martinelli auditores
NOÇÕES DE AUDITORIA DE SISTEMAS
MÓDULO 2 Fevereiro de 2002
martinelli auditores
SUMÁRIO
1. 1.1 1.2 1.3
TECNOLOGIA DA INFORMAÇÃO O que é Tecnologia da Informação? Por que usar Sistemas de Informação? Como funciona o Departamento de Tecnologia da Informação?
2. 2.1 2.2 2.3 2.4
SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO Por que Preocupar-se com Segurança de Sistemas de Tecnologia de Informação? Objetivos de Segurança Política de Segurança Análise de Risco
3. 3.1 3.2
PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO O que é “Planejamento da Informação” ? Custo Total de Propriedade (TCO – Total Cost of Ownership)
4. 4.1 4.2 4.3 4.4
SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE Tipos de Desenvolvimento Fases de Desenvolvimento A Função do Auditor Padrões de Documentação
5. 5.1 5.2 5.3 5.4 5.5
SEGURANÇA DE SOFTWARE Auditoria de Sistemas Segurança Lógica Mecanismos de Controle de Acesso Procedimentos Gerais de Verificação de Auditoria de Rede Pirataria
6. 6.1 6.2 6.3
SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE Segurança Física Manutenção de Hardware Cuidados com Meios Magnéticos
7.
SEGURANÇA DE RECURSOS HUMANOS
8. 8.1 8.2
SEGURANÇA NA INTERNET Controle de Utilização da Internet Transações de Comércio Eletrônico 2
martinelli auditores 8.3
Segurança Contra Hackers
9. 9.1 9.2
ORGANIZAÇÃO DA AUDITORIA Utilitários Necessários Aplicações dos Utilitários
3
martinelli auditores
1.
TECNOLOGIA DA INFORMAÇÃO
1.1
O que é Tecnologia da Informação? O termo “Tecnologia da Informação”, serve para designar o conjunto de hardware e software usado por uma organização para armazenar, processar, transmitir, e disseminar informações.
1.2
Por que usar Sistemas de Informação? Algumas das razões que levaram a disseminação do uso dos sistemas de informação: -
Única maneira de fazer determinado trabalho; Melhorar a eficiência; Aplicar controles melhores; Reduzir custos.
O principal benefício que a tecnologia da informação traz para as organizações e a sua capacidade de melhorar a qualidade e a disponibilidade de informações e conhecimentos importantes para a empresa, seus clientes e fornecedores. Os sistemas de informação mais modernos oferecem às empresas oportunidades sem precedentes para a melhoria dos processos internos e dos serviços prestados ao consumidor final. O sucesso das empresas passou a depender de sua capacidade de inovar das áreas de produtos, serviços, canais e processos. Nesse contexto, a tecnologia da informação assume papel crítico, permitindo às empresas modificar-se rapidamente e levar essas inovações até o mercado. 1.3
Como funciona o departamento de Tecnologia da Informação? O Departamento de Tecnologia da Informação é responsável por todas as funções de informática de uma organização. Os termos “Sistemas de Informação” ou “Tecnologia da Informação”, substituíram o título “Processamento de Dados”, que tende a ser associado a leitoras de cartão perfurados e antigas máquinas de teleprocessamento.
4
martinelli auditores O departamento de TI precisa ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades organizacionais claramente estabelecidas, documentadas e divulgadas, e políticas de pessoal adequadas, quanto à seleção, segregação de funções, treinamento e avaliação de desempenho. Esta estrutura é necessária para que se gerencie racionalmente os recursos computacionais da organização, de modo a suprir as necessidades corporativas de informação de forma eficiente e econômica. O Departamento de Tecnologia da Informação de uma empresa de grande porte apresenta tipicamente, as seguintes divisões: Administração A administração do departamento de TI já é vista como uma divisão corporativa separada, com seu próprio diretor executivo. Desenvolvimento e suporte de aplicação Divisão dedicada ao projeto, desenvolvimento e manutenção de software aplicativo. Pode englobar muitas equipes de desenvolvimento, formadas por analistas de sistemas, projetistas de sistemas e programadores. Suporte de produção Faz a interligação entre o usuário e as demais divisões de TI, prestando serviços na determinação de problemas, registro de defeitos, etc. Este grupo também pode prover serviços de administração de banco de dados. Software de sistemas Divisão responsável pela instalação e manutenção do software de sistemas, e pelo serviço de suporte de natureza técnica para o resto do pessoal de TI e usuários finais. Estão encarregados de providenciar para que o hardware e software do sistema operem com um desempenho ótimo. Comunicação de dados Esta divisão oferece serviços para os usuários de sistema que estejam experimentando problemas de teleprocessamento ou desejem 5
martinelli auditores comunicar-se com dispositivos ou responsáveis pelo desenvolvimento comunicação da organização.
6
usuários remotos. Eles são e manutenção de rede de
martinelli auditores
2.
SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO
2.1
Por que preocupar-se com segurança de sistemas de TI? Há três razões principais para preocupar-se com segurança de sistemas de TI: Dependência dos sistemas de informação Sistemas que ofereçam serviços adequados e no tempo certo são a chave para a maioria das organizações atuais. Sem seus computadores e sistemas de comunicação, as empresas ficariam incapazes de fornecer serviços, processar faturas, contatar clientes e fornecedores ou efetuar pagamentos. Os sistemas de informação também armazenam dados sigilosos que, se tornados públicos, causariam embaraço e em alguns casos o fracasso da organização. Vulnerabilidade dos sistemas de TI Esses sistemas exigem um ambiente estável, podendo ser danificados por desastres naturais como fogo, inundação ou terremotos, falhas no controle de temperatura ou do suprimento de energia elétrica, acidentes ou sabotagens. Os sistemas de TI são a chave para acesso a vasta quantidade de dados corporativos, tornando-se alvo atraente para hackers e espiões, e podem motivar administradores de sistemas a abusar de seus privilégios, vendendo informações para terceiros. A organização depende da exatidão da informação fornecida pelos seus sistemas; se essa confiança for destruída, o impacto para a entidade pode ser comparada a própria destruição do sistema. Dessa forma é importante proteger dados tanto de corrupções acidentais quanto propositais. Investimento em sistemas de TI Os sistemas de informação são caros tanto no desenvolvimento quanto na manutenção, e a administração deve proteger esse investimento como qualquer outro recurso valioso. Bens de TI são particularmente atrativos para ladrões, por serem em alguns casos portáteis, e poderem ser facilmente vendidos. 7
martinelli auditores 2.2
Objetivos da Segurança Os objetivos chaves da segurança são: Sigilo Proteção contra a divulgação indevida de informações – Ex.: criptografia e controle de acesso. Integridade Proteção contra a modificação não autorizada de informações – Ex.: totais de controle e assinaturas digitais. Disponibilidade Proteção contra a interrupção do serviço – Ex.: back-up e duplicação de sistemas. Que objetivo é o mais importante em cada caso irá depender da natureza do sistema. Por exemplo, em sistemas da área de desenvolvimento de produtos a ênfase seria em sigilo acima de qualquer coisa, enquanto que na maioria das outras aplicações a ênfase maior estaria provavelmente na disponibilidade, seguida da integridade. Os objetivos da segurança de informações se sobrepõem aos de qualidade de serviço. A qualidade do serviço tende a se concentrar em questões de disponibilidade dos serviços no tempo certo, e de informação precisa e exata, deixando de lado a questão de sigilo, mas existem pontos em comum suficientes para que seja útil considerar qualidade de serviço e segurança de forma conjunta.
2.3
Política de Segurança. O comprometimento com a segurança de sistemas deve surgir do mais alto nível da organização, alavancado pelo reconhecimento dos sérios problemas que poderiam resultar da divulgação, modificação ou indisponibilidade da informação. Esse comprometimento tende a ser expresso em uma política formal de segurança, estabelecida no contexto dos objetivos e funções organizacionais. Uma abordagem adotada por muitas organizações é a criação de uma política concisa e simples, que sirva de ponto de partida para outros 8
martinelli auditores documentos onde são estabelecidos os padrões, procedimentos e orientações para o comportamento dos usuários em relação à segurança. Áreas específicas a serem cobertas em uma política de segurança de TI corporativa incluem: -
quem é o responsável e presta contas pela segurança em todos os níveis da organização, e quais são as linhas hierárquicas para essas funções;
-
padrão mínimo de segurança a ser aplicado a todos os sistemas corporativos, e orientação quanto ao uso da análise de risco para a identificação dos sistemas que irão merecer medidas extras de proteção;
-
reconhecimento de que uma proteção efetiva exige que a segurança seja projetada durante o desenvolvimento dos sistemas, e não adicionada posteriormente, devendo ser uma preocupação presente em todas as aquisições ou desenvolvimento de sistemas;
-
o princípio de que a segurança da TI deve ser inserida nos procedimentos operacionais, incluindo controles de acesso e auditoria interna para avaliação da adequação dos controles de sistemas;
-
definição sobre a política de segurança de pessoal (verificação dos antecedentes de candidatos antes da admissão, tratamento das violações de segurança);
-
política de treinamento de pessoal, essencial para a conscientização do quadro quanto à questões de segurança de TI;
-
referência a procedimentos de controle de material proprietário e licenças de uso de software;
-
referência a procedimentos para registro e certificação de sistemas e dados, e arranjos para garantir a conformidade com a legislação aplicável;
-
política quanto a conexão a sistemas externos;
-
política quanto a investigação de incidentes de segurança;
-
requisitos de planejamento da continuidade do serviço;
9
martinelli auditores -
2.4
distinção clara entre as responsabilidades para as funções de gerência, administrador do sistema, administrador do sistema e usuário.
Análise de Risco. A análise de risco é o processo pelo qual são identificados os riscos a que estão sujeitos os dados, sistemas de informação e redes de comunicação que lhes dão suporte. A análise de risco envolve: Modelagem do negócio Etapa onde se determina que sistemas de informação dão suporte a quais processos corporativos. Análise de impacto Onde se determina a sensibilidade de funções-chave da organização a falhas no sigilo, integridade e disponibilidade dos sistemas e dados. Análise de dependência Serve para determinar os pontos de acesso aos sistemas de informação, e os recursos que precisam estar disponíveis para que sejam mantidos os serviços associados às funções-chave. Análise de ameaças e vulnerabilidades Determina os pontos fracos da configuração do sistema, e a probabilidade de eventos que possam explorar as debilidades identificadas, causando impactos em termos de quebra de sigilo, integridade ou disponibilidade dos dados e sistemas.
