FACULDADE DE TECNOLOGIA DO NORDESTE    SEGURANÇA DE SISTEMAS – ADS-04            Professor Izequiel           CSC AUDITORI...
SUMÁRIO1. APRESENTAÇÃO ......................................................................................................
CSC Auditoria1. APRESENTAÇÃO           A presente auditoria, realizada pela Empresa CSC Auditoria, formada poralunos do Cu...
CSC Auditoria           segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condiçãodaquele ou daquilo em que ...
CSC Auditoriaorganizacional. Além disso, deve-se implementar uma política de segurançaeficiente, que discipline os acessos...
CSC Auditoria4.2 Recomendação de controles e medidas de proteçãoemergenciais adequados           Um ou mais mecanismos de ...
CSC Auditoria7. ANÁLISE GERAL DE SEGURANÇA7.1 Segurança Tecnológica          Verificar nível de segurança das estações de ...
CSC Auditoria7.1.3 Controle dos Notebooks          Existem notebooks a disposição dos gerentes. A despeito disso, não háco...
CSC Auditoriae qual segurança e responsabilidade destes usuários, quais setores precisamacessar quais informações segundo ...
CSC Auditoria•   Uso Interno - aplicada às informações restritas aos funcionários e a terceiros.•   Uso Público - Informaç...
CSC Auditoria7.3.3 Detecção e Combate a Incêndios          Os controles de detecção foram identificados de acordo com as n...
CSC Auditoria8. CONCLUSÃO          Conforme constatamos, a Empresa auditada não tem uma Política deSegurança da Informação...
CSC Auditoria                   a. Levantamento das customizações indispensáveis;                   b. Coordenação do trei...
CSC Auditoriacaríssimo para combater uma gripe simples certamente reduzirá seu potencial deinvestimento destinado a preven...
CSC Auditoria11. ANEXO – Checklist                               15
Upcoming SlideShare
Loading in …5
×

Seguranca de-sistemas-auditoria

1,778 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,778
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
76
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguranca de-sistemas-auditoria

  1. 1. FACULDADE DE TECNOLOGIA DO NORDESTE SEGURANÇA DE SISTEMAS – ADS-04 Professor Izequiel CSC AUDITORIAAuditores: FRANCISCO WAGNER COSTA KLAUS FISCHER GOMES SANTANA RAFAEL ARAUJO DE FREITAS MARCOS MEIRELES SERGIO ANDRADE Fortaleza, novembro de 2011
  2. 2. SUMÁRIO1. APRESENTAÇÃO ............................................................................................................. 32. INTRODUÇÃO................................................................................................................... 3 2.1 O que é Informação ..................................................................................................... 3 2.2 O que é Segurança ...................................................................................................... 3 2.3 O que é Segurança da Informação .............................................................................. 4 2.4 Como Garantir a Segurança das Informações ............................................................. 43. OBJETIVOS....................................................................................................................... 54. ABRANGÊNCIA................................................................................................................. 5 4.1 Identificação das necessidades de segurança da Organização ................................... 5 4.2 Recomendação de controles e medidas de proteção emergenciais adequados .......... 65. METODOLOGIA ................................................................................................................ 66. EQUIPE DE AUDITORIA ................................................................................................... 67. ANÁLISE GERAL DE SEGURANÇA ................................................................................. 7 7.1 Segurança Tecnológica ............................................................................................... 7 7.1.1 Sistema de Anti-Vírus ............................................................................................ 7 7.1.2 Controle da Internet............................................................................................... 7 7.1.3 Controle dos Notebooks ........................................................................................ 8 7.1.4 Atualização Periódica dos Softwares..................................................................... 