Auditoria e Segurança Informática Auditoria As auditorias

Sendo os mais importantes para as operações de auditoria, não evitam nem as causas nem o erro, ... Metodologia: Auditoria a Sistemas de Informação...

125 downloads 502 Views 2MB Size
Auditoria e Segurança Informática Auditoria As auditorias podem ser classificadas em:  Auditoria interna  Auditoria externa Auditoria interna Com o aumento da complexidade das operações de uma empresa, aumentou a necessidade de normas e procedimentos internos (controles internos). Como o proprietário da empresa (ou o administrador) não poderia fazer isto, alguém deveria fazer isto por ele. Daí surge a figura do auditor interno cuja função principal é verificar se as normas internas são seguidas. O auditor interno é um funcionário da empresa mas como executa auditoria, deve ter uma certa independência dentro da entidade. Se for subordinado do departamento auditado, pode sofrer pressões quando da execução da auditoria. Assim, para ter o maior grau de independência possível, deveria ser subordinado apenas à direcção da empresa. Em grandes empresas, existe um departamento de auditoria interna autónomo. Auditoria externa Auditoria externa é feita por um profissional totalmente independente da empresa auditada. O objectivo do auditor externo é emitir uma opinião (parecer) sobre o sistema. Logo conclui-se que a auditoria externa não é realizada para detectar fraudes, erros ou para interferir na administração da empresa ou ainda reorganizar o processo produtivo ou demitir pessoas ineficientes. Definição geral de Auditoria: Auditoria é um exame ou verificação de uma da matéria, tendente a analisar a conformidade da mesma com determinadas regras, normas ou objectivos, conduzido por uma pessoa idónea, tecnicamente preparada, realizado com observância de certos princípios, métodos e técnicas geralmente aceites, com vista a possibilitar ao auditor formar uma opinião e emitir um parecer sobre a matéria analisada. Conceito de Auditoria a Sistemas de Informação Processo de recolha e avaliação de evidência para determinar se um sistema computorizado salvaguarda os bens, mantém a integridade dos dados, permite atingir os objectivos da organização de forma eficaz e utiliza os recursos de forma eficiente. A revisão dos sistemas de informação, para verificar se realizam as funções e operações para as quais foram criados, assim como comprovar se os dados e demais informações neles contidos correspondem aos princípios de fiabilidade, integridade, precisão e disponibilidade. Objectivos da Auditoria a Sistemas de Informação 1. Verificar a existência de medidas de controlo interno aplicáveis, com carácter generalizado, a qualquer SI da instituição, ente, organismo ou qualquer outro objecto de auditoria; 2. Avaliar a adequação do SI às directrizes básicas de uma boa gestão informática; 3. Oferecer uma descrição do SI com base nas suas especificações funcionais e nos resultados que proporciona; 4. Verificar se o SI cumpre os normativos legais aplicáveis; 5. Verificar se a informação proporcionada pelo SI é fiável, íntegra e precisa; 6. Determinar se o SI atinge os objectivos para os quais foi desenhado, de forma eficaz e eficiente; 7. Propor as recomendações oportunas para que o SI se adapte às directrizes consideradas como essenciais para o seu bom funcionamento.

1

Auditoria e Segurança Informática Auditoria informática Perante o crescente valor da informação, baseada na construção de sistemas de tecnologia de informação (TI) e tecnologias de comunicação (TC), é indispensável que sejam estabelecidas protecções adequadas que venham a ser avaliadas ou recomendadas pela auditoria de segurança. Numa perspectiva tradicional, a segurança de todos os activos informáticos continua a ser a área principal a auditar e, por isso, algumas organizações criaram inicialmente a função de Auditoria Informática, que teria por principal objectivo a análise avaliadora da segurança. Auditoria de Sistemas de informação Esta nova denominação contempla globalmente os SI, incluindo domínios como:  O planeamento das operações e do desenvolvimento;  A integração nas estratégias da organização;  O aproveitamento das vantagens competitivas trazidas pelas TI;  A gestão dos recursos necessários ao funcionamento dos SI (humanos, equipamentos, software);  A rendibilidade de todo o processo de auditoria, o que implica a difícil tarefa de quantificar em pouco tempo as vantagens e os benefícios, alguns dos quais são intangíveis e até dificilmente quantificáveis. Auditoria de segurança Se a protecção dos SI não é definida e devidamente implementada e controlada torna se possível perder informação vital no processo de decisão e, por isso, aumenta a probabilidade de tomar decisões erradas ou de cumprir prazos contratados com outras entidades ou prazos inerentes à legislação vigente, o que pode traduzir-se em graves infracções e nas consequentes punições. A realização da auditoria dos SI informatizados tem de acompanhar as diferentes linhas de evolução das várias tecnologias que estão incluídas no domínio das operações informáticas. É necessário avaliar se os modelos de segurança concordam e estão em consonância com as novas arquitecturas, as diferentes plataformas e as formas de comunicação, visto que não se pode auditar com conceitos, técnicas ou recomendações que se tornaram obsoletas. Ao falar de segurança considera-se sempre as suas três dimensões clássicas: Confidencialidade da informação Quando só os utilizadores autorizados (e num sentido amplo poder-se-ia falar também de sistemas) têm acesso a um dado tipo de dados e à informação correspondente. Integridade da informação Só os utilizadores devidamente autorizados é que poderiam modificar ou apagar alguns dados. Se o fizerem, tais modificações devem ser registadas, a fim de ser possível o controlo posterior, o que facilita as operações de auditoria. Disponibilidade da informação Se os utilizadores autorizados podem ter acesso atempadamente à informação, à qual estejam autorizados. O dispor da informação apenas depois do momento em que a mesma é necessária pode equivaler à falta de disponibilidade. Ainda mais grave, pode ser a ausência de disponibilidade absoluta devida a algum desastre que tenha acontecido. Além disso, tem de existir autenticidade Isto significa que os dados e/ou a informação são autênticos, introduzidos ou comunicados por utilizadores identificados e com as autorizações julgadas necessárias. Confidencialidade Integridade Disponibilidade Autenticidade 2

Auditoria e Segurança Informática Auditoria de segurança Os controlos, além de poderem ser divididos em controlos manuais e automáticos ou em controlos gerais e de aplicação, são agrupados nos seguintes conjuntos: Controlos directivos  São os que estabelecem as bases, como as políticas, a criação de funções de gestão da segurança ou a auditoria de sistemas de informação interna; Controlos preventivos  Estabelecem as condições necessárias para que o erro não se produza e reduzem a frequência com que ocorrem as causas do risco. Exemplos: a) Identificação de visitas (segurança física); b) Passwords (segurança lógica); Controlos de detecção  Sendo os mais importantes para as operações de auditoria, não evitam nem as causas nem o erro, mas detectam-nos rapidamente. De certo modo, actuam como alarmes que permitem registar o problema e as suas causas, servindo como verificação do funcionamento dos processos e dos seus controlos preventivos. Exemplos: a) Arquivos e processos que sirvam como trilhos de auditoria (audit trail); b) Procedimentos de validação dos dados de entrada; Controlos correctivos  Ajudam a investigação e a correcção das causas do risco.  A correcção adequada pode resultar difícil e ineficiente, sendo necessária a implantação de controlos de detecção sobre os controlos correctivos, visto que a correcção de erros é, em si mesma, uma actividade altamente propensa a erros. Exemplos: a) Rectificação de erros ocorridos; b) Recuperação de um arquivo danificado a partir de uma cópia; Controlos de recuperação  Facilitam o regresso à situação de normalidade, depois de acidentes ou contingências inesperadas. No que respeita à segurança e a outros domínios, cada organização tem de estabelecer os seus objectivos de controlo e organizar um Sistema de controlo Interno (funções, processos, actividades e dispositivos) que possa assegurar que esses objectivos são atingidos. Este sistema de controlo interno deve fundamentar-se nas políticas gerais da organização e ser apoiado integradamente por instrumentos informáticos. Por vezes, as auditorias são devidas à implantação parcial de controlos de acesso através de softwares que podem não estar de acordo com as normas gerais, ou à iniciativa dos técnicos do departamento de informática, sem o conhecimento e a aprovação da gestão de topo. A prática das políticas de controlo interno não está suficientemente generalizada o que agrava os riscos relacionados com a gestão adequada dos recursos informáticos ou com a própria protecção da informação, criando possibilidades de perdas muito importantes para a organização. Quando existe um sistema de controlo interno adequado, as auditorias efectuadas periodicamente são mais rápidas e os relatórios mais breves. No entanto, se o sistema de controlo interno for débil e/ou deficientemente conduzido, a auditoria de segurança demorará mais tempo e consumirá mais esforço, o seu custo será maior e a garantia de que as recomendações feitas sejam implementadas serão muito menores; Os computadores são equipamentos que estruturam uma grande quantidade de informação, a qual pode ser confidencial para indivíduos, empresas ou instituições, e pode ser mal utilizada ou divulgada a pessoas que a utilizem para fins desonestos. Também podem acontecer roubos, fraudes ou sabotagens que provoquem a destruição total ou parcial da actividade computacional. Esta informação pode ter muita importância e se uma empresa não dispõe dela no momento preciso podem acontecer atrasos nessa actividade com custos elevados.

