have strong passwords for your online banking services, electronic bill-paying, and other financial accounts. Don’t use easily discovered passwords such as your mother’s maiden name, your social security number, or your birth date. A good password is long (at least eight characters; 14 is better) and complex, containing a mixture of upper- and lowercase alphabetic characters, numeric digits, and symbols and not containing any words found in the dictionary. PINs are often limited to four numeric digits. If you have a choice in creating the PIN, make sure the numbers are random and not easy to guess (for example, don’t use your street number or the last four digits of your SSN).  It goes without saying that you shouldn’t write down your passwords and PINs, and you should never share them with anyone else. If it’s absolutely necessary to do so (for example, in an emergency situation where you need a friend to withdraw money from an ATM with your card), change the password or PIN immediately afterward.
  •  Proteja dados sensíveis no seu computador  If you have any personal or financial information stored on your computer, use Windows EFS or a third-party encryption program to protect it. Update your virus software regularly and use a firewall to prevent intrusions. Keep your operating system and applications updated, especially with critical security patches. Use an anti-spyware program. Don’t use file-sharing programs or visit Web sites that are more likely to contain dangerous code, such as hacker sites, porn sites or warez (pirated software) sites. Don’t open attachments from people you don’t trust and don’t click on links in strangers’ e-mail messages.  Don’t put sensitive information on laptops, handheld computers, or other portable devices unless absolutely necessary. If you need to access such data while on the go, store it on a flash drive or memory card and carry the storage device separately from the computer. Don’t set your computer up to log automatically, especially portable computers.  If you sell or give away an old computer, first use an overwriting program to get rid of the information on the drive (just deleting or even formatting is not enough), or even better, remove and destroy the hard disk and let the new owner install another one.
  •  Use uma identidade alternativa para surfar na Web  Many savvy Internet users have learned that it’s smart to have multiple e-mail addresses and to use an alternate (for example, an account with a Web mail service such as Hotmail, Yahoo, or Gmail) when you need to enter information to access a site. If you’re just casually surfing and not conducting business, there’s no reason to give any site your real e-mail address or even your real name, address, and other personal information.  Some sites require you to register (at no charge) to access or post to the site. And some of these sites sell the lists of registered users for marketing purposes. An identity thief can easily pose as an advertiser and buy the same list. Having several alternate identities can help you track down what sites are selling your info. For example, Jeff might use the name Jeff Johns when he registers on a site called John’s Fishing Gear, and the name Jeff Booker when he registers on a site called the Big Book Place, and use e-mail addresses associated with those names (jjohns@gmail.com and jbooker@hotmail.com, for example). Now when he starts getting tons of spam addressed to his jbooker account, he knows the Big Book Place is the one who sold his info.
  •  Aprenda a reconhecer “phishing scams”  Phishing e-mails are a particularly insidious form of spam. It’s annoying enough to have your mailbox fill up with junk mail from legitimate companies, but phishers aren’t really selling anything; they’re just “phishing” for your credit or debit card information or bank account numbers, or other personal information they can use.  Examples of phishing messages include those purporting to be from your bank or credit card company or a legitimate site with which you do business, such as eBay, notifying you that you must click a link to update your account information. Many even claim they’re asking you to do this to prevent your account from being closed or used fraudulently.  Phishing messages can often be detected by the fact that links go to a different URL from the one that appears in the message. For example, if you hover over “www.ebay.com” in the message, you might see that the hyperlink actually takes you to www.scammersite.com/ebay. A good rule of thumb is to never respond to any e-mail message asking you to return personal information. Instead, call or write directly to the company that the message purports to be from.
  •  Use dinheiro  There are lots of ways to pay for your purchases these days, but some are safer than others. When it comes to protecting your identity, good old-fashioned cash is still king. Unfortunately, there’s no way yet to insert a twenty dollar bill into a slot in your computer to make a purchase.  Often, you have the choice to pay for online purchases by credit card, debit card, electronic check, or direct bank account withdrawal. All of these require you to submit precious information that an ID thief would love to get hold of. None of these types of information is more or less likely to be stolen, but there are a couple of advantages to paying by credit card. First, many sites require that when you pay by credit card, you enter the security code (the three-digit number on the back of your card). This adds a layer of protection, since a fraudster who obtained your credit card number from a receipt or other source would not know this number.  More important, if you do become a victim of credit card fraud, the law limits your liability to $50. You dont have this protection with debit cards—they work like paying cash, in that once the money’s gone, it’s gone.  Checks also contain a huge amount of information for scammers: your name, address, and phone number, and many people have their driver’s license number printed on the check. And of course your bank account number, the bank’s routing numbers, etc., are also printed on the check. A clever scammer can create new checks on your account and forge your signature or use direct withdrawal to take money from your account.