10
martinelli auditores
3.
PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO
3.1
O que é “Planejamento da Informação”? A Tecnologia da Informação tem um custo elevadíssimo, e os computadores não possuem poderes mágicos de resolver problemas de gestão, racionalizar processos e aumentar a produtividade. Máquinas e softwares idênticos executarão maravilhas em organismos bem estruturados e organizados, mas serão apenas uma fonte de gastos naqueles que não planejarem adequadamente suas necessidades de informação. O bom aproveitamento das facilidades trazidas pela tecnologia da informação depende de um processo periódico e estruturado de planejamento da informação. Para isso, os administradores precisam se preocupar em adquirir uma visão estratégica de como os sistemas de informação da organização deverão ser implementados ou alterados, de forma a atender as necessidades da organização por um período de aproximadamente 3 anos (é difícil estimar como precisão mais a frente, pela velocidade da mudança tecnológica). O planejamento de informação deve resultar em um documento – um plano estratégico que decifra a direção futura dos recursos de TI, refletindo as políticas, padrões e procedimentos de recursos de informação como um todo, e oferecendo orientação para todos os setores da organização. Normalmente este plano estratégico é chamado de Plano Diretor de Informática.
3.2
Custo Total de Propriedade (TCO – Total Cost of Ownership) Um dos aspectos mais importantes a ser vislumbrado no planejamento de informática é o aspecto de redução de custos. Medir o custo de propriedade de cada modelo da computação passou a ser uma preocupação de muitas organizações, pressionadas pela necessidade de redução de custos reais com tecnologia, que aumentaram substancialmente após a invasão dos PC’s e das redes corporativas. O TCO tenta levar em consideração todas as despesas envolvidas, e inclui também a depreciação. O grande problema é decidir quais elementos de custo devem ser considerados e como deve ser feito este 11
martinelli auditores cálculo. Por exemplo, é difícil medir o custo do tempo que o usuário gasta com seu micro. Também não há um valor médio do custo dos PC`s que possa ser usado como referência pela organização haja visto que este custo se altera constantemente. Na prática, não são somente as escolhas técnicas quanto a software e hardware que determinam os impactos financeiros pela organização. A eficácia no gerenciamento destes recursos é fator determinante nos custos da organização. Uma planejamento racional de utilização, reduz substancialmente os custos de aquisição e manutenção dos recursos de TI.
12
martinelli auditores
4.
SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE
4.1
Tipos de Desenvolvimento a)
Desenvolvimento Interno - Adoção de MDS - Metodologia de Desenvolvimento de Sistemas: deve adotar o padrão “joiner” desenvolvimento conjunto entre : Informática + Usuários + Auditoria (controle) - Acompanhamento pela Auditoria - Deve gerar documentação apropriada.
b)
Desenvolvimento Contratado - Deve aderir à MDS da empresa: sistemas construídos com MDS diferente acabam tendo sua manutenção também gerada fora (ficam fora de controle).
c)
Sistemas Adquiridos prontos - Devem entregar: programas fonte; dicionário de dados; software para o dicionário; documentação para usuário final.
4.2 Fases do Desenvolvimento - Levantamento de Dados - Projeto do Sistema - Construção - desenvolvimento propriamente dito - Testes - Implantação 4.3
A Função do Auditor Sua preocupação deve ser prioritária com:
13
martinelli auditores - Existência de pontos de controle interno - Aderência desses pontos ao projeto do sistema - Identificação de pontos falhos - Acompanhamento de testes O principal ponto a ser verificado é se o sistema possui trilhas de auditoria. Essas trilhas podem ser definidas como a capacidade de uma informação ser acompanhada até sua saída final, separada de outras informações eventualmente a ela agregadas e, por processo reverso, acompanhar uma informação desde sua saída até sua entrada, inclusive com a decomposição das informações a ela agregadas. 4.4
Padrões de Documentação -
Definição de todas as informações no Dicionário de Dados, inclusive com grau de segurança. Todos os documentos de entrada e respectivas telas. Todos os relatórios de saída, inclusive de telas. Todas as ligações com sistemas internas e externas. Um fluxo que ligue todas as informações aos processos (programas), entidades (internas e externas) e depósito de dados. Os helps-on-line, os tutorials, etc.
14
martinelli auditores
5.
SEGURANÇA DE SOFTWARE
5.1
AUDITORIA de SISTEMAS Todo e qualquer sistema deve ser observado sob 3 enfoques:
Os Programas Existe máquina própria para desenvolvimento desenvolvimento utiliza a máquina de produção?
ou
a
área
de
Existe norma de Catalogação de Programas de Produção com registro de alterações que demonstre: - a data da alteração; impacto da alteração na área do usuário; - outros impactos (em outros programas, rotinas ou sistemas); - as instruções alteradas dentro dos programas. Rotina: O Auditor deve solicitar todos os programas fonte catalogados e jogá-los dentro de uma Infobase. Se não tiver tal recurso, deverá copiá-los para dentro do Word (versão 6.0 em diante) ou WordPerfect (versão 6.0a em diante) e fazer o seguinte: - mês a mês repita o procedimento (de cópia) - compare os programas - verifique as modificações e analise seus impactos. Para comparar, no Word por exemplo, faça o seguinte: 1. abra o arquivo mais novo no Word; 2. Comande Ferramentas e Marcas de Revisão; 3. Marque Exibir Revisões na Tela e Exibir Revisões no Documento Impresso; 4. Comande Comparar Versões e indique o arquivo anterior. O arquivo aparecerá com as alterações riscadas e em cor diferente.