8 7.1.5 Checagem Periódica de Vulnerabilidades ............................................................. 8 7.1.6 Equipe ou Profissional Responsável pela Segurança............................................ 8 7.1.7 Teste de Invasão Interno e Externo Periódico ....................................................... 8 7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais ........................................ 8 7.2 Segurança Organizacional ........................................................................................... 8 7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização ............ 9 7.2.2 Identificação dos Processos Críticos ..................................................................... 9 7.2.3 Classificação da Informação ................................................................................. 9 7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentos para técnicos e usuários ...................................................................................................... 10 7.2.4.1 Definição de um plano de testes de recuperação a desastres ou teste do plano de contingência .............................................................................................. 10 7.3 Segurança Física ....................................................................................................... 10 7.3.1 Controle de Acesso Físico ................................................................................... 10 7.3.2 Energia Elétrica ................................................................................................... 10 7.3.3 Detecção e Combate a Incêndios........................................................................ 11 7.3.4 Backup e armazenamento de mídias .................................................................. 11 7.4 Resumo das Ameaças e Riscos Atuais ...................................................................... 11 7.4.1 Principais Riscos Identificados ............................................................................ 11 7.4.2 Principais Falhas Encontradas ............................................................................ 118. CONCLUSÃO .................................................................................................................. 129. RECOMENDAÇÕES ....................................................................................................... 12 9.1 Implantação do Plano de Ação Emergencial .............................................................. 12 9.2 Regularização da Instalação Elétrica ......................................................................... 13 9.3 Instalação de Cabeamento Estruturado ..................................................................... 13 9.4 Normatização dos Equipamentos de Informática ....................................................... 13 9.5 Estruturação da Rede Local ....................................................................................... 1310. CONSIDERAÇÕES FINAIS ........................................................................................... 1311. ANEXO – Checklist ........................................................................................................ 15
  3. 3. CSC Auditoria1. APRESENTAÇÃO A presente auditoria, realizada pela Empresa CSC Auditoria, formada poralunos do Curso Superior de Tecnologia em Análise e Desenvolvimento deSistemas, disciplina de Segurança de Sistemas, da Faculdade de Tecnologia doNordeste – FATENE, tem a finalidade de aplicar os conhecimentos e conceitosadquiridos para estudar e analisar os processos relativos à Tecnologia daInformação da Empresa R&L Extintores Ltda, e ao seu término sugerir por meiodeste relatório, conforme diagnóstico obtido, melhorias nos processos gerenciais eoperacionais da Empresa auditada no tocante a Tecnologia da Informação,doravante denominada TI.2. INTRODUÇÃO Para a correta evolução no entendimento do trabalho, enfatizamos aquialguns conceitos básicos:2.1 O que é Informação Existem diversas definições para informação, a que melhor se adapta aocaso, é a definição do British Standards Institute, descrita abaixo: Informação é um recurso que, como outros importantes recursos denegócios, tem valor a uma organização e por conseguinte precisa ser protegidoadequadamente [BS 7799 -1: 1999, British Standards Institute].2.2 O que é Segurança A melhor definição para segurança pode ser obtida através do DicionárioAurélio, conforme descrito abaixo: 3