  •  Saia de listas de marketing  Keeping “preapproved” credit offers out of the hands of identity thieves by using safe mail management practices is good; stopping them from being sent to you altogether is even better. (After all, even if you use a PO box or locked mailbox, it’s possible for a dishonest postal employee to intercept them.) You can contact the three major credit reporting bureaus (Experian, Equifax, and Tran ) individually to have your name removed from their marketing lists. Or call 888-5OPTOUT (888-567-8688). This won’t stop all the offers, but it will reduce the number.
  •  Verifique seu extrato de cartão de crédito  Identity theft can go undetected for a long time. Someone’s out there, using your name and social security number to open credit accounts or apply for loans, but because he or she is diverting correspondence to a different address, you may not know until the collection agencies start hunting you down. By that time, thousands of dollars of charges may have accumulated. One way to keep an eye on what’s going on with your account is to check your credit report regularly.  New federal laws require that the credit bureaus provide you with one free credit report each year. You can space them out, getting one from Experian in the spring, one from Trans Union in the summer, and one from Equifax in the fall, for example, to better monitor your credit activity without paying extra. Look for inquiries or new accounts you didn’t authorize. The sooner you find out you’re an ID theft victim, the easier it will be to repair the damage. You can also order free reports through www.annualcreditreport.com.
  •  Reporte tentativas de roubo de identidade  If you’re a victim of identity theft, report it to your local police department. You may need a copy of the police report to submit to creditors as proof that you were a crime victim. Contact the fraud departments of the three credit bureaus and put a fraud alert on your account; this will require creditors to contact you before opening a new account in your name or making changes to your existing accounts (such as sending your bank statements to a new address). Close the accounts that have been compromised.  File a complaint with the Federal Trade Commission (FTC) to go into their database, which is used by law enforcement agencies in investigating ID theft. You can file this report online.
  •  Faça back up freqüentemente Use segurança a nível de arquivo Proteja documentos com senhas Use criptografia de disco Faça uso da infraestrutura de chave públicas Esconda dados com esteganografia Proteja dados em trânsito com IPSec Torne seguro as transações “wireless” Use gerenciamento de perfis para manter o controle
  • Propósito An IT audit is different from a financial statement audit. While a financial audits purpose is to evaluate whether an organization is adhering to standard accounting practices, the purposes of an IT audit are to evaluate the systems internal control design and effectiveness. This includes but is not limited to efficiency and security protocols, development processes, and IT governance or oversight. The goal is to evaluate the organizations ability to protect its information assets and properly dispense information to authorized parties. The IT audits agenda may be summarized by the following questions:  Will the organizations computer systems be available for the business at all times when required? (Availability)  Will the information in the systems be disclosed only to authorized users? (Confidentiality)  Will the information provided by the system always be accurate, reliable, and timely? (Integrity)  The IT audit focuses on determining risks that are relevant to information assets, and in assessing controls in order to reduce or mitigate these risks. By implementing controls, the effect of risks can be minimized, but it cannot completely eliminate all risks.
  • 2010 | 11 Pedro Siena Neto
  •  ? Avalia programas, projetos, e/ou sistemas, através dos entregáveis publicados e acordados na corporação , e a adoção destes na operação.