15
martinelli auditores A Entrada de Dados Os dados quando entram no sistema são submetidos a uma bateria de programas de consistência. Se os programas estiverem corretos, se ninguém tiver catalogado nenhum programa frio; se a rotina de consistência não estiver aberta por algum comando derivado de um programa anterior, então, os dados deverão entrar nas bases de dados e executarem as funções solicitadas que, ainda assim, poderão estar erradas. O auditor, portanto, deve: -
Submeter a bateria de crítica POSSÍVEIS DE TESTE.
A TODAS AS CONDIÇÕES
Como? -
Separando todas as telas e documentos de entrada. Examinando cada campo e comparando com a listagem da consistência. Submetendo os dados a uma bateria de testes em ambiente apropriado (não de produção).
Os testes deverão começar com quesitos simples, do tipo: -
campo aceita brancos; alfa no lugar de números e seu inverso; qual a razão de determinado campo ser alfanumérico se só são usados números nesse campo; datas devem ser checadas em termos de aceitação de datas passadas, futuras e absurdas;
Em seguida, depois os testes deverão contemplar as condições cruzadas, do tipo: -
-
cadastral = função advogado com número de OAB; cálculo = com simulação de cálculos diversos em planilha apartada e conferida com o resultado dos programas; função do programa = verificar se o programa executa a função nele definida e já vista no processo de auditoria de catalogação.
Por exemplo: programa que deve emitir faturas -
inserir condições tais que algumas faturas passem e comprovem o acerto da emissão, inclusive em seus cálculos. 16
martinelli auditores Neste exemplo, faturas que passarem por erro de consistência deverão ser examinadas detidamente para exame de: -
impacto; novos testes.
Varredura das Bases de Dados O Auditor deve ter em mente que, a situação examinada no item anterior, pode ser rapidamente alterada se houver cumplicidade na área de informática. É fundamental, portanto, que as Bases de Dados sejam examinadas por programas de varredura. Tais programas estão disponíveis no mercado com maior ou menor qualidade, mas o Auditor deve saber que tais programas são constituídos basicamente pelos seguintes componentes: -
versão para o seu ambiente de trabalho; capturadores de dados com formatação, normalmente em padrão SQL ou ODBC; funções lógicas e matemáticas semelhantes a qualquer planilha ou Banco de Dados para Windows existente no mercado; capacidade de gerar relatórios a exemplo de qualquer Banco de Dados para Windows.
Deve o Auditor também: Submeter a bateria de crítica (base de dados) A TODAS AS CONDIÇÕES POSSÍVEIS DE TESTE: Como? -
examinando cada campo e comparando com a listagem da consistência; submetendo os dados a uma bateria de testes em ambiente apropriado (não de produção);
Os testes deverão começar com quesitos simples, do tipo: -
campo aceita brancos; alfa no lugar de números e seu inverso; qual a razão de determinado campo ser alfanumérico se só são usados números nesse campo;
17
martinelli auditores -
datas devem ser checadas em termos de aceitação de datas passadas, futuras e absurdas;
Se quiser, o Auditor pode construir seus próprios programas de varredura a partir dos componentes normais de mercado, com maior ou menor grau de sofisticação. Por exemplo: o WordPerfect 6.0a e WordPro97 (e posteriores) são capazes de capturar dados SQL e ODBC, inclusive do DB2 de Grande Porte. Após a captura ele permite que você faça a Query (consulta) que desejar. O Word também permite a captura de dados, mas com menor capacidade. Não estamos sugerindo que se usem processadores de texto, mas se você somar a capacidade de seu integrado (Office ou MS-Office) é provável que você resolva o problema satisfatoriamente. As varreduras são efetuadas a partir do conhecimento do formato das tabelas do banco de dados a ser auditado. A partir daí, basta criar Queries (consultas) dentro dos mesmos padrões de teste do item 2 (Consistência), com acréscimo do histórico de cada campo. 5.2
Segurança Lógica A responsabilidade do Auditor não é escolher o Software de Segurança da Rede ou mesmo as implantações do Software Padrão da Rede (Rights). Os conceitos de segurança lógica devem ser definidos pela Administração de Segurança da Rede (se houver), pelos Owners (responsáveis pelos sistemas) e usuários. Os conceitos são os seguintes: -
Estabelecimento das necessidades de segurança. Revisão das características do software. Garantia de que as características do software satisfaçam as necessidades da empresa. Teste das características do software, identificando as funções obrigatórias disponíveis: a) b) c)
Estabelecimento dos níveis de proteção. Monitoramento do acesso aos recursos protegidos e transações. Disponibilidade de arquivos de Log ou de comandos que informem: 18
martinelli auditores - Tentativas de Acesso - Violações - Modificações nos parâmetros da rede - Outras consideradas relevantes 5.3
Mecanismos de Controle de Acesso Os mecanismos de controle de acesso devem identificar: -
Direitos de todos os participantes (Administrador/Supervisor, Usuários, etc). Restrições de todos os participantes da rede: a)
conta;
b)
horário;
c)
dia da semana;
d)
estação de trabalho;
e)
volume e limites de espaço em disco.
rede
Senhas:
-
5.4
da
a)
óbvias e leis de construção.
b)
todos os usuários devem ter senhas.
c)
permissão para alterar senha
d)
período mínimo de alteração.
e)
a senha deve ser diferente de quantas senhas anteriores?