  4. 4. CSC Auditoria segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condiçãodaquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro.[Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado,garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10.Eficaz, eficiente. [Dicionário Aurélio]2.3 O que é Segurança da Informação A Segurança da Informação protege a informação de uma gamaextensiva de ameaças para assegurar a continuidade dos negócios, minimizar osdanos organizacionais e maximizar o retorno em investimentos e oportunidades. ASegurança da Informação é caracterizada pela preservação da confidencialidade,integridade e disponibilidade. [BS 7799 -1: 1999, British Standards Institute] Para garantir a Segurança da Informação, é necessário que os seguintesprincípios básicos sejam respeitados:• Confidencialidade: assegurar que a informação será acessível somente por quem tem autorização de acesso;• Integridade: assegurar que a informação não foi alterada durante o processo de transporte da informação;• Disponibilidade: assegurar que usuários autorizados tenham acesso a informações e a recursos associados quando requeridos. Recentemente, estão sendo abordados mais dois conceitos:Autenticidade e Legalidade.2.4 Como Garantir a Segurança das Informações Foram criados diversos mecanismos de proteção, que somente tornam-seefetivos, se forem devidamente conjugados de acordo com a necessidade e infra-estrutura tecnológica de cada organização. Para garantir a segurança a níveis aceitáveis, é necessário conhecer ecorrigir as vulnerabilidades presentes tanto no ambiente tecnológico, como no 4
  5. 5. CSC Auditoriaorganizacional. Além disso, deve-se implementar uma política de segurançaeficiente, que discipline os acessos aos recursos, possua atualização constante egerenciamento sistêmico, pois soluções isoladas apenas criam um falso ar desegurança. O processo necessário para salvaguardar informações é composto de trêsetapas: análise das vulnerabilidades, implantação e manutenção contínua desegurança. O presente instrumento enquadra-se na primeira etapa.3. OBJETIVOS Dentro do escopo da inspeção técnica em segurança da informação noque tange a Empresa auditada, foram estabelecidos os seguintes objetivos:• Análise da atual estrutura de TI (parque tecnológico);• Análise dos processos realizados pela Empresa com recursos de TI;• Análise dos sistemas de TI utilizados pela a Empresa.4. ABRANGÊNCIA4.1 Identificação das necessidades de segurança da Organização• Verificação dos riscos da organização, onde as ameaças aos patrimônios são identificadas, vulnerabilidades e ameaças são avaliadas.• Verificação do conjunto de princípios, objetivos e necessidades para o processamento de informações.• Identificação das necessidades básicas contratuais, de políticas definidas, processos documentados e regulamentos entre a organização, seus parceiros, colaboradores, contratados e provedores de serviço. 5
  6. 6. CSC Auditoria4.2 Recomendação de controles e medidas de proteçãoemergenciais adequados Um ou mais mecanismos de controle ou de proteção adequados sãoassociados à cada ameaça grave, identificada na fase de análise de segurança eprocessos, para garantir que os riscos serão reduzidos a um nível aceitável. Estaseleção é baseada na criticidade da vulnerabilidade, em relação à redução dosriscos, e levando-se em consideração as perdas potenciais.5. METODOLOGIA Para o trabalho em questão, foi aplicada uma metodologia, centrada naanálise de vulnerabilidades, para atender os requisitos de eficiência e tempo.Baseando-se na norma ISO/IEC – 27001, dentre todos, foram escolhidos osseguintes pontos de controle:• Segurança física;• Confidencialidade;• Obediência à legislação em vigor;• Eficiência e eficácia;• Fidelidade e integridade da informação em relação ao dado.6. EQUIPE DE AUDITORIA• Francisco Wagner Costa Moreira;• Klaus Fischer Gomes Santana;• Rafael Araújo de Freitas;• Sérgio Andrade Silva;• Marcos da Silva Meireles. 6
