Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO Controles sobre banco de dados e microcomputadores Cynara Carvalho [email protected] 1 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados • Os dados corporativos são os maiores patrimônios de uma organização. Como são armazenados e manipulados por softwares de banco de dados, os controles sobre eles é de importância vital. • SGBD – Vários modelos e padrões disponíveis no mercado. Independente de qual seja, há a necessidade de auditagem e monitoramento. • Auditores especializados com cada SGBD, conhecendo seus pontos fracos em termos de segurança. Software de Banco de Dados • Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. 2 Auditoria de Tecnologia da Informação Software de Banco de Dados (cont.) • Instalação - verificar se foi feito de acordo com as recomendações do Fornecedor e se foram instaladas as correções e alterações de segurança mais atualizadas. • Configuração - comparar os parâmetros de configuração com as Recomendações de segurança conhecidas para SGDB em exame. • Manutenção e documentação – verificar se os procedimentos de atualização de versões, instalação de correções e de documentação são adequados. • Utilitários - alguns SGDB possuem software utilitários associados a sua implementação que permitem acesso direto a dados, sem passar pelos controles normais de segurança de acesso. A equipe deve verificar a existência desses utilitários e garantir que seu uso seja feito por um Número restrito de pessoas e controlado por mecanismos de segurança. 3 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados • Disponibilidade – Característica fundamental do BD. Mecanismos de recuperação devem garantir a a recuperação rápida de dados, em caso de perda ou corrupção. Uma vantagem é que maioria dos SGBD´s , principalmente os de grande porte, contém facilidades que mantêm cópias da base de dados e registros das últimas alterações. • Backup – Bases e logs devem ser copiados diariamente. Devido a custos de armazenamento, esse período pode ser avaliado pela equipe. Toda rotina de backup deve ser testada para comprovar sua eficiência. Logs e dados devem estar em unidades diferentes. • Replicação e redundância – Distribuição e espelhamento de dados entre servidores, para uma maior disponibilidade de dados. 4 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados • Integridade – Garantia que os dados estão completos e corretos. Restrição a atualização simultânea - apenas um usuário de cada vez obtém acesso para atualização de um determinado registro. Restabelecimento dos ponteiros e índices para as estruturas de dados grande parte dos SGDB possuem mecanismos internos de detecção, análise e recuperação dos ponteiros e índices para as estruturas de dados. Controle de atualização de dados em ambientes de banco de dados distribuídos – é necessário que haja mecanismos de controle e atualização de dados nesse ambiente. Mecanismos de reorganização – de tempos em tempos, após várias atualizações, a base de dados precisa ser reorganizada para que a integridade dos dados seja mantida. Mecanismos de verificação de integridade e correção – é necessário existir mecanismos que analisem e corrigem a integridade caso detectem algum problema 5 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados Confidencialidade – Nem todos os usuários precisam ter acesso a todos os dados. Para garantir a confidencialidade dos dados, devem existir mecanismos de controle que permitam que os usuários acessem apenas os dados necessários para a execução de suas funções na empresa. • Controles de Acesso – O acesso deve restringir aos dados necessários para o desempenho das funções. • Controle de Uso - O registro de uso através de logs garante o controle das alterações. LISTAS DE VERIFICAÇÃO 6 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores • A proliferação do uso de microcomputadores fez com que esses ambientes cada vez mais passassem a ser alvos de auditorias. Características: • Configuração de HW e SW mais simples. • Maior interação entre usuário e computador. • Tarefas como boot, localizar e copiar arquivos, deletar, etc., tornaram-se tarefas simples para usuários. • Menor controle físico e ambiental sobre equipamentos. • Mesmo assim, as políticas de segurança e auditoria não podem deixar de ser aplicadas ao ambiente de microinformática. Riscos e Controles Específicos • O risco vem da própria falta de controle do ambiente. Os usuários vêem os micros em suas mesas como propriedades, sobre as quais exercem seus próprios controles e agem da forma como acharem melhor. 7 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Riscos e Controles Específicos • Há uma dificuldade de conscientização de usuários de micros quanto à importância de segurança. Programas educativos, treinamentos e boletins ajudam a quebrar resistências. • Não faz sentido os micros estarem “ilhados”, como forma de controle e prevenção, mas a conexão destes equipamentos à rede da empresa requer cuidados e alguns procedimentos padrões, em virtude da segurança. Conformidade com a Legislação • Usuários de micro têm sempre a tentação de instalar e usar softwares estranhos à organização. • Posturas desses usuários: • “Ninguém vai ficar sabendo.” • “Ninguém me disse que não podia.” • “Eu não sabia que era proibido por lei”. 8 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Conformidade com a Legislação • Os usuários devem conhecer previamente as normas da empresa em relação à instalação de softwares, para que se respeitem direitos autorais e que também saibam como proteger as informações confidenciais da empresa. Pirataria • Formas comuns: • Comprar uma licença e copiá-la para vários computadores. • Alugar software sem permissão do detentor de copyright. • Fazer, distribuir ou vender cópias de SW como se fosse seu proprietário. • Baixar pela Internet sem anuência do detentor do copyright. • Prática condenada em instituições, por razões de legalidade, ética e riscos de perdas e danos. • Verificação de SW pirata é prática comum em qualquer auditoria. 9 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Controles de Acesso Físico e Lógico • O acesso físico é menos controlado nos micros. Essa facilidade representa uma porta de entrada ou uma tentação para burlar os controles. Os dados também podem ser copiados, apagados ou alterados por usuários não autorizados. • Interfaces amigáveis ao mesmo tempo que ajudam o usuário com inúmeras ferramentas, facilitam também o acesso a arquivos e programas. • A instalação de pacotes de segurança, senhas, criptografia e armazenamento de dados importantes somente em servidores, provê um grau de proteção maior contra acesso não autorizado. • Estabilizadores e no-breaks podem garantir a disponibilidade dos micros. 10 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Proteção Contra Vírus • Os micros se tornaram principal alvo dessa ameaça, pois onde estão as maiores falhas na prevenção e sobretudo pela alta conectividade destes equipamentos. • Existem alguns controles para a empresa reduzir os riscos de vírus, alguns técnicos, outros administrativos. Uso de Anti-Vírus • Necessário não apenas a instalação, mais uma correta configuração e atualização periódica. • Participação em listas ou fóruns para tomar conhecimento de novas pragas e como prevenir do seu ataque. Cuidado com mensagens falsas. • Disseminação entre todos os usuários da existência de novos vírus, suas formas de ataque e, caso disponível, sua vacina. Lista de Verificações 11 Exercícios Propostos – Banco de dados 1) Além dos aspectos típicos de segurança que devem ser verificados em uma auditoria, a equipe de auditoria deve checar os controles gerais aplicados a SGDB. Que controles são esses? Fale sobre cada um. 2) Quais as principais vantagens dos SGBD, que dizem respeito a DISPONIBILIDADE de informações? 3) Quais são as propriedades intrínsecas dos SGDB’s para garantir a INTEGRIDADE dos dados? Fale sobre cada uma delas. 4) Fale sobre a CONFIDENCIALIDADE dos dados garantidas pelos SGBD’s. 12 Exercícios Propostos - Microcomputadores 1) Os mesmos controles aplicados a um ambiente de tecnologia de grande porte pode ser aplicado ao ambiente de pequeno porte, como ambiente de microcomputadores? Explique. 2) Cite as principais características de um ambiente de pequeno porte (micro) 3) Quais são os principais riscos associados ao ambiente de pequeno porte (micro)? 4) Quais os principais controles que devem ser utilizados em um ambiente de pequeno porte (micro)? Fale sobre cada um deles. 13