Professional Documents
Culture Documents
CSC AUDITORIA
Auditores: FRANCISCO WAGNER COSTA KLAUS FISCHER GOMES SANTANA RAFAEL ARAUJO DE FREITAS MARCOS MEIRELES SERGIO ANDRADE
SUMRIO
1. APRESENTAO ............................................................................................................. 3 2. INTRODUO................................................................................................................... 3 2.1 O que Informao ..................................................................................................... 3 2.2 O que Segurana ...................................................................................................... 3 2.3 O que Segurana da Informao .............................................................................. 4 2.4 Como Garantir a Segurana das Informaes ............................................................. 4 3. OBJETIVOS....................................................................................................................... 5 4. ABRANGNCIA................................................................................................................. 5 4.1 Identificao das necessidades de segurana da Organizao ................................... 5 4.2 Recomendao de controles e medidas de proteo emergenciais adequados .......... 6 5. METODOLOGIA ................................................................................................................ 6 6. EQUIPE DE AUDITORIA ................................................................................................... 6 7. ANLISE GERAL DE SEGURANA ................................................................................. 7 7.1 Segurana Tecnolgica ............................................................................................... 7 7.1.1 Sistema de Anti-Vrus ............................................................................................ 7 7.1.2 Controle da Internet............................................................................................... 7 7.1.3 Controle dos Notebooks ........................................................................................ 8 7.1.4 Atualizao Peridica dos Softwares..................................................................... 8 7.1.5 Checagem Peridica de Vulnerabilidades ............................................................. 8 7.1.6 Equipe ou Profissional Responsvel pela Segurana............................................ 8 7.1.7 Teste de Invaso Interno e Externo Peridico ....................................................... 8 7.1.8 Anlise de Senhas para a Rede e de Senhas Pessoais ........................................ 8 7.2 Segurana Organizacional ........................................................................................... 8 7.2.1 Anlise das Necessidades e Procedimentos Utilizados pela Organizao ............ 9 7.2.2 Identificao dos Processos Crticos ..................................................................... 9 7.2.3 Classificao da Informao ................................................................................. 9 7.2.4 Existncia e conformidade de normas, prticas, polticas e procedimentos para tcnicos e usurios ...................................................................................................... 10 7.2.4.1 Definio de um plano de testes de recuperao a desastres ou teste do plano de contingncia .............................................................................................. 10 7.3 Segurana Fsica ....................................................................................................... 10 7.3.1 Controle de Acesso Fsico ................................................................................... 10 7.3.2 Energia Eltrica ................................................................................................... 10 7.3.3 Deteco e Combate a Incndios........................................................................ 11 7.3.4 Backup e armazenamento de mdias .................................................................. 11 7.4 Resumo das Ameaas e Riscos Atuais ...................................................................... 11 7.4.1 Principais Riscos Identificados ............................................................................ 11 7.4.2 Principais Falhas Encontradas ............................................................................ 11 8. CONCLUSO .................................................................................................................. 12 9. RECOMENDAES ....................................................................................................... 12 9.1 Implantao do Plano de Ao Emergencial .............................................................. 12 9.2 Regularizao da Instalao Eltrica ......................................................................... 13 9.3 Instalao de Cabeamento Estruturado ..................................................................... 13 9.4 Normatizao dos Equipamentos de Informtica ....................................................... 13 9.5 Estruturao da Rede Local ....................................................................................... 13 10. CONSIDERAES FINAIS ........................................................................................... 13 11. ANEXO Checklist ........................................................................................................ 15
CSC Auditoria
1. APRESENTAO
A presente auditoria, realizada pela Empresa CSC Auditoria, formada por alunos do Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas, disciplina de Segurana de Sistemas, da Faculdade de Tecnologia do Nordeste FATENE, tem a finalidade de aplicar os conhecimentos e conceitos adquiridos para estudar e analisar os processos relativos Tecnologia da Informao da Empresa R&L Extintores Ltda, e ao seu trmino sugerir por meio deste relatrio, conforme diagnstico obtido, melhorias nos processos gerenciais e operacionais da Empresa auditada no tocante a Tecnologia da Informao, doravante denominada TI.
2. INTRODUO
Para a correta evoluo no entendimento do trabalho, enfatizamos aqui alguns conceitos bsicos:
CSC Auditoria
segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente. [Dicionrio Aurlio]
Autenticidade e Legalidade.
CSC Auditoria
organizacional. Alm disso, deve-se implementar uma poltica de segurana eficiente, que discipline os acessos aos recursos, possua atualizao constante e gerenciamento sistmico, pois solues isoladas apenas criam um falso ar de segurana. O processo necessrio para salvaguardar informaes composto de trs etapas: anlise das vulnerabilidades, implantao e manuteno contnua de segurana. O presente instrumento enquadra-se na primeira etapa.
3. OBJETIVOS
Dentro do escopo da inspeo tcnica em segurana da informao no que tange a Empresa auditada, foram estabelecidos os seguintes objetivos: Anlise da atual estrutura de TI (parque tecnolgico); Anlise dos processos realizados pela Empresa com recursos de TI; Anlise dos sistemas de TI utilizados pela a Empresa.
4. ABRANGNCIA
CSC Auditoria
5. METODOLOGIA
Para o trabalho em questo, foi aplicada uma metodologia, centrada na anlise de vulnerabilidades, para atender os requisitos de eficincia e tempo. Baseando-se na norma ISO/IEC 27001, dentre todos, foram escolhidos os seguintes pontos de controle: Segurana fsica; Confidencialidade; Obedincia legislao em vigor; Eficincia e eficcia; Fidelidade e integridade da informao em relao ao dado.