  7. 7. CSC Auditoria7. ANÁLISE GERAL DE SEGURANÇA7.1 Segurança Tecnológica Verificar nível de segurança das estações de trabalho, dispositivos móveise serviços disponíveis, que estão diretamente relacionados com os sistemas demissão crítica, checando vulnerabilidades e configurações dos mesmos. Outros equipamentos como modem, roteador, firewall, testados, quetambém podem causar sério impacto na continuidade das operações, não foramchecados devido ao curto período de tempo disponível. Com os procedimentos adotados, ficou constatado que a ausência deprofissionais especialistas em segurança da informação, bem como a falta dedispositivos tecnológicos adequados, e principalmente normas de trabalhoseguras, culminou no quadro que vamos desenhar:• Todos os equipamentos analisados apresentaram múltiplas vulnerabilidades consideradas críticas no mais alto nível;• Em todas as máquinas, tinha pelo menos uma vulnerabilidade que habilitava o invasor a ter acesso irrestrito ao equipamento;• As vulnerabilidades encontradas são consideradas primárias para qualquer especialista em segurança;• Em sumo, a integridade, disponibilidade e confidencialidade das informações de todos os sistemas do ambiente, estão atualmente seriamente comprometidas.7.1.1 Sistema de Anti-Vírus O sistema de anti-vírus atual é o NOD32 licenciado para todas asestações de trabalho e atualizado.7.1.2 Controle da Internet Não existe profissional responsável capacitado para esse trabalho. 7
  8. 8. CSC Auditoria7.1.3 Controle dos Notebooks Existem notebooks a disposição dos gerentes. A despeito disso, não hácontrole sobre eles, e são conectados na rede interna sem qualquer reserva.7.1.4 Atualização Periódica dos Softwares Somente os navegadores de internet e o antivírus são atualizadosperiodicamente.7.1.5 Checagem Periódica de Vulnerabilidades Não é aplicada.7.1.6 Equipe ou Profissional Responsável pela Segurança Não identificamos equipe ou profissional responsável pela segurança dainformação.7.1.7 Teste de Invasão Interno e Externo Periódico Como no caso do controle da Internet, não existe profissional responsávelcapacitado para esse trabalho.7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais Não existe uma política de controle de senhas para a rede e quanto aoacesso as estações de trabalho, esta senha é compartilhada por todos usuários.7.2 Segurança Organizacional Trata de questões como procedimentos envolvendo informaçõesproprietárias, classificação das informações, entendimento do perfil da organização,funcionamento da organização, fluxo que a informação possui da sua origem ao seudestino no Workflow organizacional, dentre outros relacionados ao contextoorganizacional, entendimento de quem manipula as principais informações do órgão 8
  9. 9. CSC Auditoriae qual segurança e responsabilidade destes usuários, quais setores precisamacessar quais informações segundo o princípio “Need to Know”(quem realmentenecessita saber da informação).7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização Nessa etapa são confrontados os procedimentos executados naorganização, que tenham relevância para o sistema focado, com a atual realidade daexecução dos processos. Levando-se em consideração todos os processosinformatizados ou não, que possam afetar direta ou indiretamente a segurança. Após análise, verificou-se que poucos processos estão definidos naempresa.7.2.2 Identificação dos Processos Críticos Após a checagem dos procedimentos, devem ser identificados osprocessos considerados críticos à organização, ou seja, aqueles que contéminformações sensíveis aos negócios da organização.• Sistema de cobrança bancária (Bancos Itau e Bradesco);• Sistema de folha de pagamento;• Controle de fornecedores, clientes e funcionários.7.2.3 Classificação da Informação Não existe hoje na organização, uma hierarquia de confidencialidadedefinida para as informações. Sendo assim não é possível assegurar que as informações recebam umnível apropriado de proteção, pois as informações são classificadas para indicar anecessidade, as prioridades e o grau de proteção. Tais como:• Uso Confidencial - aplicada às informações de grande valor a organização, se divulgadas indevidamente podem causar danos e prejuízos a organização ou a seus parceiros. Seu uso e disseminação devem ser restritos e controlados. 9
  10. 10. CSC Auditoria• Uso Interno - aplicada às informações restritas aos funcionários e a terceiros.• Uso Público - Informações que podem ser divulgadas para o público em geral, incluindo clientes, fornecedores, imprensa, etc.7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentospara técnicos e usuários As normas, políticas e procedimentos que devem ser seguidos pelosfuncionários da organização, não estão completas ou não foram especificadas. Com base no check-list (em anexo) efetuado com a gestora da célula deTI, devemos salientar os seguintes pontos:7.2.4.1 Definição de um plano de testes de recuperação a desastres ou testedo plano de contingência O plano de contingência ou plano de recuperação é um plano que contémas diretrizes que a organização deve seguir em caso de