3

Auditoria e Segurança Informática Um método eficaz para proteger os SI é o software de controlo de acesso. Ou, dito de um modo mais simples, os packages de controlo de acesso protegem contra a ocorrência de acessos não autorizados, pois exigem do utilizador uma password antes de ser-lhe permitido o acesso à informação confidencial. A segurança informática pode apresentar duas áreas:  Geral  Específica (segurança de exploração, segurança das aplicações, etc.). Assim, poderão ser efectuadas auditorias da Segurança Global duma instalação informática - Segurança Geral e auditorias da Segurança de uma área informática determinada - Segurança Específica. O sistema integral de segurança deve compreender:  Elementos administrativos;  Definição de uma política de segurança;  Organização e atribuição diferenciada de responsabilidades;  Segurança física e contra catástrofes (por exemplo, incêndios, terramotos);  Elementos técnicos e procedimentos;  Sistemas de segurança (de equipamentos e de sistemas, incluindo todos os elementos, tanto redes como terminais);  Aplicação dos sistemas de segurança, incluindo dados e arquivos;  O papel dos auditores, tanto internos como externos;  Planeamento de programas que permitem enfrentar eventuais desastres. A decisão de efectuar uma auditoria informática de segurança global numa organização deve ser fundamentada no estudo cuidadoso dos riscos potenciais a que está submetida. Pode-se construir "matrizes de risco", nas quais são consideradas as ameaças a que está submetida uma instalação e os impactos que aquelas podem causar quando acontecem. As matrizes de risco são apresentadas em tabelas de dupla entrada "Ameaça-Impacto", onde são apresentados os valores qualitativos das probabilidades de ocorrência dos elementos da matriz.

Metodologia: Auditoria a Sistemas de Informação Processo de decisão A auditoria dos SI é a consequência de uma decisão dos órgãos directivos de uma organização. Pode ser sugerida ou pedida por um departamento, embora um órgão de nível superior possa ter motivos estratégicos. Implementação de um dado projecto informático e se esta fica bloqueada ou se avança muito lentamente, prejudicando o cumprimento dos prazos e ameaçando os orçamentos iniciais, esses órgão directivos podem decidir a execução de uma auditoria a fim de diagnosticarem os problemas existentes e enfrentarem a proposta de soluções. Os órgãos de gestão poderão também melhorar a imagem dos serviços prestados aos utilizadores tanto ao nível da concepção dos sistemas, como da sua exploração. 4

Auditoria e Segurança Informática Deve-se ainda recorrer à auditoria quando são tomadas decisões que podem alterar a estrutura da organização como, por exemplo: Modificações de equipamentos implicados no processo produtivo, adopção de novas tecnologias ou reestruturações de departamentos. Também pode acontecer que a decisão de uma auditoria se inclua periodicamente nos procedimentos normais do departamento que efectiva os Controlos Internos da empresa. É aconselhável que as áreas a auditar sejam avisadas, a fim de colaborarem na preparação dos respectivos planos de trabalho. O processo de decisão tem de definir logo inicialmente qual o tipo de auditoria pretendido. Com base na sua dimensão, pode-se indicar dois tipos de auditoria:  Auditoria completa ou profunda - começa por um pré-diagnóstico em que o auditor pretenderá descobrir os principais pontos fracos da organização no que se refere ao funcionamento do sistema e sobre os quais se deverá centrar a intervenção do auditor. Prolongar-se-á numa exploração completa dos diferentes aspectos da gestão informática.  Auditoria parcial ou especializada - neste caso há uma definição prévia de um objectivo. Preparação da auditoria O processo de decisão deve ser acompanhado pelo tratamento de um conjunto de condições que são necessárias para o processo de auditoria:  Consciencialização da necessidade e dos benefícios da auditoria dos SI É muito aconselhável que as razões da decisão de auditoria sejam percebidas e bem aceites por todos os colaboradores que estão envolvidos neste processo, existindo, assim, uma disponibilidade global para melhorar a gestão e a organização da empresa ou de um sector em particular;  Envolvimento do órgão máximo de gestão Duas situações podem acontecer. a) Este órgão define previamente os objectivos de intervenção, em função de considerações externas ou internas ao sistema de informação; b) Não tem exigências particulares no que se refere à forma de melhorar globalmente a eficácia desse sistema, mas pretenderia apreciar um pré-diagnóstico;  Natureza e caracterização do auditor Importa decidir qual a entidade que deve conduzir a auditoria, o seu nível de qualificação, fiabilidade dos processos de trabalho e se deve trabalhar isoladamente ou em equipa. O auditor pode ser interno se a organização dispõe de técnicos suficientemente qualificados para o efeito, nomeadamente o próprio responsável de um dado sector. Se é externo, pode oferecer uma maior objectividade de análise e de avaliação, além de apresentar uma experiência profissional envolvida num maior número de situações. É indispensável informar claramente os colaboradores da empresa sobre os objectivos da auditoria, sendo também apresentado o próprio auditor;  Custos, formas de pagamento e prazos de execução São também importantes critérios de avaliação utilizados pelos decisores para apreciarem as propostas feitas por várias empresas que se apresentem como candidatas ao concurso previamente aberto;  Envolvimento do pessoal interno É importante que nesta fase de preparação seja definido quem serão as entidades que apoiarão o decorrer da auditoria, fundamentalmente para fornecerem a informação necessária. Dentre essas entidades, salienta-se um representante da Direcção-Geral, o director do departamento que irá ser auditado e os principais utilizadores;  Influência sobre a área a auditar Por vezes, a própria gestão de topo necessita de exercer urna acção persuasiva junto dos responsáveis dessa área, convencendo-os sobre os prováveis benefícios estratégicos da auditoria dos SI. Nesta fase de preparação, o auditor tem de definir especificamente as suas áreas de actuação e preparar com informações adequadas o departamento onde vai começar o seu processo de análise e avaliação. 5

Auditoria e Segurança Informática Como fontes de informação, o auditor realiza entrevistas de trabalho com os principais interlocutores, entre os quais está incluído o responsável pelo sistema de informação. Objectivos e âmbito Qualquer operação de auditoria tem de basear-se numa clara definição dos objectivos e da natureza das matérias, das funções e dos problemas a resolver para que auditor saiba exactamente o que é pretendido pelo cliente. Esta definição integra-se sempre na análise e avaliação do funcionamento dos SI e dos respectivos controlos gerais. É mesmo necessário que a organização exprima o que não necessita de ser auditado. Para que uma auditoria dos SI informatizados tenha os seus efeitos benéficos, o auditor deve entender a organização no seu amplo sentido. Os principais objectivos da auditoria dos SI informatizados são o controlo da função informática, nomeadamente:  A análise da eficácia da gestão dos respectivos recursos materiais e humanos;  A análise da eficiência dos sistemas informáticos. A auditoria deve ser realizada quando os sistemas estão operativos, a fim de manter essa situação de operacionalidade tanto a nível global como parcial. A operacionalidade dos Sistemas tem de ser a principal preocupação da auditoria dos SI informatizados e, do ponto de vista prático, implica a realização de controlos técnicos gerais e específicos. Os controlos técnicos gerais pretendem verificar a compatibilidade do funcionamento simultâneo do sistema operativo, do software de base e do hardware. Os controlos técnicos específicos são também necessários para se conseguir a operacionalidade dos sistemas;  Cumprimento das normas da organização no domínio do seu sistema de informação: Depois de ser conseguida a operacionalidade dos sistemas, um outro objectivo da auditoria é verificar até que ponto estão a ser respeitadas as normas existentes na função informática e a sua integração coerente nas políticas globais da organização. A equipa auditora deve conhecer com clareza e precisão os objectivos das suas tarefas, as metas e a respectiva calendarização. Depois de definidos o objectivo específico, é indispensável considerar os objectivos gerais. Metodologia das operações As metodologias de auditorias de sistemas dependem todas da matéria a auditar. Depois de serem definidos os objectivos da auditoria, escolhida a entidade auditora e devidamente informados todos os colaboradores directamente envolvidos no processo, inicia-se a auditoria propriamente dita. De um modo geral, pode-se dizer que durante o decorrer da auditoria, o auditor terá de efectuar a avaliação dos controlos gerais e particulares, apontar os desvios encontrados, elaborar e validar as soluções possíveis e, finalmente, redigir o seu relatório final que será apresentado aos responsáveis da organização. Por outro lado, os colaboradores mais directamente implicados nesta auditoria devem fornecer as informações pedidas, compreender as razões dos desvios e das falhas detectadas e preparar as mudanças necessárias. Controlo Conjunto de procedimentos e métodos, cuja finalidade é vigiar as funções e atitudes das empresas, permitindo verificar se todas as operações são realizadas conforme os programas adoptados e as directrizes e princípios estabelecidos. Depois da definição dos objectivos e do âmbito da auditoria dos SI informatizados, a complexidade deste processo exige que sejam analisados os seguintes passos metodológicos:  Análise do ambiente geral da empresa;  Organização da empresa onde se realiza a auditoria;  Caracterização do ambiente das operações no domínio informático; 6

Auditoria e Segurança Informática     

Organização dos recursos existentes e necessários; Formulação do plano geral e dos programas de trabalho; As fases de uma auditoria; Acções, técnicas e ferramentas da auditoria informática; Elaboração do relatório final.