.
Processos Gerais de Verificação de Auditoria de Rede Geralmente, nas auditorias de rede são utilizados softwares de apoio. Elencamos a seguir algumas das informações identificadas por este tipo de software: -
Senha não atribuída. Senhas sem segurança. Senhas muito curtas. Equivalência do Supervisor. Existência de Gerentes de Grupos de Trabalho. Privilégios no diretório-raiz . Ausência de script no Login . 19
martinelli auditores - Direitos excessivos de certos diretórios. - Usuário que não fez Login durante certo período de tempo. 5.5
Pirataria Em fevereiro de 1998 foi criada a Lei do Software (9609) que diz respeito às infrações de direito autoral, determinando penas de detenção ou reclusão de até quatro anos, além de multa pesada. Atualmente (informação publicada em abril.99) a ABES – Associação Brasileira das Empresas de Software, estima que 61% dos programas utilizados no Brasil sejam piratas. O maior número de infrações está no mercado SOHO, ou seja, são pessoas que duplicam ou compram aplicativos piratas para instalar em máquinas domésticas. Mas a maior perda de dinheiro ocorre no mercado corporativo, seja em empresas que fazem diversas cópias ilegais de um produto ou na venda de softwares pirateados. A ABES, portanto, está centrando esforços para atacar a pirataria. Indícios são as recentes prisões em flagrante que aconteceram em Minas Gerais e Rio de Janeiro, por exemplo. Para se ter uma idéia, em 1998 foram realizadas 118 ações de vistoria e apreensão, com mais de 20 prisões em flagrante por uso ou venda de softwares ilegais. Denúncias “Normalmente, recebemos as informações de ex-funcionários ou empresas concorrentes”, conta Fisher da ABES. Outro ponto de informação importante são os cadastros apreendidos de vendedores ilegais de CDs. Prevenção θ
Estude e leve a sério a possibilidade de utilizar um sistema de software livre que simplesmente elimina a pirataria, como o LINUX.
θ
Utilize o documento “Contrato de Garantia da Empresa com respeito ao uso de Software”
θ
Examine programas freeware
20
martinelli auditores θ
Teste programas Shareware, sem esquecer, entretanto, que o uso de tais programas deve seguir rigorosamente as normas expressas na autorização para teste, já que são passíveis de enquadramento na Lei.
Contrato de Responsabilidade Para tentar garantir que os funcionários não instalem softwares piratas em suas máquinas, pode-se criar um Contrato de Responsabilidade como o documento a seguir, sugerido pela ABES. Com ele, cada funcionário será responsável por eventuais multas decorrentes de instalações de software ilegais, e ainda poderá ser demitido por justa causa. Segue exemplo:
CONTRATO DE GARANTIA DA EMPRESA COM RESPEITO AO USO DE SOFTWARE. A EMPRESA possui licenças para uso de software proveniente de uma série de fornecedores. Não somos autores desses softwares ou de sua documentação. Portanto, exceto quando autorizado pelos autores dos softwares, nenhum funcionário ou contratado da EMPRESA tem o direito de reproduzi-los. Os funcionários e contratados da EMPRESA que tomarem conhecimento de algum uso inadequado de software da empresa ou de sua respectiva documentação deverão notificar, por escrito, o Gerente do Departamento de Informática. De acordo com a Lei de Software, as pessoas envolvidas em reprodução ilegal de programas ficam sujeitas ao pagamento das respectivas indenizações por perdas e danos, em valor correspondente a até três mil vezes o valor de cada cópia do programa original, além de sanções penais, como multas e prisão. A EMPRESA não aceita a duplicação ilegal de software. Os empregados ou contratados da EMPRESA que fizerem, adquirirem ou usarem cópias ilegais e não autorizadas, serão punidos de acordo com as circunstâncias, sendo inteiramente responsáveis pela reparação dos danos resultantes de tais atos. Quando empregados, estarão também sujeitos à rescisão do contrato de trabalho por Justa Causa, com base no artigo 482 da C.L.T.
21
martinelli auditores Penas e Multas Os riscos que cada tipo de pirataria oferece: CRIME : Comercialização ilegal de programas O QUE É Só quem pode comercializar um programa é o desenvolvedor ou um distribuidor autorizado. Quem comercializa programas sem autorização do desenvolvedor está cometendo crime de uso de propriedade intelectual e pode estar cometendo crime fiscal (pois não está pagando os impostos devidos). FORMAS MAIS COMUNS -
Comercialização de CDs-ROM com vários programas. Venda de computadores com programas pré-instalados sem a autorização do desenvolvedor dos programas.
PENA -
Até quatro anos de prisão Multa Indenização de até 3000 comercializados
vezes
o
valor
dos
programas
CRIME Utilização de programa sem licença de uso
O QUE É Quando se adquire um programa, o usuário terá direito à instalação em apenas UM computador. Em alguns casos, o desenvolvedor autoriza a instalação simultânea em mais de um computador, mas o usuário deve sempre consultar o desenvolvedor sobre isso, e ler a licença de uso para esclarecer eventuais mal-entendidos.
