O que é estudado:
O que é uma Auditoria?
Compreende-se por Auditoria de Sistemas o processo em que é averiguado o nível de segurança de uma infra-estrutura ou sistema. O processo ocorre baseado num conjunto de metodologias pormenorizadas e precisas a todos os níveis da infra-estrutura. A principal diferença entre uma Auditoria e um Teste de Intrusão é a garantia que na Auditoria toda a infra-estrutura é detalhadamente testada, enquanto no Teste de Intrusão apenas são testados os possíveis vetores de ataque.
Para além disso a Auditoria prevê um acesso às especificações da infra-estrutura por parte dos Auditores.
O porquê de uma Auditoria?
As razões para a realização de uma Auditoria de Sistemas e Redes são muito variados, e dependem de caso para caso. Vão desde o foro técnico, administrativo até ao foro comercial, contudo todas elas colmatam no mesmo objetivo: garantir a segurança da sua informação e das suas infra-estruturas.
Mesmo no caso da existência de uma equipe responsável pelas TI 's, a realização de serviços deste tipo torna-se um complemento obrigatório, visto tratar-se de um serviço altamente especializado.
Algumas das razões mais comuns para a realização de uma Auditoria de Sistemas e Redes:
Identificar as ameaças à sua informação, de maneira a ser possível quantificar o seu nível de risco, e a estruturar as respectivas medidas necessárias para aniquilar essas ameaças.
Quando executada periodicamente garante o mais alto nível de segurança possível.
Garante a proteção da informação que sustenta os objetivos do seu negócio.
Previne gastos resultantes de catástrofes informáticas relacionadas com segurança, valorizando assim o investimento feito na segurança informática.
Afirma-se como um pilar fundamental na continuidade de negócio.
Segurança de sistemas
Nos últimos anos muitas empresas de consultoria se especializaram em um mercado cada vez mais em alta que é o da segurança de sistemas. Estamos vivendo numa época em que a informação vale muito dinheiro. Preocupadas com isto muitas empresas investem pesado naquele setor.
A segurança de sistemas é composta de medidas de prevenção contra ataques internos e externos, passando pela engenharia social e chegando inclusive a ações práticas por intermédio de softwares e hardwares.
O melhor caminho para a segurança de uma empresa é a contratação de especialistas nesta área, que são responsáveis pela criação de importantes normas de segurança, práticas preventivas, além de testes periódicos dos sistemas implantados.
Antes de qualquer medida relacionada a software ou hardware é fundamental a preocupação com a Engenharia Social. Este fator consiste em instruir os funcionários a criarem senhas mais difíceis de serem descobertas por outrem e a não caírem na conversa de ninguém para a disponibilização das senhas ou informações importantes do sistema.
Deve-se levantar o tipo de informação que sai da empresa, verificar como são descartados seus documentos, bem como monitorar a entrada de pessoas estranhas a ela. Tais atitudes cotidianas quando não consideradas consistem em brechas (nunca auditadas) que normalmente permitem a indesejável aquisição de informações por terceiros.
É imprescindível à segurança do sistema a constante atualização de seus softwares, bem como dos recursos para a sua proteção (e aí estamos falando de antivírus, firewall, gerenciadores de e-mails e navegadores), já que quanto mais o novo software menor a possibilidade dos hackers terem conhecimento de suas brechas.
A política de gerenciamento de senhas deve ser ostensiva, isto significa dizer que a troca das senhas deve ser periódica, além de exigir de seus usuários sejam elas alfanuméricas, sendo indispensável à segurança do sistema o bloqueio do facilitador de gerenciadores e navegadores no arquivamento daquelas.
A criação de uma política de segurança com o devido treinamento dos usuários do sistema para se utilizarem de criptografia, demonstrando a sua importância para a proteção de informações, dificulta sobremaneira os ataques por meio de falsa identidade além daqueles baseados em grampear um link de rede.
Outra medida relevante para a segurança do sistema é a configuração dos roteadores por especialistas, uma vez que se cuidam de programas que traçam o caminho por onde determinada informação deve passar para atingir o seu destino com segurança e eficiência.
Não se pode deixar de mencionar, a este passo, a importância da utilização de um firewall para a segurança da rede (equipamento baseado em uma lista de restrições e permissões para a entrada e saída de informação do sistema), sendo de se ressaltar que ele deve estar bem configurado, que cubra toda a rede e que levante a existência de eventuais aberturas de portas para que seja eficaz e eficiente.
Por fim, cabe destacar que o rastreamento de vulnerabilidades na rede deve ser constante, e pode ser efetuado por intermédio do Scan de Rede, que nada mais é do que um programa que varre a rede em busca de falhas de segurança. Deve ser rodado e atualizado periodicamente, pois cada atualização pode trazer novos tipos de testes.
Eventos
CNASI – Congresso Nacional de Auditoria e segurança de sistemas.
O CNASI , tem por objetivo atualizar e capacitar todos os profissionais envolvidos com as áreas de Segurança da Informação, Auditoria de Sistemas e Governança nas Corporações. Sua programação temária, abrange de forma ampla mas ao mesmo tempo objetiva, os principais aspectos técnicos e de gestão das áreas envolvidas em garantir a preservação e idoneidade das informações e sistemas.
As atividades do evento são compostas por cursos de qualificação básicos e avançados, palestras técnicas, casos de sucesso, painéis e apresentação de soluções/produtos, com a participação de renomados especialistas nacionais. Com um público formado por profissionais envolvidos em processos decisórios e estratégicos dentro das Corporações, o CNASI é considerado o principal evento de Segurança da Informação, Auditoria de Sistemas e Governança, no Brasil e à partir deste ano, torna-se Internacional, agregando experiências de profissionais e representantes de instituições de TI de toda a América Latina.
Referências
http://www.cert.ipn.pt/pt/dw/panfletos/AuditoriaPT.pdf
http://www.clubedainformatica.com.br/site/2009/05/13/seguranca-de-sistema/
http://www.isaca.org.br
http://www.evento.seginfo.com.br/palestras/
www.redes.unb.br/security/seguranca.pdf
www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf
www.apostilaspdf.com/apostila-manual-seguranca-informa
www.projetoderedes.com.br/.../aulas_ugb_seguranca_infor.
www.cienciasecognicao.org/pdf/v10/m346130.pdf