Metodologia das operações: análise do ambiente geral da empresa É indispensável que o auditor estude a situação global da empresa, principalmente no que se refere às actividades e às condições de funcionamento da função informática, desde o modo de organização até às aplicações que são utilizadas. Metodologia das operações: Organização da empresa a auditar A estrutura da empresa mostrada por um organigrama, no qual se observa os departamentos existentes. Metodologia das operações: Caracterização do ambiente das operações O auditor tem de conhecer as condições em que vai desenvolver o seu trabalho, designadamente no que se refere aos sistemas, aos equipamentos informáticos, aos softwares, às redes de comunicação e aos processos informáticos existentes. Metodologia das operações: Organização dos recursos necessários O terceiro aspecto a ter em conta na preparação de uma auditoria dos SI informatizados é determinar os recursos materiais e humanos que terão de ser utilizados. Metodologia das operações: Formulação do plano de trabalho Depois de definidos os objectivos e conhecidos os recursos disponíveis, o auditor tem de formular um plano de trabalho, incluindo naturalmente um programa de actividades devidamente calendarizado, o qual não deve ser inflexível para permitir modificações ao longo da duração da auditoria. Metodologia das operações: As fases de uma auditoria informática As metodologias de auditorias de sistemas dependem todas da matéria a auditar, mas pode-se salientar quatro fases básicas de um processo de análise: 







Estudo preliminar Nesta fase o auditor tem de definir se vai trabalhar isoladamente ou em equipa. Além disso, é necessário estabelecer os objectivos da auditoria, preparar os questionários que permitirão recolher os dados que hão-de conduzir a uma informação inicial sobre o controlo interno, efectuar entrevistas com os principais técnicos da área a auditar, tomar contacto directo com as unidades informáticas como o Centro de Processamento de Dados e conhecer a documentação vigente sobre o sistema. Revisão e avaliação de controlos e processos de segurança Esta fase integra a apreciação dos diagramas de fiuxo de processos, os testes dos pontos de controlo, as provas do funcionamento adequado das seguranças e dos backups, a revisão de arquivos e das aplicações das áreas criticas. Exame detalhado de áreas críticas Com base nas fases anteriores e depois de definir mais especificamente os objectivos e o alcance do seu trabalho, o auditor definirá a sua metodologia de análise dos problemas detectados, os recursos a utilizar e apresentará o seu plano operacional. Apresentação de resultados Trata se do relatório final onde se apresenta a apreciação da situação e o parecer do auditor, incluindo as suas recomendações técnicas.

7

Auditoria e Segurança Informática Metodologia das operações: Selecção de técnicas A auditoria informática pode ter por finalidade a análise e avaliação das áreas gerais da empresa a auditar ou concentrar-se em temas específicos. No que respeita às técnicas de trabalho, podemos referir as seguintes:  Verificação Refere-se à existência da documentação que integra e apoia as diversas operações do sistema de informação e das medidas de controlo interno que são habituais;  Entrevista É indispensável que o auditor tenha contactos directos com diversos interlocutores, a fim de obter os esclarecimentos necessários à prossecução do seu exame. As entrevistas podem ser com qualquer colaborador da função informática ou de outras áreas funcionais de acordo com o âmbito da auditoria, tendo-se em atenção que os interlocutores podem ser muito diferentes no que respeita às funções profissionais e à capacidade de diálogo e de disponibilidade para colaborar. As entrevistas devem ser sempre previamente preparadas no sentido de obter os resultados pretendidos, não devendo o auditor influenciar o sentido ou a natureza das respostas;  Comprovação O auditor tem de obter provas a fim de fundamentar o seu parecer. Há dois tipos de provas: internas e externas. As provas internas são provenientes da própria empresa que está a ser auditada, umas geradas internamente (documentos, registos, ficheiros), outras são enviadas por terceiros directamente para a empresa (mensagens de fornecedores, relatórios sobre equipamentos). Quanto às provas externas, o auditor pode obtê-las de outras fontes directamente relacionadas com o âmbito da auditoria em curso;  Análise Refere-se à análise completa das informações recebidas da empresa auditada e daquela que provém dos dados recolhidos pelo próprio auditor, devendo-se confirmar a sua credibilidade e relacionar estes dois blocos a fim de tirar as primeiras conclusões. Metodologia das operações: Elaboração do relatório final Tópicos principais abordados no relatório:  Introdução Importa que sejam apresentados os objectivos propostos no plano director anual de auditoria de sistemas e explicadas as eventuais alterações desses objectivos que tenham acontecido;  Âmbito e os objectivos da auditoria;  Áreas auditadas As áreas que foram sujeitas à análise e avaliação, nomeadamente a estrutura orgânica e funcional da área de informática;  Apresentação dos indicadores de qualidade que foram utilizados Mostrar a sua caracterização, as técnicas utilizadas, os processos de medida empregues e as variações existentes nas medidas efectuadas ao longo do ano e em comparação com os anos anteriores;  Situação actual Identificação geral da situação actual, nomeadamente a configuração do hardware, do software instalado e o sistema de controlo interno;  Problemas Descrição dos problemas detectados, dos pontos fracos e das eventuais ameaças;  Comentários e recomendações No que se refere aos problemas detectados no ano em análise, às dificuldades de trabalho encontradas e às orientações sugeridas para o plano da auditoria de sistemas a realizar futuramente. Em particular devem ser apresentadas as soluções recomendadas e os respectivos planos; 8

Auditoria e Segurança Informática 

Avaliação final Avaliação global do ambiente auditado.

Controlo e Segurança Sistema de controlo interno De um modo geral, o controlo é um conjunto de procedimentos e métodos, cuja finalidade é vigiar as funções e atitudes das empresas, permitindo verificar se todas as operações são realizadas conforme os programas adoptados e as directrizes e princípios estabelecidos. Pode-se entender, de um modo abrangente, que o controlo interno é um instrumento de organização e integra todos os métodos e medidas, adoptadas por uma empresa para proteger seu activo, confirmar a exactidão e a fidelidade de seus dados contabilistico-financeiros, garantir e aumentar a eficiência operacional e conseguir uma obediência integradora de todas as áreas funcionais da empresa às políticas de gestão globais. O controlo interno deve fazer parte das actividades normais de uma empresa, tendo por função acompanhar o funcionamento global e recomendar, devido ao seu carácter opinativo, preventivo ou correctivo, as acções a empreender para garantir um elevado nível de desempenho e os resultados que correspondam aos objectivos anteriormente formulados. O controlo interno informático verifica diariamente se todas as actividades dos SI estão a ser realizadas cumprindo os procedimentos, os padrões e as normas definidas pela gestão de topo e/ou pela direcção informática, assim como os requisitos legais. Sistema de controlo interno: objectivos Um sistema de controlo interno é um conjunto de definições, normas e procedimentos que asseguram a qualidade de um SI, através de um processo de auto-controlo. Numa perspectiva de gestão empresarial, as finalidades do controlo interno são as seguintes:  Proteger os activos;  Obter a informação adequada, no sentido do rigor e da sua actualização, ou seja, pretende-se que a informação obtida (produto final) derive apenas dos dados (matéria-prima) introduzidos no sistema, sem haver perdas ou intromissão de outros dados;  Preservar a confidencialidade do SI informatizado, dos seus modos de processamento e das informações formuladas;  Garantir a segurança ambiental, o que é verificado pelas condições em que operamos recursos humanos, materiais e tecnológicos componentes da função informática;  Manter a segurança lógica, isto é, avaliar a eventual ocorrência de modificações ou deficiências dos recursos tecnológicos que compõem o SI informatizado;  A possibilidade de se conseguir um dado nível de eficiência operacional (optimização dos recursos humanos, materiais e tecnológicos, com a melhor relação custo/beneficio) assente na segurança física desses recursos, porque garantem o funcionamento dos SI informatizados;  Conseguir elevados níveis de eficácia, considerando o nível de satisfação do utilizador e a adequação da informação obtida em função dos objectivos necessários à sua utilidade;  Manter a coerência e a concordância das actividades com as orientações fornecidas pelas políticas da gestão de topo. Na perspectiva da auditoria interna, o controlo interno concentra-se no aperfeiçoamento dos sistemas de funcionamento da empresa, apreciando métodos e processos de trabalho, as interligações entre as áreas funcionais, identificando insuficiências, desajustamentos, métodos desactualizados e procedimentos desnecessários. Sistema de controlo interno: classificação Os controlos internos existentes podem ser classificados da seguinte forma: 9

Auditoria e Segurança Informática 

Controlos preventivos São aqueles que estabelecem as condições necessárias para que o erro não se produza e reduzem a frequência com que ocorrem as causas do risco. Exemplos: o Um sinal de "Não fumar" para salvaguardar as instalações; o Sistemas de chaves de acesso; o A segregação de funções; o A padronização de procedimentos; o Autorizações; o As passwords,



Controlos correctivos Ajudam a investigação e correcção das causas do risco. A correcção adequada pode resultar difícil e ineficiente, sendo necessária a implantação de controlos de detecção sobre os controlos correctivos, visto que a correcção de erros é, em si mesma, uma actividade altamente propensa a erros. Exemplos: o Listas de erros ocorridos; o Estatísticas das causas de erros.