FORMAS MAIS COMUNS -
Instalação em casa de um programa comprado pela empresa. 22
martinelli auditores -
Comprar uma única cópia de um programa e instalar. em todos os computadores da empresa. Instalar cópias de jogos ou aplicativos particulares em computadores da empresa. Instalação ou acesso de um programa monousuário em uma rede local. Acesso a um programa em rede por mais usuários que o número de licenças adquiridas.
PENA -
Até 2 anos de prisão Indenização de até 3000 vezes o valor dos programas utilizados.
23
martinelli auditores
6.
SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE
6.1
Segurança Física Localização Deve-se verificar se o local onde estão situados os servidores, estações críticas e rack de equipamentos estão localizados em Área Crítica: -
Próximo de dispositivos que causam interferência eletro magnética? Ligação entre Departamentos Usuários e Informática (para segurança)? Próximo de depósitos de inflamáveis, cozinhas, áreas poluídas ou assemelhadas ? Próximo de estacionamentos e garagens? Ligado a um único ramal de energia elétrica e distante de outro, se houver? Em locais sujeitos a sol forte, paredes aquecidas, etc? Em locais sujeitos a inundação ou infiltração causada por canos em parede, teto ou piso?
Construção A construção que abriga os elementos críticos da Rede, possuem características próprias: -
Os materiais são retardantes a fogo? Os locais são construídos de maneira a vedar o acesso? Existem detectores de fumaça no local? Estão corretamente regulados? Existe espaço para expansão (equivalente a 25% do espaço ocupado)? As portas são corta fogo? Existem janelas no local? De que tipo são (vidro, alumínio, etc.)? Existe passagem de ar condicionado de outros locais para os locais críticos?
Ações da Natureza 24
martinelli auditores O tempo e suas conseqüências constituem risco da Natureza. Poucos são os locais que estão imunes a condições adversas de tempo. -
-
-
-
Existe risco das áreas críticas serem atingidas por alagamentos? Existe proteção contra descargas atmosféricas? Ø Locais? Ø Nas proximidades? Ø Por sobrecarga da instalação? Quais os dados de proteção do Pára-Raios? Ø Zona de Proteção Ø Número de condutores de descida em função da área coberta e do perímetro da instalação Ø Resistência da Malha Os condutores possuem curvas com ângulo de descida menor que 90 graus? Com raio mínimo de 20 cm (redução de indutâncias)? Os condutores estão protegidos mecanicamente por materiais isolantes até uma altura de 2 m a contar do solo? Estão isolados cerca de 20 cm do corpo da construção? Existem árvores próximas às áreas críticas?
Fatores Humanos Em função da dependência informática da Empresa é essencial analisar os possíveis fatores humanos que possam causar prejuízos. -
-
Existe sistema de proteção de áreas críticas na hipótese de greves? No período noturno, existe esquema de vigilância do local? O perímetro externo da Empresa é protegido de forma efetiva? O perímetro do prédio, em dias específicos (domingos e feriados) tem vigilância efetiva? O perímetro das áreas críticas é fechado nesses horários e dias? Existem casos ou suspeita de sabotagem em outras áreas da Empresa? A vigilância tem orientação para reportar por escrito casos de pessoas com comportamento suspeito? Pessoas que se encontrem nas instalações sem motivo? Veículos estacionados por longos períodos não pertencentes a: Ø funcionários? Ø Visitantes ou clientes? Nas demissões, o empregado tem suas chaves: Ø físicas recolhidas (chaves,cartões de acesso, etc) e, Ø lógicas (senhas) deletadas assim que o empregado manifeste o desejo de sair (demissão por iniciativa do empregado) 25
martinelli auditores -
Ø ou quando tal decisão é tomada pela empresa ? Os empregados são treinados para: Ø extinção de fogo local (manuseio de extintores portáteis)? Ø localizar interruptores de energia? Ø conhecer os processos de desligamento normal?
Controle de Acesso Físico O acesso de pessoas estranhas às áreas críticas foi estruturado em função de a informática na empresa ser considerada pelo seu nível de risco e conseqüente conceito: -
Não permite a continuidade dos negócios ou atividades da empresa – Alto Risco. Apresenta dificuldades para a continuidade dos negócios ou atividades da empresa – Risco Intermediário. Não afeta a continuidade dos negócios ou atividades da Empresa – Risco Baixo.
Existe proibição específica para determinados objetos nas áreas críticas? -
Imãs ou aparelhos que gerem campos magnéticos. Equipamentos eletrônicos de uso pessoal. Copiadores de Documentos. Bebidas e Alimentos. Material de Fumantes.
Existe regulamento ou norma interna que especifique o Controle de Acesso? Detecção, Alarme e Combate a Fogo O fogo deve ser evitado via detecção, comunicado via alarme e combatido por meio de extintores manuais ou automáticos. O risco de fogo deve ser auditado: As áreas críticas são utilizadas em períodos fora do expediente normal? Existem sensores e alarmes de detecção nessas áreas ? Tais sensores são ou podem ser: -
do tipo cruzado (acionam os alarmes e algum tipo de combate); controla fechamento de dumpers; 26
martinelli auditores -
corta a corrente elétrica (se houver No Break); opera alarmes em pontos estratégicos (Informática e Vigilância);
Os detectores, se existirem: -
estão em suspensos dentro de forros? estão em caixas de painéis elétricos e de telefones? estão em dutos de exaustão de ar condicionado?