  •  Auditoria Se limita a encontrar os “gaps” entre o definido e acordado na corporação contra a “praxis” da operação Consultoria Propõe melhorias, soluções, mudanças para eliminar estes “gaps”
  •  Auditoria precisa ser independente
  • Processo de Auditoria em Tecnologia da Informação Planejamento Estudo e definicão de controles Teste e avaliação de controles Reportologia Acompanhamento
  •  Negócio Pessoas Processos Tecnologia | Sistemas Departamento “Compliances”
  • Perpetuação do Negócio Perda de receita Descontrole de custos Comprometimento da Imagem
  • Entendimento Missão Visão Valores MVV publicado x MVV práxis
  • Análise do Ambiente Externo Segmento de Atuação Agressividade Barreiras de Entrada Serviços x Produtos
  • Análise do Ambiente Interno Clima Corporativo Competitividade Colaboração Rotatividade
  • Parâmetros Estratégicos Tendências de Mercado SWOT Análise de Portfolio (BCG) Análise do Caos
  • Tendências de Mercado Tendência Força Momento Business Intelligence +++++ < 12 meses BPM | SOA ++ 1 a 2 anos Cloud Computing +++ 2 anos Virtualization ++++ … Cloud Security ++ … +++ …Corporate Social Networks Green IT ++ … Mobile Payment + …
  • SWOT Problem Vulnerability Restriction Lever Cada Ameaça com Cada Oportunidade cada Ponto Forte:com cada Ponto Forte: verificando buscando Alavancas vulnerabilidades que Estratégicas que uma diminuirão o potencial vez aproveitadas de uma força interna e poderão conferir a propondo de ações que empresa uma enfrentem a ameaça vantagem competitiva. em questão. Threats Opportunities Cada Ameaça com Cada Oportunidade cada Ponto Fraco: com cada Ponto identificando focos de Fraco: buscando problemas queidentificar restrições a precisam serserem atacadas para o enfrentados através de aproveitamento de Strengths Weaknesses ações defensivas ou oportunidades. fortalecedorJr.
  • Análise de Portfolio
  • Análise do Caos
  • Ações Estratégicas Carteira de Projetos Orçamento (CAPEX | OPEX)
  • Identificação das Vantagens Competitivas na Corporação nos Produtos/Serviços nos Processos nas Pessoas
  • na Corporação Valores Cultura Ambiente Forma de Reconhecimento
  • nos Produtos/Serviços Receitas | Fórmulas Metodologias Formação de Preços Carteira de Clientes
  • nos Processos Marketing | Vendas Seleção e Retenção de Profissionais Procurement (Compras / Produção) Aquisição de Empresas
  • nas Pessoas Conhecimento não estruturado (“feeling”) Relacionamentos (“networking”) Conhecimento Empírico (“know how”)
  • Detalhamento das Vantagens Competitivas (Questões do Jornalista) Quem? O quê? Quando? Onde? Por quê? Como?
  • Relatório Final “As is” O que deve ser protegido O que não deve ser protegido “Issues” Por quê deve ser protegido Quando deve ser protegido “To be” Onde deve ser protegido Como deve ser protegido Quem deve ter acesso
  • Próximos Passos Revisão/Implementação de Rotinas Revisão/Implementação de Políticas Carteira de Projetos Priorização e Execução dos Projetos
  • Preservar ambiente de confiança Nível do profissional Não continuidade do profissional Concentração de conhecimento Avaliação da idoneidade
  • Entendimento Organograma Formal Organograma de Influência Posicionamento do Profissional (em ambos) Descrição de Trabalho (“Job Description”) Carreira (Histórico & Projeção) Avaliações Formais
  • Entrevistas Subordinados Pares Superiores Recursos Humanos
  • Acesso à Tecnologia da Informação Sistemas Corporativos Pastas de Arquivos Correio Eletrônico Vídeo & Voz
  • Avaliação Perfil de Acesso Histórico de Movimentações Presença em Redes Sociais, Blog, Twitter, Monitoração de Estação em Tempo Real
  • Relatório Final “As is” O que é acessado O que não é acessado “Issues” Por quê deve ou não ser acessado Quando deve ser acessado O que é acessado e não deveria ser “To be” Onde deve ser acessado Como deve ser acessado
  • Relatório Final Aderência do profissional aos valores da empresa às políticas da empresa Exposição ao risco ao negócio em função de desconhecimento de treinamento/capacitação da ausência de ferramentas da ausência de políticas
  • Avaliar risco de exposição a vazamentos Importância do processo Risco do processo ser copiado por outros Proteção dos entregáveis do processo Dependência de profissionais específicos
  • Entendimento Fluxo de trabalho do processo Entregáveis durante a execução do processo Armazenamento dos entregáveis Perfis de acesso dos profissionais envolvidos Responsabilidade dos profissionais envolvidos
  • Entendimento Sistemas envolvidos no processo Registro de informações fora dos sistemas Razão do não-registro de informações Exposição dos sistemas a outros Disseminação da política de uso de sistemas
  • Relatório Final “As is” Mapeamento do Processo “Issues” Confidencialidade Integridade Disponibilidade “To be” Correções no processo Construção de indicadores
  • Avaliar sobre os critérios de Confidencialidade Disponibilidade Integridade
  • Entendimento Arquitetura de hardware Arquitetura de software
  • Software
  • Fontes Geram informação Pessoas Máquinas
  • Clientes Consomem informação Pessoas Máquinas
  • Repositórios Armazenam informações Estruturados Não Estruturados
  • Canais Transmitem informações Com fios (cabos) Sem fios (wifi, 3G, …) Transacional Batch
  • Formato da Informação Digital Analógico
  • Tipo de Arquivos Texto Voz Vídeo…
  • Tipos de Publicações Árvore de diretórios Portal Site Blog Rede Social
  • Consu Fonte Canal Canal Repositório midorCriação Transferência Armazenamento Transferência Recebimento
  • Consu Fonte Canal Canal Portal midorCriação Publicação Armazenamento Transferência Acesso
  • Relatório Final “As is” Mapeamento do Canal (end-to-end) “Issues” Confidencialidade Integridade Disponibilidade “To be” Melhorias Avaliação de Alternativas