Controlos de detecção Sendo os mais importantes para o auditor, não evitam nem as causas do risco nem o erro, mas detectam-nos rapidamente. De certo modo, actuam como alarmes que permitem registar o problema e as suas causas, servindo como verificação do funcionamento dos processos e dos seus controlos preventivos. Exemplos: o Arquivos e processos que sirvam como trilhos de auditoria (audit trail); o Procedimentos de validação dos dados de entrada. Dentre os controlos de detecção, é possível destacar os controlos de supervisão.

Sistema de controlo interno: controlo de supervisão São procedimentos utilizados pela direcção de topo para poder controlar a evolução empresarial e alcançar os objectivos do negócio. Estes tipos de controlos proporcionam à direcção e, portanto, aos auditores, segurança no que se refere à fiabilidade da informação financeira. Estes controlos podem estar incluídos, de um modo intrínseco, nas actividades habituais da empresa ou representar uma avaliação periódica independente, permitindo a detecção de erros significativos e um controlo contínuo da fiabilidade e da eficácia dos processos informáticos. A frequência destas avaliações depende das políticas de gestão. Tipos:  Controlo das aplicações  Controlo da tecnologia da informação  Controlo dos utilizadores Sistema de controlo interno: controlo das aplicações Conjunto de procedimentos programados e manuais elaborados especialmente para cada aplicação, a fim de atingir objectivos específicos, utilizando uma ou mais técnicas. Podem ser classificados do seguinte modo:  Controlos sobre a recolha de dados – incidem sobre modificações e movimentos de dados;  Controlos de processamento de dados – normalmente estão incluídos nos programas. Servem para detectar ou prevenir os seguintes tipos de erros: Entrada de dados repetidos, processamento e actualização de ficheiros equivocados, entrada de dados ilógicos, perda ou distorção de dados durante o processo;  Controlos de saída e distribuição - os controlos de saída são utilizados para garantir que o resultado do processamento é exacto e que os relatório se outras saídas só são recebidos pelos utilizadores que estejam autorizados. 10

Auditoria e Segurança Informática Para solucionar eventuais deficiências de controlo de uma aplicação, será necessário voltar às etapas iniciais, tendo em conta que os controlos devem contemplar a sequência dos processos (manuais e programados) de uma aplicação. Muitos controlos de aplicação serão efectuados por utilizadores, mas dependerão dos computadores, sendo uma combinação de procedimentos de controlo programados e controlos dos utilizadores. Dado que muitos controlos de aplicação dependem de controlos programados e do correspondente processamento informático, a eficácia dos controlos das aplicações e, por consequência, a consecução dos objectivos de controlo das mesmas, quase sempre dependem dos controlos informáticos. No que respeita aos dados, existe a necessidade de verificar a totalidade, a exactidão, a actualização e algumas técnicas e provas utilizadas. Totalidade das entradas As técnicas de controlo utilizadas para assegurar a totalidade das entradas são:  Conciliação de totais - um exemplo seria verificar se o saldo bancário apresentado pelo respectivo extracto coincide com o saldo de acordo com os cálculos da contabilidade e, se não for assim, procurar as formas de conciliação;  Verificação da sequência numérica – comprova que os documentos seguem a sequência numérica previamente estabelecida, de modo que não falte nenhum documento;  Confrontação de ficheiros e sua verificação individual. Exactidão da entrada As técnicas de controlo utilizadas para assegurar a exactidão das entradas são:  Conciliação de totais;  Confrontação e/ou verificação de ficheiros;  Controlos de validação. Sistema de controlo interno: controlo das aplicações 









Prova de existência Verifica se a informação introduzida concorda com a informação semelhante ou de referência existente num ficheiro-mestre. Prova visual Os pormenores que correspondem a um código ou a um número de partida podem ser vistos no monitor e confirmados pelo utilizador. Prova de dependência O programa que estiver em uso permite verificar se os dados introduzidos têm sentido, com base na comparação das suas interrelações com os requisitos pré-determinados. Prova de sintaxe ou de formato Mostra que há uma relação correcta entre os dados e a natureza do campo em causa; por exemplo, os dados numéricos devem ser introduzidos apenas quando o campo for numérico. Prova de razoabilidade Consiste em verificar se o valor de um dado está compreendido entre os limites lógicos previamente definidos.

Sistema de controlo interno: controlo da tecnologia da informação São o conjunto de normas e procedimentos que devem existir em todo o centro de processamento de dados para assegurar a confidencialidade, a integridade e a disponibilidade dos dados informatizados. Estes controlos garantem que os procedimentos programados dentro de um sistema informático sejam concebidos, implantados, e operem de forma adequada e que só se introduzam mudanças autorizadas nos programas e nos dados. Dentro dos controlos das TI, há diferentes tipos de controlos: 11

Auditoria e Segurança Informática  Controlos de manutenção Quando se introduz modificações nos programas, devem ser realizadas várias provas a fim de verificar a sua adequação ao funcionamento global do SI. É necessário actualizar a documentação técnica para que isso evidencie as modificações dos programas. Os controlos de manutenção têm por finalidade reduzir os riscos inerentes às modificações das aplicações, como por exemplo: o Duplicação das alterações, as mudanças não se ajustam aos requisitos dos utilizadores, o Demasiada perda de tempo na resolução de problemas devido à falta de documentação técnica ou à existência de alterações não autorizadas das aplicações que possam afectar negativamente as operações e/ou a integridade da informação.  Controlos de desenvolvimento e implantação de aplicações A direcção do projecto deve garantir a adequação da concepção, desenvolvimento e implantação das novas aplicações. As aplicações devem ser concebidas de forma adequada para alcançar as exigências do seu controlo. No caso de ser adoptado um novo conjunto de aplicações informáticas é necessário confirmar que são cumpridas essas exigências. Se não forem efectuados estes controlos, podem surgir problemas como: o Os custos reais do projecto sejam superiores aos custos previstos, o Os projectos não se ajustem aos requisitos do utilizador, o A possibilidade de haver erros nas aplicações, o A incorrecta utilização das aplicações devido à ausência de documentação técnica e de formação. o Controlos de segurança informática Com base no nível de risco, devem ser formuladas políticas de controlo de acesso aos programas e aos dados. A fim de assegurar a segregação de funções relevantes e evitar actividades não autorizadas, é aconselhável que o acesso a funções concretas dentro das aplicações seja restringido aos utilizadores especializados. Este tipo de controlos poderá reduzir o risco de fraude e impedir que a informação confidencial ou restrita possa estar ao alcance de entidades não autorizadas dentro ou fora da empresa. A segurança física permite evitar o risco da destruição das instalações informáticas devido a incêndios, inundações ou outros eventuais danos que poderiam prejudicar o decorrer dos processos. Controlos de operações informáticas Os procedimentos de operações que englobam processos diferidos ou feitos por lotes realizados em dados momentos devem estar documentados, programados e ser mantidos de forma adequada. As cópias de segurança dos programas e dos dados devem estar sempre disponíveis para casos de emergência. As instalações informáticas dos utilizadores finais devem ser apropriadas para as necessidades do negócio e controladas para maximizar a compatibilidade e apoiar eficazmente o utilizador. Com base em todos estes controlos, será possível evitar deficiências ou paragens dos equipamentos e dos softwares ou, pelo menos, será possível recuperar de forma a que o rendimento dos sistemas informáticos não seja afectado. Controlo dos utilizadores São os procedimentos manuais tradicionais que os utilizadores devem executar sobre os documentos e transacções, antes e depois do seu processo informático, para verificar o adequado e contínuo funcionamento dos controlos das aplicações. Sistema de controlo interno: controlos físicos e lógicos São controlos especiais e devem ser caracterizados com base na sua finalidade imediata: Autenticação - possibilitam a identificação do utilizador a) Passwords b) Assinaturas digitais; 12

