auditoria de controles - aula 22professor.ufop.br/sites/default/files/janniele/files/aula22.pdf ·...
TRANSCRIPT
Auditoria de Controles - Aula 22
Profa Janniele Aparecida Soares Araujo
CSI463 – Segurança e Auditoria de Sistemas
2
Auditoria de Controle de Hardware
● Objetiva implantar os procedimentos de segurança física sobre os equipamentos instalados em ambiente de informática de uma organização● Funções e mecanismos para restringir acessos● O controle envolve aplicação do próprio equipamento para se
proteger contra riscos estruturais● Engloba controles referentes à proteção da vida de pessoas
3
Auditoria de Controle de Hardware
● Importância● Evita perda de hardwares e os protege contra o desfuncionamento
que gera parada nas operações● Evita perdas financeiras● Evita desvantagem competitiva
4
Auditoria de Controle de Hardware
● Processo de controle de hardware● Físicos:
● Procedimentos que orientam o manuseio dos equipamentos
● Automatizados: ● Representam os controles construídos junto com os equipamentos pelo fabricante,
que ajudam a descobrir e controlar erros que surgem do uso do próprio equipamento
5
Auditoria de Controle de Hardware
● O significado de controle de hardware para auditores● Asseguram a execução correta de instruções dadas para as máquinas
através dos programas● Sem os procedimentos de controle de hardware os auditores teriam
dificuldades em levantar o modus operandi dos hardwares do ambiente de informática
6
Auditoria de Controle de Hardware
● Inventário de hardware● Verificação de todos os hardware do ambiente de informática● Verificação automática dos recursos construídos no hardware ou até
adicionados● Diagnóstico
● Bios● Processadores● Sistema operacional e a linguagem● Fabricante/modelo e séries● Monitor e a resolução● Placas de modem, som, vídeo e etc...
7
Auditoria de Controle de Hardware
● Padronização● Padronizar os modelos de equipamento é fundamental para auxiliar
na implementação de um controle efetivo● Configuração de forma homogênea de todas as estruturas de
hardwares operacionais● Para redes deve-se contemplar no mínimo 95% equipamentos do
mesmo fabricante
8
Auditoria de Controle de Hardware
● Amenizando riscos de segurança no controle de hardware● Extintores de incêndio● Restrições às pessoas externas● Firewall...
9
Auditoria de Controle de Hardware
● Objetivos de controle de hardware● Restringir acessos internamente dentro da organização, garantindo a
proteção de terminais, unidade central de processamento, servidores, unidades de conversão de dados, vidas, etc…
● Utilizar equipamentos que restrinjam acesso físico de pessoas alheias ao ambiente de processamento, pessoas que têm interesse pelas informações da organização e que não têm permissão para acessá-las
10
Auditoria de Controle de Hardware
● Riscos de instalação de softwares piratas● Implementar políticas de segurança que impedem essa prática● Utilizar softwares para descobrir produtos sem licenças (SekChek)
11
Auditoria de Controle de Hardware
● Programas de levantamento de controles internos de hardware● A fim de facilitar o levantamento de dados, para a efetividade de
controles internos do ambiente de hardware da empresa, os seguintes cheklists podem ser aplicados
12
13
14
15
16
17
Auditoria de Controle de Acesso
● Objetivo● Acesso físico: controle sobre o acesso físico ao hardware● Acesso lógico: controle sobre a acesso aos recursos do sistema
18
Auditoria de Controle de Acesso
● Execução de auditoria de acesso lógico● A empresa possui rotinas de aprovação e autorização automática que
podem causar a movimentação de grande quantidade de ativos, incluindo caixa, investimentos ou estoque?
● Um número significativo de procedimentos de controle programados depende da existência de controles de acesso adequados, isto é, de conhecimento dos proprietários dos sistemas?
● As competências exigidas dos funcionários estão disponíveis no ambiente que o sistema operará?
19
Auditoria de Controle de Acesso
● Working papers de teste de controles de acessos● Programas que devem ser preenchidos:
● Programa de Auditoria de Segurança de Acesso Lógico● Programa de Políticas de Segurança de Acessos● Programas de testes específicos (para acesso físicos)
20
21
22
23
24
25
Auditoria de Controle de Suporte Técnico
● Funções das atividades de suporte técnico● Funções rotineiras
● Gerenciamento de help desk● Socorro aos problemas de instalação de redes● Monitoramento das ocorrências de problemas● Treinamentos dos usuários de softwares● Revisão preventiva dos equipamentos● Substituição dos equipamentos antigos● Segurança de informação quando não há administrador de segurança da informação
26
Auditoria de Controle de Suporte Técnico
● Funções das atividades de suporte técnico● Funções esporádicas
● Dimensionamento de banco de dados● Instalação de softwares utilitários● Manutenção dos sistemas operacionais● Instalação dos upgrades● Avaliação de softwares para fins de compras● Padronização dos recursos de TI● Atica;cão de redes
27
Auditoria de Controle de Suporte Técnico
● Objetivo da auditoria de suporte técnico● Constatar se os recursos de alta tecnologia da empresa estão sendo
utilizados adequadamente● Confirmar se os recursos estão contribuindo para o aumento de valor
da empresa
28
Auditoria de Controle de Suporte Técnico
● Programa de testes de controles
29
30
31
Bibliografia básica
● IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2.ed./3.ed São Paulo: Atlas, 2008/2016.