  • Certificações Certified Information System Auditor (CISA) Certified Internal Auditor (CIA) Certification and Accreditation Professional (CAP) Certified Computer Professional (CCP) Certified Information Systems Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Public Accountant (CPA) Chartered Accountant (CA) Chartered Certified Accountant (CCA) GIAC Certified System & Network Auditor (GSNA)[7]
  •  Casey, Eoghan.Digital Evidence and Computer Crime, Second Edition [Hardcover] Schneier, Bruce. Segurança .com. Campus. 2001 Stallings, William. Cryptography and Network Security: Principles and Practice. 2a ed. Prentice Hall, 1999. Tanenbaum, Andrew S. Redes De Computadores. 4a ed. Campus. 2003 Nakamura, Emílio Tissato e Geus, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Berkeley Brasil, 2002. RicardoTheil. Segurança e Rastreabilidade das Informações. CINTEC Informática 2003. Joinville.SC www.inf.ufsc.br/~custodio www.vision.ime.usp.br/~mehran http://www.marcomendes.hpg.com.br/
  •  Information security audit An information security audit is an audit on the level of information security in an organization. Within the broad scope of auditing information security there are multiple type of audits, multiple objectives for different audits, etc. Most commonly the controls being audited can be categorized to technical, physical and administrative. Auditing information security covers topics from auditing the physical security of data centers to the auditing logical security of databases and highlights key components to look for and different methods for auditing these areas. When centered on the IT aspects of information security, it can be seen as a part of an information technology audit. It is often then referred to as an information technology security audit or a computer security audit. However, information security encompasses much more than IT.
  •  Contents 1 The audit process  1.1 Audit planning & preparation  1.2 Establishing audit objectives  1.3 Performing the review  1.4 Issuing the review report 2 The audited systems  2.1 Network vulnerabilities  2.2 Controls  2.3 Encryption and IT audit  2.4 Logical security audit  2.5 Specific tools used in network security 3 Auditing application security  3.1 Application security  3.2 Segregation of duties  3.3 Summary 4 See also 5 References and further reading
  •  [edit] The audit process [edit] Audit planning & preparation The auditor should be adequately educated about the company and its critical business activities before conducting a data center review. The objective of the data center is to align data center activities with the goals of the business while maintaining the security and integrity of critical information and processes. To adequately determine if whether or not the client’s goal is being achieved, the auditor should perform the following before conducting the review: Meet with IT management to determine possible areas of concern Review the current IT organization chart Review job descriptions of data center employees Research all operating systems, software applications and data center equipment operating within the data center Review the company’s IT policies and procedures Evaluate the company’s IT budget and systems planning documentation Review the data center’s disaster recovery plan
  •  [edit] Establishing audit objectives The next step in conducting a review of a corporate data center takes place when the auditor outlines the data center audit objectives. Auditors consider multiple factors that relate to data center procedures and activities that potentially identify audit risks in the operating environment and assess the controls in place that mitigate those risks. After thorough testing and analysis, the auditor is able to adequately determine if the data center maintains proper controls and is operating efficiently and effectively. Following is a list of objectives the auditor should review: Personnel procedures and responsibilities including systems and cross-functional training Change management processes are in place and followed by IT and management personnel Appropriate back up procedures are in place to minimize downtime and prevent loss of important data The data center has adequate physical security controls to prevent unauthorized access to the data center Adequate environmental controls are in place to ensure equipment is protected from fire and flooding
  •  [edit] Performing the review The next step is collecting evidence to satisfy data center audit objectives. This involves traveling to the data center location and observing processes and procedures performed within the data center. The following review procedures should be conducted to satisfy the pre-determined audit objectives: Data center personnel – All data center personnel should be authorized to access the data center (key cards, login ID’s, secure passwords, etc.). Data center employees are adequately educated about data center equipment and properly perform their jobs. Vendor service personnel are supervised when doing work on data center equipment. The auditor should observe and interview data center employees to satisfy their objectives. Equipment – The auditor should verify that all data center equipment is working properly and effectively. Equipment utilization reports, equipment inspection for damage and functionality, system downtime records and equipment performance measurements all help the auditor determine the state of data center equipment. Additionally, the auditor should interview employees to determine if preventative maintenance policies are in place and performed. Policies and Procedures – All data center policies and procedures should be documented and located at the data center. Important documented procedures include: data