Auditoria e Segurança Informática Exactidão - estes controlos destinam-se a garantir a coerência dos dados: a) Validação de campos b) Validação de excessos; Totalidade - impedem que os registos sejam omitidos e garantem a conclusão de um processo de envio: a) Contagem de registos b) Sinais de controlo; Redundância - são controlos que impedem que os dados apresentem duplicidade: a) Cancelamento de lotes b) Verificação de sequências; Privacidade - estes controlos garantem a protecção dos dados: a) compactação b) encriptação; Existência - asseguram a disponibilidade dos dados e a manutenção dos activos; Protecção de Activos - impedem a destruição ou a corrupção da informação e/ou do hardware a) extintores contra incêndios b) passwords; Efectividade - estes controlos garantem que os objectivos sejam alcançados: a) inquéritos de satisfação b) quantificação dos níveis de serviço; Eficiência - asseguram que os recursos tenham uma utilização optimizada: a) programas específicos para tal fim b) análise custo-beneficio. Sistema de controlo interno: controlo automáticos Este tipo de controlos, embora correspondam a decisões de gestão do SI, têm uma natureza automática a fim de facilitar a sua execução. Tipos:  Periodicidade da mudança de chaves de acesso A mudança das chaves de acesso aos programas deve ser realizada periodicamente. Normalmente, os utilizadores habituam-se a conservar a mesma chave que lhes atribuíram inicialmente. Se esta mudança não é feita periodicamente, aumenta a possibilidade de que os utilizadores não autorizados conheçam e utilizem as chaves dos utilizadores do sistema, pelo que é conveniente que essa mudança seja realizada pelo menos uma vez por trimestre.  Chaves de acesso com combinação de alfanuméricos. Considera-se não ser conveniente que a chave seja composta a partir de códigos de empregados. De facto, corre-se o risco de alguém não devidamente autorizado possa deduzir a dita chave. A questão da definição das chaves de acesso implica considerar os tipos de chaves que existem: Individuais - são atribuídas a um só utilizador. Este tipo de chaves possibilita que, no momento de serem feitas transacções, fique registada a responsabilidade de qualquer mudança que seja introduzida. Confidenciais - os utilizadores deverão ser instruídos, de forma confidencial e formal, sobre o uso das chaves a que podem ter acesso. Não significativas - as chaves não devem corresponder a números sequenciais nem a nomes nem datas. 13

Auditoria e Segurança Informática  Verificação de dados de entrada. Inclui rotinas que verificam a compatibilidade dos dados, mas não a sua exactidão ou precisão; exemplos: a) A validação do tipo de dados que contêm os campos; b) Verificar se esses dados se encontram dentro de um determinado intervalo.  Contagem de registos Este controlo consiste em criar campos de memória para ir acumulando cada registo que se introduz e verificar os totais já registados.  Totalidade dos controlos Realiza-se mediante a criação de totais de linha, colunas, quantidade de formulários e outras formas, para se verificar automaticamente um campo no qual se vão acumulando os registos, sendo separados apenas aqueles que apresentam diferenças.  Verificação de limites Consiste na verificação automática de tabelas, códigos, limites mínimos e máximos sob determinadas condições previamente definidas.  Verificação de sequências Em certos processos, os registos devem respeitar uma dada sequência numérica ou alfabética, ascendente ou descendente. Este controlo deve ser realizado através de rotinas independentes do programa que está a ser usado. Utilizar um software de segurança nos microcomputadores Um software de segurança permite restringir o acesso ao microcomputador, de tal modo que só os utilizadores devidamente autorizados possam utilizá-lo. Adicionalmente, este software pode reforçar a segregação de funções e a confidencialidade da informação, através de controlos, a fim de que os utilizadores só tenham acesso aos programas e aos dados relativamente aos quais existe uma prévia autorização. Como exemplo de programas deste tipo temos: Watchdog, Lattice, Secret Disk Sistema de controlo interno: controlos administrativos A área de informática de uma empresa deve definir controlos que compreendam todas as operações relacionadas com o processamento de dados e que podem agrupar-se do seguinte modo:  Controlos de pré-instalação;  Controlos de organização e planeamento;  Controlos de sistemas em desenvolvimento e produção; ·  Controlos de processamento;  Controlos das operações;  Controlos de uso de microcomputadores. Pontos de controlo O conceito de ponto de controlo é crucial para se compreender as particularidades da auditoria dos SI informatizados. Designa toda e qualquer situação e/ou aspectos que devem ser sujeitos a um processo de validação e de avaliação. Caracterizar o ponto de controlo corresponde a definir o quê, como e com que objectivos se vai auditar, expressando o domínio da responsabilidade do auditor. Estes objectivos podem ser definidos quer na perspectiva do parâmetro em causa (por exemplo, segurança física, segurança lógica, eficiência ou confidencialidade), quer no que respeita às possíveis deficiências a identificar (erros, omissão de procedimentos ou incorrecção de resultados). O ponto de controlo pode ter diversas naturezas.

14

Auditoria e Segurança Informática O ponto de controlo é um controlo interno ao processamento e é necessário que:  Seja identificado dentro do SI, porque a compreensão das suas unidades é indispensável para a sua validação e avaliação;  A sua caracterização seja definida no que respeita a recursos (humanos, materiais e tecnológicos), componentes (rotinas e informações operacionais) e processos envolvidos;  Se faça a análise dos riscos que lhe são inerentes, tendo em conta a sua parametrização e dos pontos fracos que pode apresentar.  Após a identificação do ponto de controlo, interessa definir a técnica de auditoria a utilizar de acordo com o nível de risco que é aceite.  Tendo sido aplicada a técnica de auditoria escolhida, devem ser analisados os resultados apurados e emitida uma opinião sobre a avaliação do Ponto de Controlo validado. Audit trail O trilho de auditoria ou o audit trail permite recuperar de forma inversa as informações, através da reconstituição da composição das mesmas, e é constituído por um conjunto de rotinas e arquivos de controlo. Trata-se de um registo que mostra quem teve acesso ao SI e que operações foram efectuadas durante um determinado tempo. Os audit trails são úteis para manter a segurança e para recuperar as transacções que tenham sido perdidas. Qualquer tipo de transacção “on-line", que produza mudança ou alteração da base de dados, deve ser contabilizada com um código do utilizador, data e hora das actualizações, possibilitando, assim, identificar posteriormente eventuais causas de erros. Pretende-se que sejam realizadas as seguintes finalidades:  Poder reconstituir as operações ou movimentos que foram bem executados ou que o foram de modo errado;  Identificar os utilizadores de acordo com os seus níveis de autorização para lidarem com os SI informatizados;  Identificar também os utilizadores externos que prestam serviços à empresa (manutenção, assistência técnica ou auditoria) e os utilizadores internos, ou seja, os técnicos informáticos. Politica de segurança Cada vez mais os gestores de topo e responsáveis pelos SI informatizados das empresas se preocupam com as consequências de um acidente que afectasse o funcionamento dos seus SI no que se refere à confidencialidade, integridade e disponibilidade da mesma informação. Dado que um acidente não é completamente evitável, é necessário garantir, em qualquer circunstância, a continuidade das actividades das empresas, minimizando os prejuízos, prevenindo e reduzindo o impacto dos incidentes de segurança e definindo padrões que permitam a análise e a avaliação do SI. Assim, a informação cujo conhecimento e posse são essenciais na existência de cada empresa deve ser guardada em instalações que garantam segurança adequada com acessos condicionados, independentemente do suporte (papel, banda magnética, CD's, disquetes e outras formas). Interessa considerar não apenas a segurança física do SI, mas também a sua segurança lógica, tal como se apresenta na tabela seguinte:

15

Auditoria e Segurança Informática Quando se avalia o nível de segurança dos SI numa empresa ou numa instituição, é necessário elaborar um plano baseado em padrões de segurança, que integre diversos níveis de controlo e que reduza todos os riscos possíveis e apresente soluções para enfrentar as situações inesperadas ou inevitáveis. O plano de segurança é uma estratégia planificada de acções e projectos que devem conduzir um SI e os seus centros de processamento de uma situação inicial determinada (e que tem de ser melhorada) a uma nova situação já melhorada. Politica de segurança - auditoria informática e a segurança Todos os tipos de controlos proporcionam à gestão empresarial e também aos auditores um dado nível de segurança quanto à fiabilidade da informação e quanto ao funcionamento de todo um SI. É necessário concentrar a atenção das organizações nos outputs que vão condicionando o meio profissional como, por exemplo, a segurança em TI, os requisitos legais, as medidas de segurança para a protecção de dados pessoais e a protecção da privacidade no sector das telecomunicações. Em relação à segurança da TI importa dizer que se assiste há alguns anos à configuração de um novo modelo cuja orientação é a construção da confiança. Um dos objectivos básicos do mencionado modelo é contribuir para a actual sociedade da informação, com a requerida confiança nos seus SI e nas possíveis interacções dos mesmos. Técnicas de Análise e de Controlo Plano director de informática O Plano Director de Informática (PDI) tem em conta os objectivos de evolução empresarial, o possível uso estratégico da informática, as necessidades informáticas da empresa e deve considerar as alternativas possíveis para satisfazê-las o mais completamente possível, atendendo à situação da evolução tecnológica. É conveniente que a análise dessas necessidades seja efectuada através de entrevistas feitas pelos técnicos informáticos aos utilizadores e de um trabalho conjunto com os responsáveis pelas áreas funcionais, sempre considerando as soluções existentes no mercado de informática. Em termos de estrutura, o PDI terá uma parte para justificar os critérios de levantamento, os dados levantados, as suas projecções em termos de equipamento e de necessidade. E uma parte para justificar as recomendações, quer em termos de negócio, quer em termos de investimentos financeiros com a informática. Formalizando o planeamento estratégico de informática assente nos princípios da filosofia de Processamento Informático de Dados (PID), este documento deve apresentar principalmente os objectivos de curto e médio prazo, o plano de acções quanto ao desenvolvimento dos sistemas informáticos, as necessidades de hardware e software, a selecção, formação e motivação dos técnicos e utilizadores, um orçamento de custos das acções propostas e o sistema de controlo que deve acompanhar a implementação de todo o plano. Poder-se-ia perguntar: "Será que a auditoria informática tem de interferir com a elaboração do PDI?" Mesmo que não tenha decorrido previamente nenhuma acção de auditoria, é aconselhável que todos os técnicos de maior nível de responsabilidade e de maior qualificação intervenham nos trabalhos de preparação deste plano. Por outro, se anteriormente houve uma auditoria informática, o seu objectivo, percurso de análise, critérios de avaliação e recomendações finais devem ser tidos em consideração. É conveniente destacar os seguintes elementos:  O desenvolvimento de novos sistemas e as suas inter-conexões com as deficiências do controlo interno que tenham sido detectadas;  Os relatórios de auditoria informática apresentados recentemente, em especial a natureza das recomendações apresentadas; 16

Auditoria e Segurança Informática    

Integração do PDI no Plano de Desenvolvimento Estratégico da empresa e, em particular, as suas relações com os planos anuais das áreas funcionais com maior nível de informatização; Selecção e fundamentação das metodologias a utilizar para implementar as acções propostas no PDI; Cenários alternativos que prevejam a evolução das tecnologias de informação e dos equipamentos; Questionários utilizados para efectuar diagnósticos de carácter estratégico, organizacional e operacional.

