Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
AUDITORIA DA TECNOLOGIA DA
INFORMAÇÃO
Controles sobre banco de dados e
microcomputadores
Cynara Carvalho
[email protected]
1
Auditoria de Tecnologia da Informação
Controles Sobre Banco de Dados
• Os dados corporativos são os maiores patrimônios de uma
organização. Como são armazenados e manipulados por softwares de
banco de dados, os controles sobre eles é de importância vital.
• SGBD – Vários modelos e padrões disponíveis no mercado.
Independente de qual seja, há a necessidade de auditagem e
monitoramento.
• Auditores especializados com cada SGBD, conhecendo seus pontos
fracos em termos de segurança.
Software de Banco de Dados
• Controles gerais iguais aos de pacotes de softwares: Instalação,
Configuração, Manutenção, Utilitários.
2
Auditoria de Tecnologia da Informação
Software de Banco de Dados (cont.)
• Instalação - verificar se foi feito de acordo com as recomendações do
Fornecedor e se foram instaladas as correções e alterações de segurança
mais atualizadas.
• Configuração - comparar os parâmetros de configuração com as
Recomendações de segurança conhecidas para SGDB em exame.
• Manutenção e documentação – verificar se os procedimentos de
atualização de versões, instalação de correções e de documentação são
adequados.
• Utilitários - alguns SGDB possuem software utilitários associados a sua
implementação que permitem acesso direto a dados, sem passar pelos
controles normais de segurança de acesso. A equipe deve verificar a
existência desses utilitários e garantir que seu uso seja feito por um
Número restrito de pessoas e controlado por mecanismos de segurança.

3
Auditoria de Tecnologia da Informação
Controles Sobre Banco de Dados
• Disponibilidade – Característica fundamental do BD. Mecanismos de
recuperação devem garantir a a recuperação rápida de dados, em caso
de perda ou corrupção. Uma vantagem é que maioria dos SGBD´s ,
principalmente os de grande porte, contém facilidades que mantêm
cópias da base de dados e registros das últimas alterações.
• Backup – Bases e logs devem ser copiados diariamente. Devido a
custos de armazenamento, esse período pode ser avaliado pela equipe.
Toda rotina de backup deve ser testada para comprovar sua eficiência.
Logs e dados devem estar em unidades diferentes.
• Replicação e redundância – Distribuição e espelhamento de dados
entre servidores, para uma maior disponibilidade de dados.
4
Auditoria de Tecnologia da Informação
Controles Sobre Banco de Dados
• Integridade – Garantia que os dados estão completos e corretos.
 Restrição a atualização simultânea - apenas um usuário de cada vez
obtém acesso para atualização de um determinado registro.
 Restabelecimento dos ponteiros e índices para as estruturas de dados grande parte dos SGDB possuem mecanismos internos de detecção,
análise e recuperação dos ponteiros e índices para as estruturas de dados.
 Controle de atualização de dados em ambientes de banco de dados
distribuídos – é necessário que haja mecanismos de controle e atualização
de dados nesse ambiente.
 Mecanismos de reorganização – de tempos em tempos, após várias
atualizações, a base de dados precisa ser reorganizada para que a
integridade dos dados seja mantida.
 Mecanismos de verificação de integridade e correção – é necessário
existir mecanismos que analisem e corrigem a integridade caso detectem
algum problema
5
Auditoria de Tecnologia da Informação
Controles Sobre Banco de Dados
 Confidencialidade – Nem todos os usuários precisam ter acesso a
todos os dados. Para garantir a confidencialidade dos dados, devem existir
mecanismos de controle que permitam que os usuários acessem apenas
os dados necessários para a execução de suas funções na empresa.
• Controles de Acesso – O acesso deve restringir aos dados necessários
para o desempenho das funções.
• Controle de Uso - O registro de uso através de logs garante o controle
das alterações.