center personnel job responsibilities, back up policies, security policies, employee termination policies, system operating procedures and an overview of operating systems. Physical security / environmental controls – The auditor should assess the security of the client’s data center. Physical security includes bodyguards, locked cages, man traps, single entrances, bolted down equipment, and computer monitoring systems. Additionally, environmental controls should be in place to ensure the security of data center equipment. These include: Air conditioning units, raised floors, humidifiers and uninterruptible power supply. Backup procedures – The auditor should verify that the client has backup procedures in place in the case of system failure. Clients may maintain a backup data center at a separate location that allows them to instantaneously continue operations in the instance of system failure.
  •  [edit] Issuing the review report The data center review report should summarize the auditor’s findings and be similar in format to a standard review report. The review report should be dated as of the completion of the auditors inquiry and procedures. It should state what the review entailed and explain that a review provides only "limited assurance" to third parties.
  •  [edit] The audited systems [edit] Network vulnerabilities Main article: Computer security audit Interception: Data that is being transmitted over the network is vulnerable to being intercepted by an unintended third party who could put the data to harmful use. Availability: Networks have become wide-spanning, crossing hundreds or thousands of miles which many rely on to access company information, and lost connectivity could cause business interruption. Access/entry point: Networks are vulnerable to unwanted access. A weak point in the network can make that information available to intruders. It can also provide an entry point for viruses and Trojan horses.
  •  [edit] Controls Interception controls: Interception can be partially deterred by physical access controls at data centers and offices, including where communication links terminate and where the network wiring and distributions are located. Encryption also helps to secure wireless networks. Availability controls: The best control for this is to have excellent network architecture and monitoring. The network should have redundant paths between every resource and an access point and automatic routing to switch the traffic to the available path without loss of data or time. Access/entry point controls: Most network controls are put at the point where the network connects with external network. These controls limit the traffic that pass through the network. These can include firewalls, intrusion detection systems, and antivirus software. The auditor should ask certain questions to better understand the network and its vulnerabilities. The auditor should first assess what the extent of the network is and how it is structured. A network diagram can assist the auditor in this process. The next question an auditor should ask is what critical information this network must protect. Things such as enterprise systems, mail servers, web servers, and host applications accessed by customers are typically areas of focus. It is also important to know who has access and to what parts. Do customers and vendors have access to systems on the network? Can employees access information from home? Lastly the auditor should assess how the network is connected to external networks and how it is protected. Most networks are at least connected to the internet, which could be a point of vulnerability. These are critical questions in protecting networks.
  •  [edit] Encryption and IT audit In assessing the need for a client to implement encryption policies for their organization, the Auditor should conduct an analysis of the client’s risk and data value. Companies with multiple external users, e-commerce applications, and sensitive customer/employee information should maintain rigid encryption policies aimed at encrypting the correct data at the appropriate stage in the data collection process. Auditors should continually evaluate their client’s encryption policies and procedures. Companies that are heavily reliant on e-commerce systems and wireless networks are extremely vulnerable to the theft and loss of critical information in transmission. Policies and procedures should be documented and carried out to ensure that all transmitted data is protected. Companies can base their policies on the Control Objectives for Information and related Technology (COBIT) guidelines established by the IT Governance Institute (ITGI) and Information Systems Audit and Control Association (ISACA). The IT auditor should be adequately informed about COBIT guidelines. The auditor should verify that management has controls in place over the data encryption management process. Access to keys should require dual control, keys should be composed of two separate components and should be maintained on a computer that is not accessible to programmers or outside users. Furthermore, management should attest that encryption policies ensure data protection at the desired level and verify that the cost of encrypting the data does not exceed the value of the information itself. All data that is required to be maintained for an extensive amount of time should be encrypted and transported to a remote location. Procedures should be in place to guarantee that all encrypted sensitive information arrives at its location and is stored properly. Finally the auditor should attain verification from management that the encryption system is strong, not attackable and compliant with all local and international laws and regulations.
