introdução aos sistemas de informações unidade didática 6: segurança e auditoria de sistemas

Introdução aos Sistemas de Informações

Unidade Didática 6:

Segurança e Auditoria de Sistemas

2

Por que os Controles São Necessários

• Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software, redes e dados dos sistemas de informação. Os computadores provaram que podem processar grandes volumes de dados e executar cálculos complexos de modo mais preciso do que os sistemas manuais ou mecânicos.

• Entretanto, sabe-se também que:- Ocorrem erros em sistemas computadorizados- Os computadores têm sido utilizados para fins fraudulentos.- Os sistemas de computador e seus recursos de software e dados têm sido destruídos acidental ou deliberadamente.

Controles eficazes fornecem segurança aos SI

• A precisão, integridade e segurança das atividades e recursos.

• Os controles podem minimizar erros, fraude e destruição.

• Fornecem garantia de qualidade. • Reduzem o impacto negativo (e

aumentam o impacto positivo) que a TI pode produzir na sobrevivência e sucesso das empresas.

3

4

Tipos de Controle

• Três tipos principais de controle devem ser desenvolvidos para garantir a qualidade e segurança dos SI.

• Essas categorias de controle incluem:

- Controles de sistemas de informação.

- Controles de procedimentos.

- Controles de instalações.

5

1. Controles dos SI• Entrada de dados

• Senhas e outros códigos• Telas formatadas e máscaras• Sinais audíveis de erro

• Técnicas de processamento• Controle de hardware• Controle de software

• Métodos de armazenamento• Criptografia• Backup • Proteção contra uso não autorizado

• Saída de informações• Documentos e relatórios• Listas de distribuição• Formulários pré-numerados• Listagens de distribuição• Acesso à saída

Controles de Hardware

• Circuitos de Detecção de Falhas - são os circuitos encontrados dentro do computador utilizados para monitorar suas operações

• Componentes Redundantes - dispositivos que verificam e promovem a exatidão de atividades de leitura e gravação

• Microprocessadores de Finalidades Especiais - chaves que podem ser usados para apoiar diagnósticos e manutenção à distância.

6

Controles de Software• Rótulos de Arquivos Internos - garante que o

arquivo correto de armazenamento está sendo utilizado e que os dados corretos no arquivo foram processados

• Pontos de Verificação - pontos intermediários dentro de um programa que está sendo processado, onde os resultados intermediários são gravados

• Monitores de Segurança de Sistema - programas que monitoram o uso do computador e protegem seus recursos contra uso não autorizado, fraude e destruição

7

8

2. Controles das Instalações

Casualidades• Acidentes,• Desastres naturais,• Sabotagem,• Vandalismo,• Uso não autorizado,• Espionagem industrial,• Destruição, e• Roubo de recursos

2. Controles das Instalações

• Segurança de rede

• Criptografia

• Firewall

• Biometria

• Controle de falhas

• Controles de proteção física

9

10

Controles de Proteção Física

• Símbolos de identificação,

• Fechaduras eletrônicas,

• Alarmes contra roubo,

• Polícia de segurança,

• Circuito fechado de TV, e

• Outros sistemas de detecção

3. Controles de Procedimentos

• Padrões de procedimento e documentação

• Requisitos de Autorização

• Recuperação de Desastres

• Controles para a Computação pelo Usuário Final

11

12

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

Crime com o uso do Computador

Acesso Indevido(Hacking)

Uso não autorizadoem Serviço

Ciberrroubo

Pirataria

Vírus deComputador

13

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

• Negação de Serviço• Scans• Programas de Sniffer• Spoofing• Cavalos de Tróia• Back Doors• Applets prejudiciais

• Discagem de Guerra (War Dialing)

• Bombas Lógicas• Buffer Overflow• Quebrador de Senhas• Engenharia Social• Mergulho no Depósito

de Lixo

Táticas Usuais de Hacking

14

TÁTICAS USUAIS DE HACKING • Negação de Serviço: Tornando o equipamento de um website ocupado

com muitos pedidos de informação, um atacante pode, de fato, obstruir o sistema, reduzir seu desempenho ou mesmo travar o site.

• Scans: Extensas investigações na Internet para descobrir tipos de computadores, serviços e conexões. Dessa forma, maus sujeitos podem tirar vantagem de fraquezas de uma determinada fabricação de computador ou de um programa.

• Sniffer: Programas que, de modo disfarçado, procuram pacotes individuais de dados ao serem transmitidos pela Internet, capturando senhas de acesso ou conteúdos completos.