parada no processamento,decorrente de desastre ou falhas. Este tem como objetivo auxiliar na recuperaçãoimediata do processamento das informações, levando em consideração a criticidade,de modo que minimize eventuais prejuízos à organização. Não há um plano de contingência englobando todas as possibilidades defalhas possíveis, e também inexiste rotina de teste periódica.7.3 Segurança Física A estrutura de segurança física está configura de forma muito primária eineficiente.7.3.1 Controle de Acesso Físico A atual configuração não contempla níveis de acesso, e os respectivos eadequados controles.7.3.2 Energia Elétrica Não existe controle de prevenção quanto a quedas de energia. 10
  11. 11. CSC Auditoria7.3.3 Detecção e Combate a Incêndios Os controles de detecção foram identificados de acordo com as normasvigentes.7.3.4 Backup e armazenamento de mídias O controle de backup é manual é feito por meio de HD’s externos, quemuitas vezes ficam na própria empresa.7.4 Resumo das Ameaças e Riscos Atuais7.4.1 Principais Riscos Identificados• Acesso e/ou cópia indesejada de dados;• Alteração e/ou fabricação de dados;• Deleção indesejada de dados;• Extravio de documentos;• Roubo de ativos importantes;• Fragilidade a engenharia social;• Fraude.7.4.2 Principais Falhas Encontradas• Intolerância a acidentes e falhas em ativos, sistemas, processos e infraestrutura;• Conectividade externa e interna sem a devida segurança;• Política de senhas não aplicada;• Falta de controle sistêmico dos processos;• Não identificação dos invasores externos e internos;• Falta de controle de acesso e insegurança física nas instalações;• Inexistência de controle das impressões. 11
  12. 12. CSC Auditoria8. CONCLUSÃO Conforme constatamos, a Empresa auditada não tem uma Política deSegurança da Informação definida, bem assim, não tem um parque tecnológicoadequado para suas atividades atuais.9. RECOMENDAÇÕES9.1 Implantação do Plano de Ação Emergencial a) Definição da equipe interna responsável pela implantação e manutenção da segurança desvinculada das outras atividades operacionais a. Treinamento básico de segurança da informação para a equipe. b) Implementação das medidas de segurança básicas a. Análise de compartilhamentos desprotegidos; b. Troca do sistema de Firewall; c. Desativação do serviço de acesso remoto; d. Redefinição e aplicação das regras de conexões internas e permissões; e. Implantação de autenticação forte, e login único de usuários e objetos; f. Atualização do sistema de Backup e restauração de dados, e aquisição de novas licenças; g. Definição da política de segurança de notebooks; h. Criação de uma política segura de acesso à Internet; c) Remodelação da célula de informática d) Construção do regimento interno e) Implantação das novas rotinas de auditoria interna e externa f) Implantação dos sistemas pendentes 12
  13. 13. CSC Auditoria a. Levantamento das customizações indispensáveis; b. Coordenação do treinamento dos usuários;9.2 Regularização da Instalação Elétrica • Aterramento unificado para todos os equipamentos de informática; • Troca de tomadas de baixa qualidade; • Instalação de No-Break inteligente;9.3 Instalação de Cabeamento Estruturado • Substituição do cabeamento atual;9.4 Normatização dos Equipamentos de Informática • Aquisição de pelo menos um servidor, novas estações e periféricos necessários; • Inventário geral de equipamentos com selagem destes e instalação de travas nos gabinetes; • Implementação de controle geral de ativos de informática, hardware e software, com ocorrências e histórico.9.5 Estruturação da Rede Local • Migração dos dados, aplicativos e de pastas pessoais das estações para o servidor; • Implantação de permissões e política de uso local nas estações; • Criação de CD’s de imagem dos perfis das estações;10. CONSIDERAÇÕES FINAISEm sumo do que foi analisado e evidenciado nesse trabalho, definir níveis econtroles de segurança é como receitar um medicamento. Se muito fraco ou emdoses mínimas (abaixo do necessário para prover segurança), o problema persistiráou será reduzido a um nível insatisfatório. Por outro lado, comprar um remédio 13
  14. 14. CSC Auditoriacaríssimo para combater uma gripe simples certamente reduzirá seu potencial deinvestimento destinado a prevenir ou combater doenças mais graves.Outro ponto importante a ser considerado é o impacto dos controles sobre osserviços da organização, pois um processo "engessado" demais pode ser traduzidoem prejuízos para a administração. 14
  15. 15. CSC Auditoria11. ANEXO – Checklist 15

×