  •  [edit] Logical security audit The first step in an audit of any system is to seek to understand its components and its structure. When auditing logical security the auditor should investigate what security controls are in place, and how they work. In particular, the following areas are key points in auditing logical security: Passwords: Every company should have written policies regarding passwords, and employee’s use of them. Passwords should not be shared and employees should have mandatory scheduled changes. Employees should have user rights that are in line with their job functions. They should also be aware of proper log on/ log off procedures. Also helpful are security tokens, small devices that authorized users of computer programs or networks carry to assist in identity confirmation. They can also store cryptographic keys and biometric data. The most popular type of security token (RSA’s SecurID) displays a number which changes every minute. Users are authenticated by entering a personal identification number and the number on the token. Termination Procedures: Proper termination procedures so that old employees can no longer access the network. This can be done by changing passwords and codes. Also, all id cards and badges that are in circulation should be documented and accounted for. Special User Accounts: Special User Accounts and other privileged accounts should be monitored and have proper controls in place. Remote Access: Remote access is often a point where intruders can enter a system. The logical security tools used for remote access should be very strict. Remote access should be logged.
  •  [edit] Specific tools used in network security Network security is achieved by various tools including firewalls and proxy servers, encryption, logical security and access controls, anti-virus software, and auditing systems such as log management. Firewalls are a very basic part of network security. They are often placed between the private local network and the internet. Firewalls provide a flow through for traffic in which it can be authenticated, monitored, logged, and reported. Some different types of firewalls include: network layer firewalls, screened subnet firewalls, packet filter firewalls, dynamic packet filtering firewalls, hybrid firewalls, transparent firewalls, and application-level firewalls. The process of encryption involves converting plain text into a series of unreadable characters known as the ciphertext. If the encrypted text is stolen or attained while in transit, the content is unreadable to the viewer. This guarantees secure transmission and is extremely useful to companies sending/receiving critical information. Once encrypted information arrives at its intended recipient, the decryption process is deployed to restore the ciphertext back to plaintext. Proxy servers hide the true address of the client workstation and can also act as a firewall. Proxy server firewalls have special software to enforce authentication. Proxy server firewalls act as a middle man for user requests. Antivirus software programs such as McAfee and Symantec software locate and dispose of malicious content. These virus protection programs run live updates to ensure they have the latest information about known computer viruses. Logical security includes software safeguards for an organization’s systems, including user ID and password access, authentication, access rights and authority levels. These measures are to ensure that only authorized users are able to perform actions or access information in a network or a workstation. Auditing systems, track and record what happens over an organization’s network. Log Management solutions are often used to centrally collect audit trails from heterogeneous systems for analysis and forensics. Log management is excellent for tracking and identifying unauthorized users that might be trying to access the network, and what authorized users have been accessing in the network and changes to user authorities. Software that record and index user activities within window sessions such as ObserveIT provide comprehensive audit trail of user activities when connected remotely through terminal services, Citrix and other remote access software.[1] According to a 2006 survey of 3243 Nmap users by Insecure.Org,[2] Nessus, Wireshark, and Snort were some top-rated network security tools. According to the same survey, the BackTrack Live CD is the top rated information security auditing and penetration testing distribution. Nessus is a remote security scanner that performs over 1200 security checks for Linux, BSD, and Solaris. Wireshark analyzes network protocol for Unix and Windows, and Snort is an intrusion detection system that also supports Microsoft Windows. Nessus, Wireshark, and Snort are free. Some other popular products for network security include OmniGuard, Guardian, and LANGuard. Omniguard is a firewall, as is Guardian which also provides virus protection. LANGuard provides network auditing, intrusion detection, and network management. For log management, solutions from vendors such as SenSage and others are the choice for government agencies and highly regulated industries.
