Introdução aos Sistemas de
Informações
Unidade Didática 6:
Segurança e Auditoria de Sistemas
Por que os Controles São
Necessários
• Os controles são necessários para garantir a qualidade e
segurança dos recursos de hardware, software, redes e
dados dos sistemas de informação. Os computadores
provaram que podem processar grandes volumes de dados
e executar cálculos complexos de modo mais preciso do que
os sistemas manuais ou mecânicos.
• Entretanto, sabe-se também que:
- Ocorrem erros em sistemas computadorizados
- Os computadores têm sido utilizados para fins
fraudulentos.
- Os sistemas de computador e seus recursos de software e
dados têm sido destruídos acidental ou deliberadamente.
2
Controles eficazes fornecem
segurança aos SI
• A precisão, integridade e segurança das
atividades e recursos.
• Os controles podem minimizar erros,
fraude e destruição.
• Fornecem garantia de qualidade.
• Reduzem o impacto negativo (e
aumentam o impacto positivo) que a TI
pode produzir na sobrevivência e sucesso
das empresas.
3
Tipos de Controle
• Três tipos principais de controle devem
ser desenvolvidos para garantir a
qualidade e segurança dos SI.
• Essas categorias de controle incluem:
- Controles de sistemas de informação.
- Controles de procedimentos.
- Controles de instalações.
4
1. Controles dos SI
• Entrada de dados
• Senhas e outros códigos
• Telas formatadas e máscaras
• Sinais audíveis de erro
• Técnicas de processamento
• Controle de hardware
• Controle de software
• Métodos de armazenamento
• Criptografia
• Backup
• Proteção contra uso não autorizado
• Saída de informações
•
•
•
•
•
Documentos e relatórios
Listas de distribuição
Formulários pré-numerados
Listagens de distribuição
Acesso à saída
5
Controles de Hardware
• Circuitos de Detecção de Falhas - são os circuitos
encontrados dentro do computador utilizados para
monitorar suas operações
• Componentes Redundantes - dispositivos que
verificam e promovem a exatidão de atividades de
leitura e gravação
• Microprocessadores de Finalidades Especiais chaves que podem ser usados para apoiar
diagnósticos e manutenção à distância.
6
Controles de Software
• Rótulos de Arquivos Internos - garante que o
arquivo correto de armazenamento está sendo
utilizado e que os dados corretos no arquivo foram
processados
• Pontos de Verificação - pontos intermediários
dentro de um programa que está sendo
processado, onde os resultados intermediários
são gravados
• Monitores de Segurança de Sistema - programas
que monitoram o uso do computador e protegem
seus recursos contra uso não autorizado, fraude e
destruição
7
2. Controles das Instalações
Casualidades
• Acidentes,
• Desastres naturais,
• Sabotagem,
• Vandalismo,
• Uso não autorizado,
• Espionagem industrial,
• Destruição, e
• Roubo de recursos
8
2. Controles das Instalações
•
•
•
•
•
•
Segurança de rede
Criptografia
Firewall
Biometria
Controle de falhas
Controles de proteção física
9
Controles de Proteção Física
•
•
•
•
•
•
Símbolos de identificação,
Fechaduras eletrônicas,
Alarmes contra roubo,
Polícia de segurança,
Circuito fechado de TV, e
Outros sistemas de detecção
10
3. Controles de Procedimentos
• Padrões de procedimento e
documentação
• Requisitos de Autorização
• Recuperação de Desastres
• Controles para a Computação pelo
Usuário Final
11
Segurança e Desafios Éticos de e-Business
Crime com o uso do Computador
Acesso Indevido
(Hacking)
10
Ciberrroubo
Vírus de
Computador
Uso não autorizado
em Serviço
Pirataria
Sistemas de Informação – James A. O’Brien – Editora Saraiva
12
Segurança e Desafios Éticos de e-Business
Táticas Usuais de Hacking
•
•
•
•
•
•
•
Negação de Serviço
Scans
Programas de Sniffer
Spoofing
Cavalos de Tróia
Back Doors
Applets prejudiciais
10
• Discagem de Guerra
(War Dialing)
• Bombas Lógicas
• Buffer Overflow
• Quebrador de Senhas
• Engenharia Social
• Mergulho no Depósito
de Lixo
Sistemas de Informação – James A. O’Brien – Editora Saraiva
13
TÁTICAS USUAIS DE HACKING
• Negação de Serviço: Tornando o equipamento de um website ocupado
com muitos pedidos de informação, um atacante pode, de fato, obstruir o
sistema, reduzir seu desempenho ou mesmo travar o site.
• Scans: Extensas investigações na Internet para descobrir tipos de
computadores, serviços e conexões. Dessa forma, maus sujeitos podem
tirar vantagem de fraquezas de uma determinada fabricação de
computador ou de um programa.
• Sniffer: Programas que, de modo disfarçado, procuram pacotes
individuais de dados ao serem transmitidos pela Internet, capturando
senhas de acesso ou conteúdos completos.
• Spoofing: Disfarçar um endereço de e-mail ou página da Web para
enganar usuários, levando-os a entregar informações cruciais, como
senhas de acesso ou números de cartão de crédito.