Os extintores são adequados ao ambiente? -
CO² (dióxido de carbono); Halon (1301 ou 1211); Monofosfato de Amônia;
Existe treinamento para manuseio de extintores ? Os materiais existentes nas áreas críticas ou próximo delas é resistente a fogo? Existem materiais combustíveis ou tóxicos (álcool isopropílico, solventes, freon, etc) Estão armazenados próximo ou dentro das áreas críticas? As luminárias fluorescentes são dotadas de reatores blindados ou possuem reatores fora do ambiente crítico? Os extintores estão dentro do prazo de validade (conteúdo e cilindro)? Extintores de CO² e Pó Químico são pesados periodicamente? No mínimo a cada 5 anos os extintores sofrem vistoria e ensaios de pressão eletrostática? As inspeções de segurança são efetuadas nos prazos? - baterias não seladas do No Break; - alarmes de fogo; - recarga de extintores; - detectores de combustão Sistemas de proteção contra fogo O sistema de proteção contra fogo subdivide-se em:
27
martinelli auditores a) Sistema de detecção de superaquecimento e fogo: Este sistema é formado por detectores de calor instalados em pontos de ocorrência mais provável de fogo. Os detectores podem ser locais (sensores que protegem pontos isolados) ou contínuos (sensores em forma de fio, que protegem ao longo de sua extensão), e provocam o acionamento de um alarme sonoro e visual na cabine de comando b) Sistema de extinção de fogo – acionado em emergências para áreas vazias de pessoas: Ao ocorrer aviso de fogo, é necessário seguir os procedimentos recomendados pelo fabricante, incluindo verificações quanto ao falso alarme ou mero superaquecimento. Princípios do combate ao fogo Para que um material possa entrar em combustão, é preciso que existam três fatores : o combustível, o oxigênio e o calor. Para extinguir o fogo, basta eliminar ou isolar um desses fatores. Tipos de incêndio Os incêndios são divididos em classes
CLASSE A Materiais que deixam brasa ou cinza, como a madeira, o papel, tecidos, etc. CLASSE B Líquidos inflamáveis como a gasolina e o álcool. CLASSE C Materiais elétricos como fios, isolantes, etc. CLASSE D Metais como o magnésio das rodas
28
martinelli auditores Agentes Extintores Os agentes extintores mais usados são: Água apaga por resfriamento incêndios de classe A. Espuma apaga por abafamento incêndios em líquidos (classe B). É corrosiva e ataca metais; grande eficiência nos incêndios com combustível. Pó químico apaga por abafamento incêndios de classes B e C. Pó seco apaga por abafamento incêndios de classe D. Dióxido de carbono (CO2) é recomendado em incêndios elétricos, porque não conduz eletricidade, afastando possibilidades de choques. Energia Elétrica O projeto elétrico, dada a importância das áreas críticas de informática, exige que seja abordado criteriosamente e que aborde os seguintes aspectos: Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø
Alimentação elétrica normal Alimentação elétrica alternativa Distribuição de eletrodutos e/ou canaletas Distribuição dos cabos elétricos (força) Distribuição dos circuitos elétricos Dispositivos de Proteção de Circuitos Terminais de Força e Controle Dispositivos de Emergência (No Break) Dispositivos de Emergência (Short Break) Pára Raios Aterramento
O Auditor deverá pesquisar o seguinte material e identificar sua existência e conhecimento pelo pessoal da manutenção: Ø Ø Ø
Desenhos de Planta de Iluminação Desenhos de Planta das Casas de Força e Controle Desenhos de Dispositivos de Proteção, vida útil, tempo de 29
martinelli auditores Ø Ø Ø Ø
manutenção e garantia Desenhos de Alimentação Geral e Iluminação Externa Desenhos de Corte e Detalhes Desenhos do Pára-Raios e aterramento geral, mostrando tipo do pára-raios e área de cobertura Planta de Força e Aterramento por Rede
Aterramento O projeto elétrico, dada a importância das áreas críticas de informática, exige que seja abordado criteriosamente e que aborde os seguintes aspectos: Objetivos Escoar para terra a eletricidade estática gerada por equipamentos ou por atrito de materiais isolantes: • as descargas atmosféricas ocorridas; • fluxo de correntes transitórias (de fuga); e • sobretensões contingenciais. Fornecer um referencial de terra zero de tensão para a lógica digital.
6.2
Manutenção de Hardware A manutenção tem como objetivo manter os equipamentos em boas condições de funcionamento para garantir a segurança das operações. Pode ser feita por agentes internos ou prestadores de serviço terceirizados. A boa conservação dos equipamentos também deve ser objeto de verificação pelo Auditor. A manutenção é classificada em: - Manutenção corretiva: corrige deficiências. - Manutenção preventiva: previne falhas.
30
martinelli auditores Inspeções Periódicas A inspeção é o serviço de manutenção mais simples e consiste em verificações visuais ou por outros meios imediatos, destinadas a detectar anormalidades.