O PDI baseia-se nas necessidades desta área funcional que são detectadas e analisadas considerando:  Os grandes objectivos da empresa expressos no âmbito de componentes como a sua Visão, Missão, possível uso estratégico da informática;  As entrevistas feitas aos directores de departamento;  As reuniões de planeamento;  O trabalho conjunto com a equipa técnica de Informática da empresa;  A análise das soluções oferecidas no mercado. Técnicas de análise e de controlo Para realizar as suas funções, o auditor dispõe de um conjunto de técnicas adequadas. A sua aplicação implica que sejam considerados elementos como o parâmetro do controlo interno a ser analisado, as condições tecnológicas em que irá ser efectuada a aplicação e a natureza dinâmica (processos) ou estática (resultados) da situação do sistema. As situações de aplicação poderão ser de três tipos:  Auditoria do sistema em operação;  Auditoria do sistema em desenvolvimento;  Auditoria do centro de processamento de dados. Dependendo das situações de aplicação, as condições de auditoria têm de ser diferenciadas. A apresentação das técnicas considerará o objectivo de aplicação e também a caracterização de cada uma em cada situação da aplicação. Segurança Informática Podemos considerar que um sistema seguro é aquele que permite aos utilizadores a realização do seu trabalho nas condições desejadas. Pretende-se que os sistemas informáticos se mantenham permanentemente funcionais e disponíveis para os utilizadores. Não sendo nunca possível garantir esta característica a 100%, para nos aproximar dela devemos actuar em vários campos:  Minimizar a possibilidade de ocorrência de falhas  Proporcionar tolerância a falhas  Minimizar consequências das falhas Definição de falha Ocorrência (ou possibilidade de ocorrência) de qualquer evento que provoque um desvio relativamente aos parâmetros de funcionamento desejados. Estes parâmetros de funcionamento dependem do tipo de sistema informático e serviços que ele presta, incluem geralmente a confidencialidade dos dados, a integridade dos sistemas e sua disponibilidade permanente. Actualmente a segurança dos sistemas de informação representa um papel na vida das organizações de importância igual á concepção e desenvolvimento dos próprios sistemas de informação. O princípio reside no facto de que pior que não ter um bom sistema de informação é tê-lo e perdê-lo no momento em que os utilizadores, os procedimentos e os compromissos estão dependentes do sistema informático. 17

Auditoria e Segurança Informática A existência de um manual de segurança dentro das organizações que acautele a integridade do sistema é uma prioridade dos nossos dias que deve ser encarada com a importância que merece. Embora um manual de segurança do sistema de informação deva referir muitos outros aspectos para além dos danos e da sua prevenção resultante de actos de pirataria, vandalismo, etc., vamo-nos referir apenas aos últimos. A diminuição dos riscos de intrusão ou adulteração dos sistemas informáticos é uma batalha permanente. Cabe aos gestores e administradores de sistemas implementar procedimentos de protecção dos sistemas de informação. A implementação e manutenção dos sistemas de auditoria e controle deverão fazer parte das preocupações de qualquer organização. O valor da existência destes sistemas deverá ser medido pelo custo da sua inexistência. Assim, a relação custo/benefício da implementação de sistemas de auditoria e controle deverá ser estabelecida com base na eventual perda pela inexistência destes sistemas. Os principais factores a considerar na avaliação dos custos são: 1. Custo da perda de dados e paragem do sistema informático; 2. Custo da falta de fiabilidade do sistema informático; 3. Custo da quebra de sigilo da informação existente. As principais recomendações a implementar na organização vão desde o nível da definição das passwords até á utilização de sistemas de controlo do acesso do exterior. Objectivos  Assegurar que informação só seja conhecida pelo seu dono ou por quem ele desejar.  Assegurar que a informação não seja alterada, a não ser de forma intencional pelo seu dono ou por quem ele desejar  Assegurar que a informação esteja disponível ao seu dono ou a quem ele desejar.  Todos os casos deverão ser assegurados em todo o sistema informático independentemente do local onde a informação está armazenada ou por onde transita). No essencial, segurança envolve: Confidencialidade - Conhecimento da existência e conteúdo da informação apenas por quem tem permissão Integridade - Alteração da informação apenas por quem tem permissão Disponibilidade - Utilização permanente da informação por quem tem permissão Autenticidade - Certificação do dono Não repudio – quem fez a informação não pode recusar a autoria Segurança - ameaças Quanto à Origem: Externas : fogo, roubo, traição (de quem tinha acesso à informação), falha de equipamento, exposição ao exterior, etc. Resolução: cópias de segurança, isolamento físico, policiamento, equipamento tolerante a falhas, etc. Internas : utilizadores, controlo de acessos, vias de comunicação, bugs, etc. Resolução: autenticar utilizadores (servidores, clientes...), controlar acessos (princípio do mínimo privilégio), cifrar informação, usar software testado e de confiança, etc. Intercepção das comunicações Acesso não autorizado a computadores e redes informáticas Perturbações do funcionamento da rede 18

Auditoria e Segurança Informática   

Ataques aos servidores de nomes Ataques ao encaminhamento Inundação e ataques que bloqueiam o serviço

Execução de software malicioso que altera ou destrói dados Falsa identificação maliciosa Eventos ambientais e não-intencionais Internas Objectivos: Acesso a informação para fins particulares Adulteração de informação (empresas financeiras) Espionagem industrial Sabotagem Meios: Cópias de dados (recorrendo a suportes físicos) Utilização indevida de login/password Sniffing / exploits locais / trojans Perfil: Bom trabalhador Entra antes dos outros Sai depois dos outros Não goza férias Externas Objectivos: Hacking 'académico’ Espionagem industrial Sabotagem Meios/ técnicas: Sniffing / exploits locais e remotos / trojans Engenharia social Quanto ao modo de Actuação: Passivos - Leitura, escuta electrónica, fuga de info com cumplicidade (leaking), inferência, disfarce Activos - Vírus, alteração ou destruição física (meio portador de informação), alteração ou destruição lógica (informação propriamente dita), negação de serviços (obstrução das vias de comunicação), etc. Segurança - Estabelecimento segurança Definir política de segurança Quem pode fazer o quê, como e quando Ex: o ficheiro F só pode ser lido pelos utilizadores U1 e U2 Utilizar mecanismos de segurança Aplicar a política definida Ex1: atribuir, pelo sistema operativo, aos utilizadores U1 e U2 permissões de leitura de F Ex2: cifrar F por método ou com chave conhecidos só por U1 e U2 Exemplos de mecanismos de segurança: Cifra (cifragem, codificação) Controlo de acessos (após autorização, após autenticação) Registo (monitorização) (auditing) 19

Auditoria e Segurança Informática Níveis de acção dos mecanismos de segurança Prevenção de ataques Evitar que tenham sucesso Compatível com operações correntes?... Detecção de ataques Percebê-los o mais cedo possível Nem sempre é possível a prevenção (virus...) Recuperação de ataques Repor a situação inicial Mas eliminar o ponto de entrada do ataque! Politicas de Segurança No domínio dos SI e sendo uma parte fundamental de qualquer esquema de segurança eficiente, as políticas de segurança incluem documentos que descrevem, principalmente, a forma adequada de utilização dos recursos do SI, as responsabilidades e direitos tanto dos utilizadores como dos administradores, apresentam o que deve ser protegido e descrevem os procedimentos a manter e desenvolver com o objectivo de garantir a segurança dos SI. É necessário conseguir que as políticas de segurança garantam o cumprimento de todos os serviços de segurança: 1. Autenticação 2. Confidencialidade 3. Integridade 4. Ausência de rejeição 5. Disponibilidade dos recursos existentes a utilizadores devidamente autorizados 6. Controlo de acesso Texto As políticas devem ser expressas de uma forma clara, concisa e bem estruturada. Exige um esforço de toda uma equipa composta por técnicos de informática, utilizadores, directores de serviços e administradores de rede. Edição Transformar as políticas em documentos escritos e submetê-los a revisão e aprovação. Aprovação Esta parte pode ser a mais difícil do processo, pois alguns utilizadores podem mostrar-se um pouco contrários às políticas apresentadas e, portanto, dificultarem a sua aceitação. Difusão Informar todos os colaboradores da organização sobre a existência de uma política de segurança, utilizando documentos internos, sessões de vídeo, páginas Web, correio electrónico e outras formas de divulgação. Revisão As políticas têm de ser submetidas a um processo de revisão realizado por uma comissão, o qual terá em conta em conta os comentários feitos por todos os utilizadores envolvidos no SI. Aplicação É decisivo aplicar as políticas que tenham sido definidas e aprovadas. Uma política que não possa ser implementada ou fazer-se cumprir, não tem qualquer utilidade. Actualização Periodicamente, as políticas têm de ser analisadas de novo e actualizadas, devidos a todas as mudanças externas e internas que vão acontecendo. É indispensável que esta actualização seja realizada depois de ter ocorrido qualquer incidente de segurança.