  •  [edit] Auditing application security [edit] Application security Application Security centers around three main functions: Programming Processing Access When it comes to programming it is important to ensure proper physical and password protection exists around servers and mainframes for the development and update of key systems. Having physical access security at your data center or office such as electronic badges and badge readers, security guards, choke points, and security cameras is vitally important to ensuring the security of your applications and data. Then you need to have security around changes to the system. Those usually have to do with proper security access to make the changes and having proper authorization procedures in place for pulling through programming changes from development through test and finally into production. With processing it is important that procedures and monitoring of a few different aspects such as the input of falsified or erroneous data, incomplete processing, duplicate transactions and untimely processing are in place. Making sure that input is randomly reviewed or that all processing has proper approval is a way to ensure this. It is important to be able to identify incomplete processing and ensure that proper procedures are in place for either completing it, or deleting it from the system if it was in error. There should also be procedures to identify and correct duplicate entries. Finally when it comes to processing that is not being done on a timely basis you should back-track the associated data to see where the delay is coming from and identify whether or not this delay creates any control concerns. Finally, access, it is important to realize that maintaining network security against unauthorized access is one of the major focuses for companies as threats can come from a few sources. First you have internal unauthorized access. It is very important to have system access passwords that must be changed regularly and that there is a way to track access and changes so you are able to identify who made what changes. All activity should be logged. The second arena to be concerned with is remote access, people accessing your system from the outside through the internet. Setting up firewalls and password protection to on-line data changes are key to protecting against unauthorized remote access. One way to identify weaknesses in access controls is to bring in a hacker to try and crack your system by either gaining entry to the building and using an internal terminal or hacking in from the outside through remote access.
  •  [edit] Segregation of duties When you have a function that deals with money either incoming or outgoing it is very important to make sure that duties are segregated to minimize and hopefully prevent fraud. One of the key ways to ensure proper segregation of duties (SoD) from a systems perspective is to review individuals’ access authorizations. Certain systems such as SAP claim to come with the capability to perform SoD tests, but the functionality provided is elementary, requiring very time consuming queries to be built and is limited to the transaction level only with little or no use of the object or field values assigned to the user through the transaction, which often produces misleading results. For complex systems such as SAP, it is often preferred to use tools developed specifically to assess and analyze SoD conflicts and other types of system activity. For other systems or for multiple system formats you should monitor which users may have super user access to the system giving them unlimited access to all aspects of the system. Also, developing a matrix for all functions highlighting the points where proper segregation of duties has been breached will help identify potential material weaknesses by cross checking each employee’s available accesses. This is as important if not more so in the development function as it is in production. Ensuring that people who develop the programs are not the ones who are authorized to pull it into production is key to preventing unauthorized programs into the production environment where they can be used to perpetrate fraud. [edit] Summary By and large the two concepts of application security and segregation of duties are both in many ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.
  •  [edit] Summary By and large the two concepts of application security and segregation of duties are both in many ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.
  • Tipos de Auditorias Various authorities have created differing taxonomies to distinguish the various types of IT audits. Goodman & Lawless state that there are three specific systematic approaches to carry out an IT audit [1]: Technological innovation process audit. This audit constructs a risk profile for existing and new projects. The audit will assess the length and depth of the companys experience in its chosen technologies, as well as its presence in relevant markets, the organization of each project, and the structure of the portion of the industry that deals with this project or product, organization and industry structure. Innovative comparison audit. This audit is an analysis of the innovative abilities of the company being audited, in comparison to its competitors. This requires examination of companys research and development facilities, as well as its track record in actually producing new products. Technological position audit: This audit reviews the technologies that the business currently has and that it needs to add. Technologies are characterized as being either "base", "key", "pacing", or "emerging".
  • Tipos de Auditoria Systems and Applications: An audit to verify that systems and applications are appropriate, are efficient, and are adequately controlled to ensure valid, reliable, timely, and secure input, processing, and output at all levels of a systems activity. Information Processing Facilities: An audit to verify that the processing facility is controlled to ensure timely, accurate, and efficient processing of applications under normal and potentially disruptive conditions. Systems Development: An audit to verify that the systems under development meet the objectives of the organization, and to ensure that the systems are developed in accordance with generally accepted standards for systems development. Management of IT and Enterprise Architecture: An audit to verify that IT management has developed an organizational structure and procedures to ensure a controlled and efficient environment for information processing. Client/Server, Telecommunications, Intranets, and Extranets: An audit to verify that controls are in place on the client (computer receiving services), server, and on the network connecting the clients and servers.
  • Tipos de Auditoria And some lump all IT audits as being one of only two type: "general control review" audits or "application control review" audits. A number of IT Audit professionals from the Information Assurance realm consider there to be three fundamental types of controls regardless of the type of audit to be performed, especially in the IT realm. Many frameworks and standards try to break controls into different disciplines or arenas, terming them “Security Controls“, ”Access Controls“, “IA Controls” in an effort to define the types of controls involved. At a more fundamental level, these controls can be shown to consist of three types of fundamental controls: Protective/Preventative Controls, Detective Controls and Reactive/Corrective Controls.