6. EQUIPE DE AUDITORIA
Francisco Wagner Costa Moreira; Klaus Fischer Gomes Santana; Rafael Arajo de Freitas; Srgio Andrade Silva; Marcos da Silva Meireles.
CSC Auditoria
7.1.1 Sistema de Anti-Vrus O sistema de anti-vrus atual o NOD32 licenciado para todas as estaes de trabalho e atualizado.
7.1.2 Controle da Internet No existe profissional responsvel capacitado para esse trabalho.
CSC Auditoria
7.1.3 Controle dos Notebooks Existem notebooks a disposio dos gerentes. A despeito disso, no h controle sobre eles, e so conectados na rede interna sem qualquer reserva.
7.1.4 Atualizao Peridica dos Softwares Somente os navegadores de internet e o antivrus so atualizados periodicamente.
7.1.6 Equipe ou Profissional Responsvel pela Segurana No identificamos equipe ou profissional responsvel pela segurana da informao.
7.1.7 Teste de Invaso Interno e Externo Peridico Como no caso do controle da Internet, no existe profissional responsvel capacitado para esse trabalho.
7.1.8 Anlise de Senhas para a Rede e de Senhas Pessoais No existe uma poltica de controle de senhas para a rede e quanto ao acesso as estaes de trabalho, esta senha compartilhada por todos usurios.
CSC Auditoria
e qual segurana e responsabilidade destes usurios, quais setores precisam acessar quais informaes segundo o princpio Need to Know(quem realmente necessita saber da informao).
7.2.1 Anlise das Necessidades e Procedimentos Utilizados pela Organizao Nessa etapa so confrontados os procedimentos executados na organizao, que tenham relevncia para o sistema focado, com a atual realidade da execuo dos processos. Levando-se em considerao todos os processos informatizados ou no, que possam afetar direta ou indiretamente a segurana. Aps anlise, verificou-se que poucos processos esto definidos na empresa.
7.2.2 Identificao dos Processos Crticos Aps a checagem dos procedimentos, devem ser identificados os processos considerados crticos organizao, ou seja, aqueles que contm informaes sensveis aos negcios da organizao. Sistema de cobrana bancria (Bancos Itau e Bradesco); Sistema de folha de pagamento; Controle de fornecedores, clientes e funcionrios.
7.2.3 Classificao da Informao No existe hoje na organizao, uma hierarquia de confidencialidade definida para as informaes. Sendo assim no possvel assegurar que as informaes recebam um nvel apropriado de proteo, pois as informaes so classificadas para indicar a necessidade, as prioridades e o grau de proteo. Tais como: Uso Confidencial - aplicada s informaes de grande valor a organizao, se divulgadas indevidamente podem causar danos e prejuzos a organizao ou a seus parceiros. Seu uso e disseminao devem ser restritos e controlados.
9
CSC Auditoria
Uso Interno - aplicada s informaes restritas aos funcionrios e a terceiros. Uso Pblico - Informaes que podem ser divulgadas para o pblico em geral, incluindo clientes, fornecedores, imprensa, etc.
7.2.4 Existncia e conformidade de normas, prticas, polticas e procedimentos para tcnicos e usurios As normas, polticas e procedimentos que devem ser seguidos pelos funcionrios da organizao, no esto completas ou no foram especificadas. Com base no check-list (em anexo) efetuado com a gestora da clula de TI, devemos salientar os seguintes pontos:
10
CSC Auditoria
7.3.3 Deteco e Combate a Incndios Os controles de deteco foram identificados de acordo com as normas vigentes. 7.3.4 Backup e armazenamento de mdias O controle de backup manual feito por meio de HDs externos, que muitas vezes ficam na prpria empresa.
Acesso e/ou cpia indesejada de dados; Alterao e/ou fabricao de dados; Deleo indesejada de dados; Extravio de documentos; Roubo de ativos importantes; Fragilidade a engenharia social; Fraude.
Intolerncia a acidentes e falhas em ativos, sistemas, processos e infraestrutura; Conectividade externa e interna sem a devida segurana; Poltica de senhas no aplicada; Falta de controle sistmico dos processos; No identificao dos invasores externos e internos; Falta de controle de acesso e insegurana fsica nas instalaes; Inexistncia de controle das impresses.
11
CSC Auditoria
8. CONCLUSO
Conforme constatamos, a Empresa auditada no tem uma Poltica de Segurana da Informao definida, bem assim, no tem um parque tecnolgico adequado para suas atividades atuais.
9. RECOMENDAES
c) Remodelao da clula de informtica d) Construo do regimento interno e) Implantao das novas rotinas de auditoria interna e externa f) Implantao dos sistemas pendentes
12
CSC Auditoria
Em sumo do que foi analisado e evidenciado nesse trabalho, definir nveis e controles de segurana como receitar um medicamento. Se muito fraco ou em doses mnimas (abaixo do necessrio para prover segurana), o problema persistir ou ser reduzido a um nvel insatisfatrio. Por outro lado, comprar um remdio
13
CSC Auditoria
carssimo para combater uma gripe simples certamente reduzir seu potencial de investimento destinado a prevenir ou combater doenas mais graves. Outro ponto importante a ser considerado o impacto dos controles sobre os servios da organizao, pois um processo "engessado" demais pode ser traduzido em prejuzos para a administrao.
14
CSC Auditoria
15