20

Auditoria e Segurança Informática Políticas de Segurança em Redes No caso de uma rede informática, convém que os padrões de segurança sejam definidos independentemente das marcas dos equipamentos e da natureza de um determinado fabricante ou fornecedor. Quando é utilizado um servidor, é necessário indicar todos os equipamentos e funções que lhe estão associados e que este servidor não deve ser utilizado como ponto de trabalho. É no servidor que deve concentrar-se o controlo e a segurança dos recursos informacionais de uma rede. O administrador de rede ou de segurança é o responsável principal pela segurança da rede local. Por isso, é indispensável que as suas decisões e a situação global da rede sejam incluídas no programa de auditorias. A sua capacidade de gestão local também se reflecte na segurança do servidor. Por outro lado, o facto de haver segurança em todos os servidores mostra o estado de segurança da rede de toda a organização. A política global de Segurança terá de considerar também a Política de Segurança em Redes, a qual deve incluir os seguintes capítulos: Finalidades, Conteúdo e implementação. Politicas de Segurança: Modelos Tipos de políticas de segurança Confidencialidade - Militar Integridade - Comercial Disponibilidade - Qualidade de serviço Modelos Confidencialidade Políticas que pretendem evitar o conhecimento não autorizado de informação Modelos:  Bell-LaPadula  Clark-Wilson Integridade Políticas que pretendem garantir a exactidão da informação, evitando a sua alteração não autorizada Modelos:  Biba  Lipner  Clark-Wilson Modelo de Confidencialidade Bell-LaPadula É uma referência na modelização de segurança informática É utilizado sobretudo em instalações militares Define níveis de segurança ordenados (que podem ter categorias não ordenadas) Determina a filiação de entidades e objectos a níveis (e categorias) Especifica regras de acesso (observação e alteração) das entidades aos objectos Níveis de segurança Classificações “quantitativas” que abrangem entidades e objectos São ordenados pela importância, em termos de segurança (grau de confidencialidade), que o sistema lhes atribui. Categorias de segurança Classificação qualitativa de tipos de informação É independente da classificação de níveis de segurança A relação de inclusão de conjuntos é aqui aplicada Politicas do modelo Condição simples de segurança Condição de estrela 21

Auditoria e Segurança Informática Condição individual de segurança Notas A preocupação base do modelo é impedir o conhecimento (observação) não autorizada da informação contida em objectos; Por isso, o controlo da utilização do acesso “alteração” é feito com tal em mente! Não existindo qualquer preocupação de controlo de integridade do objecto! Modelo de Confidencialidade Clark-Wilson Preocupa-se que o sistema tenha consistência:  Interna (controlada internamente)  Externa (controlada externamente, por auditores) Utiliza o conceito de separação de funções Utiliza transacções para transformar o sistema Os utilizadores são autenticados e acedem aos dados através de programas especiais Modelo de Integridade Biba Tem em conta a protecção de execução de programas que podem fazer perigar a integridade do sistema a proteger. Níveis de integridade Classificações de segurança a que pertencem entidades e objectos Quanto maior for o nível, maior a confiança depositada na informação e nas operações executados por uma entidade. Pode também definir-se categorias, não ordenáveis, tal como no modelo de Bell-LaPadula! Politicas Política do nível mínimo (low-water-mark) Política do anel Política de integridade estrita Política do nível mínimo (low-water-mark) Modelo de Integridade Lipner Considera que, num sistema comercial, cuja integridade se pretende proteger, há que obedecer a uma organização estrutural e funcional fundamental. Recomenda, genericamente, que haja: Separação de funções (de responsabilidades ou de pessoas) (separation of duty) Por exemplo, utilização e desenvolvimento deverão ser tarefas executadas por diferentes entidades separação de ambientes (separation of function) Modelos híbridos Políticas que preocupam tanto com a integridade como com a confidencialidade da informação a segurar Modelo Muralha Chinesa Sistema de Segurança Global Baseando-se na política de segurança tanto a nível institucional como a nível departamental, este sistema deve incluir os seguintes elementos:  Definição dos elementos administrativos;  Organização e atribuição de responsabilidades;  Considerações sobre a segurança física contra catástrofes, nomeadamente incêndios, terramotos e inundações;  Definição de procedimentos de segurança para os empregados que não sejam técnicos do departamento de informação; 22

Auditoria e Segurança Informática          

Um plano de emergência que considere as operação de salvaguarda dos activos em situações imprevistas de perigo real; Números de telefone de emergência; Definição das condições particulares das apólices de seguros; Definir procedimentos técnicos; Necessidades de sistemas de segurança para hardware, software, fornecimento de energia e cablagens externas; Planeamento das actividades dos auditores internos e externos; Programas de treino de operações de simulação de situações de ameaça da segurança; Elaboração periódica de planos de equipamentos de contingência; Política de manutenção / destruição de cópias de segurança; Consideração do cumprimento das normas ISO 14000.

Plano de Segurança: Fases da Implementação de um Plano de Segurança Global A elaboração de um Plano de Segurança Global exige que sejam tidos em conta os seguintes aspectos:  Sensibilizar todos os executivos da organização sobre as questões de segurança dos SI;  Analisar e diagnosticar a situação actual no que respeita aos riscos e à segurança dos SI a nível de software, hardware e recursos humanos;  Elaborar um plano para um programa de segurança, o qual deve contemplar os seguintes aspectos: o O plano de segurança destina-se a garantir a integridade e exactidão dos dados; o Possibilitar a identificação da informação que é tida por confidencial; o Considerar as áreas que se destinem a algum uso exclusivo; o Proteger a conservação de todos os activos de desastres provocados por enganos ou por actos hostis e deliberados; o Garantir que a organização possa sobreviver a desastres; o Evitar que os órgãos de gestão sejam acusados de negligência ou imprudência. Considerações sobre o Pessoal O plano deve ter em conta o pessoal técnico e o desenvolvimento da sua consciência profissional, a fim de que todos possam fazer a auto-avaliação dos seus comportamentos e desenvolvam qualidades no sentido de:  Assumir riscos;  Cumprir prazos e satisfazer compromissos;  Exercerem o esforço inovador. Para assegurar que estes objectivos sejam alcançados, é importante considerar os seguintes aspectos: 1. Motivação. 2. A Qualificação e a consciência profissional dos Técnicos 3. Cultura Empresarial. Fases da implementação de um Plano de Segurança Para que o plano de segurança seja devidamente implementado, importa considerar as seguintes fases: 1. Introduzir o conceito de segurança na visão global da organização; 2. Definir os processos que possibilitem um adequado fluxo de informação e os riscos que pode correr esse fluxo relativamente a todos os recursos e utilizadores do SI; 3. Consciencializar todos os quadros directivos sobre a funcionalidade e o valor do plano; 4. Indicar os níveis de responsabilidade e os nomes dos responsáveis; 5. Definir as áreas em que seja possível conseguir níveis de melhoria relativamente rápidas; 6. Introduzir aperfeiçoamentos nas comunicações internas; 7. Identificar claramente as áreas de maior risco e trabalhar no sentido de elaborar soluções de alto nível;

23

Auditoria e Segurança Informática 8.

Fazer com que todos os utilizadores saibam lidar com as regras básicas de segurança e ter em conta os principais riscos inerentes à utilização dos software, dos hardware e de tudo que se relacione com a segurança física.