• Cavalo de Tróia: Um programa que, ignorado pelo usuário, contém
instruções que exploram uma conhecida vulnerabilidade de alguns
softwares.
• Back Doors: Se o ponto de entrada original tiver sido detectado, ter uns
poucos caminhos escondidos nos fundos torna a reentrada simples — e
difícil de ser percebida.
14
TÁTICAS USUAIS DE HACKING
• Applets prejudiciais: programas escritos na popular linguagem Java, que
utilizam mal os recursos de seu computador, modificam arquivos no disco
rígido, enviam e-mail falso, ou roubam senhas.
• Discagem de Guerra: Programas que automaticamente discam milhares
de números de telefone buscando uma forma de fazer uma conexão com
um modem.
• Bombas lógicas: Uma instrução num programa de computador que o faz
realizar uma ação prejudicial.
• Buffer Overflow: Uma técnica para travar ou obter controle sobre um
computador enviando uma quantidade muito grande de dados ao buffer na
memória de um computador.
• Quebrador de senhas: Software que pode descobrir senhas.
• Engenharia social: Uma tática utilizada para conseguir acesso aos
sistemas de computadores por meio de conversa confiante com
funcionários da empresa sobre informações valiosas, tais como as
senhas.
• Mergulho no Depósito de Lixo: Vasculhar o lixo de uma empresa para
encontrar informações que ajudem a interromper seus computadores. Às
vezes, a informação é utilizada para tornar uma tentativa de engenharia
social mais confiável
15
Segurança e Desafios Éticos de e-Business
Administração de Segurança em e-Business
Criptografia
10
Firewalls
Defesas de
Vírus
Defesas contra
Negação de Serviço
Monitoramento
de E-mail
Sistemas de Informação – James A. O’Brien – Editora Saraiva
16
Segurança e Desafios Éticos de e-Business
Outras Medidas de Segurança de e-Business
10
Códigos de
Segurança
Cópias de
Segurança
Monitores de
Segurança
Controles
Biométricos
Sistemas de Informação – James A. O’Brien – Editora Saraiva
17
Segurança e Desafios Éticos de e-Business
Controles de Falha no computador
10
Sistemas Tolerantes a Falhas
Camada
Ameaça
Aplicações Ambiente, falhas de
hardware e softrware
Sistemas
Interrupções de
energia elétrica
Bancos de Erros de dados
Dados
Redes
Erros de transmissão
Processos Falhas de hardware
e software
Arquivos
Erros de mídia
Processadores
Métodos Tolerantes a Falhas
Redundância de aplicações, pontos
de verificação
Isolamento do sistema
Segurança de dados
Histórias das transações,
cópias de segurança
Roteamento alternativo, códigos de
correção de erros
Pontos de verificação
Reprodução de dados
Nova tentativa de instrução
Sistemas de Informação – James A. O’Brien – Editora Saraiva
18
Segurança e Desafios Éticos de e-Business
Auditoria e Controle de Sistemas e-Business
Controles de
Processamento
Controles
de
Entrada
Firewalls
Códigos de Segurança
Criptografia
Sinais de Erros
Controles
de
Controles de
Software
Software
Controles
de
Controles de
Hardware
Hardware
Pontos
de
Pontos de
Verificação
Verificação
Controles
de
Armazenamento
10
Controles
de
Saída
Códigos de
Segurança
Criptografia
Totais de Controle
Feedback do Usuário
Final
Códigos de Segurança
Criptografia
Arquivos de Reserva
Sistemas de Informação – James A. O’Brien – Editora Saraiva
19
Auditoria de SI
Auditoria em torno do computador
Envolve a verificação da precisão e propriedade de
entrada e saída do computador produzida sem avaliação
do software que processou os dados.
Vantagens deste método:
- Método simples e fácil que não exige auditores com
experiência em programação.
Desvantagens deste método:
- Não acompanha uma transação ao longo de todas as suas
etapas de processamento
- Não testa a precisão e integridade do software utilizado.
20
Auditoria de SI
Auditoria por meio do computador
Envolve verificação da precisão e integridade do software
que processa os dados, bem como das entradas e saídas
produzidos pelos sistemas e redes de computadores.
Vantagens deste método:
- Testa a precisão e integridade dos programas de
computador.
- Testa a entrada e saída do sistema de computador.
Desvantagens deste método:
- Exige conhecimento do sistema de computador, de rede e
desenvolvimento de software.
- Dispendioso para algumas aplicações de computador.
21
Segurança e Desafios Éticos de e-Business
Recuperação de Desastres
10
• Quem participará?
• Quais serão as suas
obrigações?
• Que hardware e
software será usado?
• Que aplicações terão
prioridade de
execução?
• Que outras instalações
poderão ser utilizadas?
• Onde os bancos de
dados serão
armazenados?
Sistemas de Informação – James A. O’Brien – Editora Saraiva
22
Exercício
• Responda:
• Quais seriam os grandes desafios de
segurança para o sucesso de um negócio
virtual para uma empresa nacional que
utiliza a Tecnologia da Informação para
oferecer seus produtos diretamente pela
Internet ao consumidor final?
23