6.3 Cuidados com Meios Magnéticos Ao transportar ou armazenar discos rígidos removíveis, disquetes, fitas streamer de alta densidade, inclusive DATs, CD’s ou qualquer outro meio magnético, verifique se as seguintes cautelas foram tomadas: Armazenagem local de backups operacionais: - local do armazenamento - geração dos dados - risco idêntico ao do disco original - risco diferente ao do disco original (indicar + ou -) Armazenagem Externa (de segurança) de backups críticos: - local do armazenamento - geração dos dados - risco idêntico ao do disco original - risco diferente ao do disco original (indicar + ou -) Transporte - percurso entre a área operacional e a de segurança - referencie e descreva o meio de transporte utilizado - caixas de disquetes ou cartucho (sem proteção) - caixas com muito uso (sem proteção) - meio próprio (tipo malafita) - outros meios (descreva)
31
martinelli auditores
7.
SEGURANÇA DE RECURSOS HUMANOS
Quanto a auditoria de recursos humanos de informática são aplicados os mesmos procedimentos de análise de qualquer outra área, como por exemplo: -
Treinamento adequado. Competência profissional. Segregação de responsabilidades que fragilizem os controles interno da empresa. Plano de cargos e salários, etc.
Atenção especial deve ser dispensada quanto a contratação de pessoal ligado a áreas estratégicas, como por exemplo a área de desenvolvimento de produtos. Nestes casos, recomenda-se que a empresa realize uma completa investigação dos antecedentes do candidato à vaga afim de evitar o vazamento de informações confidenciais. Também deve-se atentar para os aspectos ergonômicos das instalações da empresa (teclados, iluminação, cadeiras, monitores de vídeo), afim de evitar eventuais ações trabalhistas por lesões (Ex.: LER – lesão por esforço repetitivo).
32
martinelli auditores
8.
SEGURANÇA NA INTERNET
8.1
Controle de Utilização da Internet Alguns dos controles que devem ser objeto de verificação pelo Auditor são: -
8.2
Controle de sites visitados (estatísticas de utilização). Controle de mensagens enviadas e recebidas via e-mail (vazamento de informações sigilosas). Controle de Downloads e arquivos anexados aos e-mail’s (infecção por vírus, trojan horse). Limitação de tamanho de e-mail (tráfego lento). Administração de contas de correio eletrônico (colaboradores desligados continuam recebendo mensagens internas da empresa) Configuração de anti-vírus. Avaliação do tipo de conexão e largura de banda disponibilizada.
Transações de Comércio Eletrônico Os aspectos mais importantes a serem considerados e que podem ser objeto de verificação pelo Auditor são: -
8.3
Criptografia utilizada na recebimento e envio de dados. Sigilo das informações pessoais ou cadastrais do cliente. Meios de pagamento empregados (cartão de crédito, depósito bancário, etc.). Eficiência da área de logística (entrega da encomenda ao cliente). Reclamações de clientes. Testa as fragilidades do site em aceitar dados “frios”. Autenticação de segurança. Lay-out do site não pode ser confuso. Meios de assegurar a disponibilidade do site “no ar”. Segurança contra Hackers
Alguns aspectos a serem considerados pelo Auditor são: -
Existência de firewall’s. 33
martinelli auditores -
Anti-vírus atualizado. Softwares de detecção de trojam-horse (podem ser os anti-vírus atualizados). Política de senhas. Bloqueio de portas de comunicação. Ações contra a engenharia social (não jogar informações sigilosas do sistema no lixo). Controla acessos de terceiros (externos) aos sistemas das empresa (Ex.: PCAnywhere).
Um aspecto importante a ser observado é que muitas invasões partem de funcionários da própria empresa. Todo usuário desligado deve ter seus direitos imediatamente eliminados do sistema.
34
martinelli auditores 9.
ORGANIZAÇÃO DA AUDITORIA
Na moderna auditoria, busca-se um ferramental que torne dois aspectos desse trabalho, extremamente produtivo: - Organização - Trabalho de campo Nesse contexto, a informática aparece como auxiliar valiosa no aumento da produtividade e na escolha de soluções adequadas. 9.1
Utilitários Necessários Um simples (até certo ponto) pacote Office, pode fornecer soluções práticas de apoio à auditoria. Entre os mais sofisticados, entretanto, existem hoje alguns processos chamados de facilitadores de Inteligência Competitiva, que manipulam informações textuais com tremenda facilidade. Permitem a criação das Bases de Informações de apoio à Auditoria que podem, com facilidade sustentar todo o processo de suporte de argumentação que um auditor necessita no campo. Assim, podemos hoje ter Bases Históricas de Relatórios, Bases Legais acrescidas de todo o processo normativo interno, Bases Textuais de Trabalhos de Campo, etc. O exemplo mais contundente é o uso dos softwares de Infobase, como o Folio ou o Acrobat.
9.2
Aplicação dos Utilitários
a)
Para matriz de risco: - Planilhas e Gerenciadores de Projeto
35
martinelli auditores b)
Para planejamento anual de auditoria: - Gerenciadores de Projeto
c)
Para fluxogramação: - Interativos com geração automática de fluxograma.
d)
Para geração de programas de trabalho: -
e)
Interativos para geração automática de aproveitamento dos scripts ou editores de texto.
Para papéis de trabalho e anexos: - Html com links via scanner.
f)
Para gerenciar dados: - Gerenciadores tipo Access e Approach.
g)
Para gerenciar textos: - Infobases
h)
Para testes: - Freeware e Shareware obtidos na Internet.
36
fluxograma
e