LISTAS DE VERIFICAÇÃO
6
Auditoria de Tecnologia da Informação
Controles Sobre Microcomputadores
• A proliferação do uso de microcomputadores fez com que esses
ambientes cada vez mais passassem a ser alvos de auditorias.
Características:
• Configuração de HW e SW mais simples.
• Maior interação entre usuário e computador.
• Tarefas como boot, localizar e copiar arquivos, deletar, etc.,
tornaram-se tarefas simples para usuários.
• Menor controle físico e ambiental sobre equipamentos.
• Mesmo assim, as políticas de segurança e auditoria não podem
deixar de ser aplicadas ao ambiente de microinformática.
Riscos e Controles Específicos
• O risco vem da própria falta de controle do ambiente. Os usuários
vêem os micros em suas mesas como propriedades, sobre as quais
exercem seus próprios controles e agem da forma como acharem
melhor.
7
Auditoria de Tecnologia da Informação
Controles Sobre Microcomputadores
Riscos e Controles Específicos
• Há uma dificuldade de conscientização de usuários de micros quanto à
importância de segurança. Programas educativos, treinamentos e
boletins ajudam a quebrar resistências.
• Não faz sentido os micros estarem “ilhados”, como forma de controle
e prevenção, mas a conexão destes equipamentos à rede da empresa
requer cuidados e alguns procedimentos padrões, em virtude da
segurança.
Conformidade com a Legislação
• Usuários de micro têm sempre a tentação de instalar e usar softwares
estranhos à organização.
• Posturas desses usuários:
• “Ninguém vai ficar sabendo.”
• “Ninguém me disse que não podia.”
• “Eu não sabia que era proibido por lei”.
8
Auditoria de Tecnologia da Informação
Controles Sobre Microcomputadores
Conformidade com a Legislação
• Os usuários devem conhecer previamente as normas da empresa em
relação à instalação de softwares, para que se respeitem direitos
autorais e que também saibam como proteger as informações
confidenciais da empresa.
Pirataria
• Formas comuns:
• Comprar uma licença e copiá-la para vários computadores.
• Alugar software sem permissão do detentor de copyright.
• Fazer, distribuir ou vender cópias de SW como se fosse seu
proprietário.
• Baixar pela Internet sem anuência do detentor do copyright.
• Prática condenada em instituições, por razões de legalidade, ética e
riscos de perdas e danos.
• Verificação de SW pirata é prática comum em qualquer auditoria.
9
Auditoria de Tecnologia da Informação
Controles Sobre Microcomputadores
Controles de Acesso Físico e Lógico
• O acesso físico é menos controlado nos micros. Essa facilidade
representa uma porta de entrada ou uma tentação para burlar os
controles. Os dados também podem ser copiados, apagados ou
alterados por usuários não autorizados.
• Interfaces amigáveis ao mesmo tempo que ajudam o usuário com
inúmeras ferramentas, facilitam também o acesso a arquivos e
programas.
• A instalação de pacotes de segurança, senhas, criptografia e
armazenamento de dados importantes somente em servidores, provê
um grau de proteção maior contra acesso não autorizado.
• Estabilizadores e no-breaks podem garantir a disponibilidade dos
micros.
10
Auditoria de Tecnologia da Informação
Controles Sobre Microcomputadores
Proteção Contra Vírus
• Os micros se tornaram principal alvo dessa ameaça, pois onde estão
as maiores falhas na prevenção e sobretudo pela alta conectividade
destes equipamentos.
• Existem alguns controles para a empresa reduzir os riscos de vírus,
alguns técnicos, outros administrativos.
Uso de Anti-Vírus
• Necessário não apenas a instalação, mais uma correta configuração e
atualização periódica.
• Participação em listas ou fóruns para tomar conhecimento de novas
pragas e como prevenir do seu ataque. Cuidado com mensagens falsas.
• Disseminação entre todos os usuários da existência de novos vírus,
suas formas de ataque e, caso disponível, sua vacina.
Lista de Verificações
11
Exercícios Propostos – Banco de dados




1) Além dos aspectos típicos de segurança que devem ser
verificados em uma auditoria, a equipe de auditoria deve checar os
controles gerais aplicados a SGDB. Que controles são esses? Fale
sobre cada um.
2) Quais as principais vantagens dos SGBD, que dizem respeito a
DISPONIBILIDADE de informações?
3) Quais são as propriedades intrínsecas dos SGDB’s para garantir a
INTEGRIDADE dos dados? Fale sobre cada uma delas.
4) Fale sobre a CONFIDENCIALIDADE dos dados garantidas pelos
SGBD’s.
12
Exercícios Propostos - Microcomputadores




1)
Os mesmos controles aplicados a um ambiente de tecnologia de
grande porte pode ser aplicado ao ambiente de pequeno porte,
como ambiente de microcomputadores? Explique.
2) Cite as principais características de um ambiente de pequeno
porte (micro)
3) Quais são os principais riscos associados ao ambiente de
pequeno porte (micro)?
4) Quais os principais controles que devem ser utilizados em um
ambiente de pequeno porte (micro)? Fale sobre cada um deles.
13