Auditoria de Controles - Aula 22

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

Auditoria de Controle de Hardware

● Objetiva implantar os procedimentos de segurança física sobre os equipamentos instalados em ambiente de informática de uma organização● Funções e mecanismos para restringir acessos● O controle envolve aplicação do próprio equipamento para se

proteger contra riscos estruturais● Engloba controles referentes à proteção da vida de pessoas

3

Auditoria de Controle de Hardware

● Importância● Evita perda de hardwares e os protege contra o desfuncionamento

que gera parada nas operações● Evita perdas financeiras● Evita desvantagem competitiva

4

Auditoria de Controle de Hardware

● Processo de controle de hardware● Físicos:

● Procedimentos que orientam o manuseio dos equipamentos

● Automatizados: ● Representam os controles construídos junto com os equipamentos pelo fabricante,

que ajudam a descobrir e controlar erros que surgem do uso do próprio equipamento

5

Auditoria de Controle de Hardware

● O significado de controle de hardware para auditores● Asseguram a execução correta de instruções dadas para as máquinas

através dos programas● Sem os procedimentos de controle de hardware os auditores teriam

dificuldades em levantar o modus operandi dos hardwares do ambiente de informática

6

Auditoria de Controle de Hardware

● Inventário de hardware● Verificação de todos os hardware do ambiente de informática● Verificação automática dos recursos construídos no hardware ou até

adicionados● Diagnóstico

● Bios● Processadores● Sistema operacional e a linguagem● Fabricante/modelo e séries● Monitor e a resolução● Placas de modem, som, vídeo e etc...

7

Auditoria de Controle de Hardware

● Padronização● Padronizar os modelos de equipamento é fundamental para auxiliar

na implementação de um controle efetivo● Configuração de forma homogênea de todas as estruturas de

hardwares operacionais● Para redes deve-se contemplar no mínimo 95% equipamentos do

mesmo fabricante

8

Auditoria de Controle de Hardware

● Amenizando riscos de segurança no controle de hardware● Extintores de incêndio● Restrições às pessoas externas● Firewall...

9

Auditoria de Controle de Hardware

● Objetivos de controle de hardware● Restringir acessos internamente dentro da organização, garantindo a

proteção de terminais, unidade central de processamento, servidores, unidades de conversão de dados, vidas, etc…

● Utilizar equipamentos que restrinjam acesso físico de pessoas alheias ao ambiente de processamento, pessoas que têm interesse pelas informações da organização e que não têm permissão para acessá-las

10

Auditoria de Controle de Hardware

● Riscos de instalação de softwares piratas● Implementar políticas de segurança que impedem essa prática● Utilizar softwares para descobrir produtos sem licenças (SekChek)

11

Auditoria de Controle de Hardware

● Programas de levantamento de controles internos de hardware● A fim de facilitar o levantamento de dados, para a efetividade de

controles internos do ambiente de hardware da empresa, os seguintes cheklists podem ser aplicados

12

13

14

15

16

17

Auditoria de Controle de Acesso

● Objetivo● Acesso físico: controle sobre o acesso físico ao hardware● Acesso lógico: controle sobre a acesso aos recursos do sistema

18

Auditoria de Controle de Acesso

● Execução de auditoria de acesso lógico● A empresa possui rotinas de aprovação e autorização automática que

podem causar a movimentação de grande quantidade de ativos, incluindo caixa, investimentos ou estoque?

● Um número significativo de procedimentos de controle programados depende da existência de controles de acesso adequados, isto é, de conhecimento dos proprietários dos sistemas?

● As competências exigidas dos funcionários estão disponíveis no ambiente que o sistema operará?

19

Auditoria de Controle de Acesso

● Working papers de teste de controles de acessos● Programas que devem ser preenchidos:

● Programa de Auditoria de Segurança de Acesso Lógico● Programa de Políticas de Segurança de Acessos● Programas de testes específicos (para acesso físicos)

20

21

22

23

24

25

Auditoria de Controle de Suporte Técnico

● Funções das atividades de suporte técnico● Funções rotineiras

● Gerenciamento de help desk● Socorro aos problemas de instalação de redes● Monitoramento das ocorrências de problemas● Treinamentos dos usuários de softwares● Revisão preventiva dos equipamentos● Substituição dos equipamentos antigos● Segurança de informação quando não há administrador de segurança da informação

26

Auditoria de Controle de Suporte Técnico

● Funções das atividades de suporte técnico● Funções esporádicas

● Dimensionamento de banco de dados● Instalação de softwares utilitários● Manutenção dos sistemas operacionais● Instalação dos upgrades● Avaliação de softwares para fins de compras● Padronização dos recursos de TI● Atica;cão de redes

27

Auditoria de Controle de Suporte Técnico

● Objetivo da auditoria de suporte técnico● Constatar se os recursos de alta tecnologia da empresa estão sendo

utilizados adequadamente● Confirmar se os recursos estão contribuindo para o aumento de valor

da empresa

28

Auditoria de Controle de Suporte Técnico

● Programa de testes de controles

29

30

31

Bibliografia básica

● IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2.ed./3.ed São Paulo: Atlas, 2008/2016.