• Spoofing: Disfarçar um endereço de e-mail ou página da Web para enganar usuários, levando-os a entregar informações cruciais, como senhas de acesso ou números de cartão de crédito.

• Cavalo de Tróia: Um programa que, ignorado pelo usuário, contém instruções que exploram uma conhecida vulnerabilidade de alguns softwares.

• Back Doors: Se o ponto de entrada original tiver sido detectado, ter uns poucos caminhos escondidos nos fundos torna a reentrada simples — e difícil de ser percebida.

15

TÁTICAS USUAIS DE HACKING • Applets prejudiciais: programas escritos na popular linguagem Java, que

utilizam mal os recursos de seu computador, modificam arquivos no disco rígido, enviam e-mail falso, ou roubam senhas.

• Discagem de Guerra: Programas que automaticamente discam milhares de números de telefone buscando uma forma de fazer uma conexão com um modem.

• Bombas lógicas: Uma instrução num programa de computador que o faz realizar uma ação prejudicial.

• Buffer Overflow: Uma técnica para travar ou obter controle sobre um computador enviando uma quantidade muito grande de dados ao buffer na memória de um computador.

• Quebrador de senhas: Software que pode descobrir senhas. • Engenharia social: Uma tática utilizada para conseguir acesso aos

sistemas de computadores por meio de conversa confiante com funcionários da empresa sobre informações valiosas, tais como as senhas.

• Mergulho no Depósito de Lixo: Vasculhar o lixo de uma empresa para encontrar informações que ajudem a interromper seus computadores. Às vezes, a informação é utilizada para tornar uma tentativa de engenharia social mais confiável

16

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

Administração de Segurança em e-Business

Criptografia

Defesas contra Negação de Serviço

Firewalls

Monitoramentode E-mail

Defesas de Vírus

17

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

Outras Medidas de Segurança de e-Business

Códigos deSegurança

Monitores deSegurança

Cópias deSegurança

ControlesBiométricos

18

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

Controles de Falha no computador

Camada Ameaça Métodos Tolerantes a Falhas

Sistemas Tolerantes a Falhas

Isolamento do sistemaSegurança de dados

Aplicações Ambiente, falhas de hardware e softrwareInterrupções de energia elétricaErros de dados

Erros de transmissão

Falhas de hardware e softwareErros de mídia

Sistemas

Bancos deDadosRedes

Processos

Arquivos

Processa-dores

Redundância de aplicações, pontos de verificação

Histórias das transações, cópias de segurançaRoteamento alternativo, códigos de correção de erros

Pontos de verificação

Reprodução de dados

Nova tentativa de instrução

19

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

Auditoria e Controle de Sistemas e-Business

Controles deProcessamento

FirewallsControles de

SoftwareControles de

HardwarePontos deVerificação

Controles deProcessamento

FirewallsControles de

SoftwareControles de

HardwarePontos deVerificação

Controlesde

Armazenamento

Controlesde

Entrada

Controlesde

Saída

Códigos de SegurançaCriptografiaSinais de Erros

Códigos de SegurançaCriptografiaArquivos de Reserva

Códigos deSegurançaCriptografiaTotais de ControleFeedback do UsuárioFinal

20

Auditoria de SI

Auditoria em torno do computadorEnvolve a verificação da precisão e propriedade de entrada e saída do computador produzida sem avaliação do software que processou os dados.

Vantagens deste método:- Método simples e fácil que não exige auditores com

experiência em programação.

Desvantagens deste método:- Não acompanha uma transação ao longo de todas as suas

etapas de processamento - Não testa a precisão e integridade do software utilizado.

21

Auditoria de SIAuditoria por meio do computador

Envolve verificação da precisão e integridade do software que processa os dados, bem como das entradas e saídas produzidos pelos sistemas e redes de computadores.

Vantagens deste método:- Testa a precisão e integridade dos programas de

computador.- Testa a entrada e saída do sistema de computador.

Desvantagens deste método:- Exige conhecimento do sistema de computador, de rede e

desenvolvimento de software.- Dispendioso para algumas aplicações de computador.

22

10Segurança e Desafios Éticos de e-Business

Sistemas de Informação – James A. O’Brien – Editora Saraiva

• Quem participará?• Quais serão as suas

obrigações?• Que hardware e

software será usado?• Que aplicações terão

prioridade de execução?

• Que outras instalações poderão ser utilizadas?

• Onde os bancos de dados serão armazenados?

Recuperação de Desastres

Exercício

• Responda:

• Quais seriam os grandes desafios de segurança para o sucesso de um negócio virtual para uma empresa nacional que utiliza a Tecnologia da Informação para oferecer seus produtos diretamente pela Internet ao consumidor final?

23