  • Protective/Preventative Controls Protective or Preventative controls serve to proactively define and possibly enforce acceptable behaviors. As an example, a set of common accounting rules are defined and must be followed by any publicly traded company. Each quarter any particular company must publicly state iProtective or Preventative controls.
  • Detective Controls Detective controls are often thought of as “Audit Controls” though we do not need to restrict them. Any control that performs a monitoring activity can likely be defined as a Detective Control. Continuing the example of accounting rules, it is possible that mistakes, either intentional or unintentional, can be made. Therefore, an additional Protective control is that these companies must have their financial results audited by an independent Certified Public Accountant. The role of this accountant is to act as an auditor. In fact, any auditor acts as a Detective control! If the organization in question has not properly followed the rules, a diligent auditor should be able to detect the deficiency which indicates that some control somewhere has failed.
  • Reactive/Corrective Controls Reactive or corrective controls typically work in response to a detective control, responding in such a way as to alert or otherwise correct an unacceptable condition. Using the example of account rules, either the internal Audit Committee or the SEC itself, based on the report generated by the external auditor, will take some corrective action. In this way they are acting as a Corrective or Reactive control.
  • Needless to say, the same can be said of any set ofcooperating controls in an Information Technology orInformation Assurance framework. In fact, whatexperience has shown is that when organizations suffersome loss, compromise or other security breach, the mostcommon problem is that they are missing a control. Whichcontrol? That can’t be answered in a general way, but wecan say that generally they are lacking either aPreventative, Detective or Reactive control.
  • Security Auditing information security is a vital part of any IT audit and is often understood to be the primary purpose of an IT Audit. The broad scope of auditing information security includes such topics as data centers (the physical security of data centers and the logical security of databases, servers and network infrastructure components)[2], networks and application security. Like most technical realms, these topics are always evolving; IT auditors must constantly continue to expand their knowledge and understanding of the systems and environment& pursuit in system company.
  • Security A number of training and certification organizations have evolved. Currently, the major certifying bodies in the field are the Institute of Internal Auditors (IIA)[3], the SANS Institute (specifically, the audit specific branch of SANS and GIAC)[4] and ISACA[5]. While CPAs and other traditional auditors can be engaged for IT Audits, organizations are well advised to require that individuals with some type of IT specific audit certification are employed when validating the controls surrounding IT systems.
  • History of IT Auditing The concept of IT auditing was formed in the mid-1960s. Since that time, IT auditing has gone through numerous changes, largely due to advances in technology and the incorporation of technology into business.Law regarding IT auditing Several information technology audit related laws and regulations have been introduced in the United States since 1977. These include the Gramm-Leach-Bliley Act, the Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act, Part 11, the London Stock Exchange Combined Code, King II, and the Foreign Corrupt Practices Act. In the European Union, Directive 95/46/EC on the protection of personal data exists primarily to ensure the protection of the privacy of individuals in regards to digital information.
  • Qualifications As the field is relatively young, not all jurisdictions have fixed standards for evaluating the qualifications of IT audit personnel. Since auditors will be responsible for evaluating the controls affecting the recording and safekeeping of assets, it is recommended that IT personnel have detailed knowledge regarding information systems with a general understanding of accounting principles. In the United States, usually it is considered desirable that IT audit personnel have received or qualify to receive the Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), GIAC Certified System and Network Auditor (GSNA), Certified Information Systems Security Professional (CISSP), Certified Public Accountant (CPA), Diploma in Information System Audit (DISA from the Institute of Chartered Accountants of India (ICAI-India)(ICAI)) and Certification and Accreditation Professional (CAP) credentials. The CISM and CAP credentials are the two newest security auditing credentials, offered by the ISACA and ISC2, respectively. Strictly speaking, only the CISA or GSNA title would sufficiently demonstrate competences regarding both information technology and audit aspects with the CISA being more audit focused and the GSNA being more information technology focused.[6]
  • Emerging Issues Technology changes rapidly and so do the issues that IT auditors face. Some emerging issues include biometric retinal scans, changes in physical security, and transmitting data from cell phones. There are also new audits being imposed by various standard boards which are required to be performed, depending upon your organization, which will affect IT and ensure that IT departments are performing certain functions and controls appropriately to be considered compliant. An example of such an audit is the newly minted SSAE 16.