Benefícios de um Plano de Segurança Os benefícios de um plano de segurança adequadamente formulado são imediatos, visto que a organização passará a funcionar num ambiente de maior confiança, o que se reflecte nos seguintes aspectos:  Aumento da produtividade;  Aumento da motivação do pessoal;  Comprometimento com a missão da organização;  Melhoria das relações de trabalho;  Contribuição para a formação de equipas técnicas competentes. SEGURANÇA - CRIPTOGRAFIA Criptografia Ciência (e arte) da escrita secreta Basicamente, pretende dificultar o conhecimento não autorizado de informação A ela recorrem dois tipos de profissionais: Criptógrafos – tentam ocultar a informação Cripto-analistas – tentam conhecer a informação ocultada Utilização prática da criptografia Normalmente, pretende-se ocultar um pedaço de informação, P, transformando-a em informação não directamente inteligível, C, noutro local ou mais tarde, deve poder-se reobter a informação original, P. Cada vez mais, porém, usam-se técnicas criptográficas para efeitos onde não interessa recuperar a informação original. As operações de ocultação e recuperação de informação, designadas por cifragem e decifragem, ou codificação e descodificação, costumam ser assistidas por chaves (criptográficas) K. Sistema Criptográfico Genérico Envolve  Informação original, descoberta (P, texto normal, plaintext)  Métodos de ocultar a informação (E, algoritmo de cifra)  Parâmetros dos métodos de ocultação (Ke , chave de cifragem)  Informação oculta (C, texto cifrado)  Métodos de re-obter a informação original (D, algoritmo de decifragem), quando houver interesse  Parâmetros dos métodos de recuperação (Kd, chave de decifragem) Ataques para “quebrar” o sistema criptográfico Normal Só se tem acesso ao texto cifrado Tenta-se obter o texto original e/ou a chave de codificação Texto original conhecido (obtido “passivamente”) Tem-se acesso ao texto original e ao seu correspondente cifrado Tenta-se obter a chave de codificação ou de descodificação Texto original planeado (preparado “activamente”) Faz-se com que textos conhecidos sejam cifrados Tenta-se obter a chave de codificação ou de descodificação Em todos os casos, usa-se Matemática Estatística Intuição 24

Auditoria e Segurança Informática Sistema criptográfico ideal:  Difícil de quebrar  Fácil de utilizar  Se quebrado, fácil de substituir Tipos de sistemas criptográficos  Quanto ao segredo:  Algoritmo(s) secreto(s)  Chave(s) secreta(s)  Uma só chave  Duas chaves Quanto ao método:  Stream (ou contínuo)  Bloco Quanto à aplicação: Bidireccional, reversível (two-way): Integridade, Confidencialidade, Autenticidade Unidireccional, irreversível (one-way): Integridade, Autenticidade Tipos de segredo Algoritmo(s) secreto(s) Chave(s) secreta(s) Sistemas de algoritmo secreto Exemplo: Descobrir o algoritmo que transforma a frase (aspas não incluídas): «Este algoritmo é muito resistente!» em «%hvoe}{pyjv#qui~u'ï/spvjrxosg%iwuF» Sistemas de chave(s) secreta(s) Uma só chave Duas chaves Exemplo: Sabendo que se está a utilizar o algoritmo designado “cifra de César” (adaptado à tabela Latin 1, ISO 88591), descobrir a chave que transforma a frase (aspas não incluídas) «Este algoritmo é muito resistente!» em «Guvg”cniqtkvoq”ë”owkvq”tgukuvgpvg#» Nota: a cifra de César usava a chave ”+3” Sistemas de Cifra com chave Simétricos, de chave-secreta, ou de chave-partilhada Ke = Kd = K - A mesma chave para cifrar e decifrar Computação muito eficiente, pelo que apropriados à cifra de grandes quantidades de dados Combinação e troca de chave difícil, pelo que preferidos em sistemas fechados Exemplo: DES (Data Encryption Standard) Assimétricos, de chave-pública, ou de dupla-chave Ke (=K+) ¹ Kd (=K-) - uma chave para cifrar outra chave para decifrar Pesados em termos de computação, pelo que não adequados à cifra de grande quantidade de dados 25

Auditoria e Segurança Informática Combinação e troca de chaves fácil, pelo que ideias para sistemas abertos Exemplo: RSA (Rivest-Shamir-Adleman) Métodos de cifragem Stream (ou contínuo) Bloco Método contínuo (stream) O texto a cifrar é dividido em partes de igual tamanho P = P1P2... Cada uma das partes é cifrada com uma chave diferente K = K1K2... C = K(P) = K1(P1)K2 (P2)... Se o nº de chaves for menor que o nº de partes a cifrar, o sistema diz-se periódico Exemplos: algoritmo de Vigenère, one-time pad Exercício: Completar a texto codificado da Figura

Método de Bloco O texto a cifrar é dividido em partes de igual tamanho P = P1P2… Cada uma das partes é cifrada com a mesma chave K C = K(P) = K(P1)K (P2)… Exemplos: DES, RSA, AES (Advanced Encryption Standard) Exercício: Completar a texto codificado da Figura

Exemplo de técnica criptográfica: One Time Pad  Sistema do tipo stream  Chave aleatória  Chave do tamanho do texto original  Considerado inquebrável Cifragem: Texto original: P Chave: K Texto cifrado: C = P K Decifragem: P=C*K * XOR – (ou exclusivo)

26

Auditoria e Segurança Informática Tipos de aplicação Bidireccional, reversível (two-way) Unidireccional, irreversível (one-way) Cifragem reversível (ou bidireccional, two-way encryption): Utilização  Confidencialidade  Autenticação  Verificação de Integridade

Resistência: Dado um texto P e o seu correspondente cifrado C, é impraticável calcular a chave K que efectuou C = EK(P) Unicidade: Dado um texto P e uma chave K, é impraticável calcular outra chave K' tal que EK(P) = EK'(P) Nota: impraticável = actualmente, computacionalmente impossível Cifragem irreversível (ou unidireccional, one-way encryption): Utilização  Autenticação  Verificação de Integridade

Ideia base: A partir de um texto inicial, calcular-se um número que é característico do texto (hash value, message digest; checksum; fingerprint) O texto original não é recuperável! Exemplo de algoritmo criptográfico (reversível, chave secreta) DES (Data Encryption Standard)       

Reversível, Chave secreta Antiga norma de cifragem dos Estados Unidos, incluindo do seu governo (para material não classificado!) Aparentemente, DES foi propositadamente enfraquecido para que a Agência de Segurança Americana (NSA) o pudesse quebrar (chave de 56 bits...) As bases teóricas do seu projecto nunca foram divulgadas (talvez para não revelar vulnerabilidades de que sofriam outras cifra em uso) Durante anos, a sua exportação dos EUA foi impedida; no entanto, havia múltiplas implementações no estrangeiro Algoritmo rápido, especialmente se realizado em hardware, pelo que é ainda muito utilizado Variações do algoritmo, nomeadamente o DES Triplo, são ainda consideradas inquebráveis

27

Auditoria e Segurança Informática Princípio de operação do DES  Blocos de 64b  Chave de 56b  Permutação inicial  16 etapas (rounds) usando 16 chaves, obtidas da chave principal  Permutação final, inversa da inicial Problemas do DES Chave com apenas 56 bits! Relativamente fácil de decifrar por "forçabruta” Conhecendo um texto e a sua cifra, bastam 3 x 1016 tentativas Maquinas especializadas construídas em finais da década de 90 conseguem quebrá-lo em poucas horas! Soluções Cifrar 2 vezes em sucessão com a mesma chave só dobra o tempo de pesquisa por força bruta Cifrar 2 vezes, cada uma com chave diferente ataque possível, apesar de pouco prático Cifrar 3 vezes, usando 3 chaves diferentes (DES triplo , 3DES) - Ok! Mas não será preciso tanto! Cifrar 3 vezes, usando 2 chaves diferentes (também 3DES) - Ok! Chave equivalente de 112 bits com o esquema EDE é suficiente Exemplo de algoritmo criptográfico (reversível, chave secreta) AES (Advanced Encryption Standard) 2001: norma FIPS (Federal Information Processing Standard), nos Estados Unidos Permitida a exportação de implementações! Abertura! Concurso mundial promovido pelo NIST (National Institute of Standards and Technology), Estados Unidos  15 candidatos  5 finalistas (IBM, RSA, Schneider...)  1 vencedor: algoritmo base, "Rijndael" (2 investigadores belgas) Características:  Chaves com 128, 192 ou 256 bits  Blocos de 128b (ou de 192 ou 256)  Considerado inquebrável (num futuro médio!)  Eficiente em software e em hardware (incluindo smart cards) Exemplo de algoritmo criptográfico (reversível, chave pública) RSA (Rivest-Shamir-Adleman) O mais conhecido algoritmo assimétrico Até muito recentemente (2000), estava protegido por patente, nos EUA Algoritmo pesado, mesmo se realizado em hardware Até agora não foi quebrado. Tal seria muito difícil, se as chaves forem geradas com números primos muito grandes (> 10100). Base de operação: aritmética modular. Exemplo de algoritmo criptográfico irreversível MD5 (Message Digest 5) O mais conhecido algoritmo unidireccional Usado especialmente para verificação de integridade em mensagens (sumário de mensagens - message digests) Desenvolvido por Ronald Rivest (um dos autores do RSA) O número resultante da aplicação da função tem (sempre) 128 bits 28

Auditoria e Segurança Informática Encontrada uma vulnerabilidade em Agosto de 2004 (por criptólogos chineses) SEGURANÇA –CRIPTOGRAFIA - CASOS DE UTILIZAÇÃO NA PRÁTICA Criptografia: casos de estudo Chaves Assimétricas Passo 1: Alice envia sua chave pública para Bob

Cada utilizador tem um par de chaves: uma pública e uma privada.

Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para a Alice, que recebe e decifra o texto utilizando a sua chave privada PGP O PGP, do inglês Pretty Good Privacy, é um programa de computador que utiliza criptografia para proteger a privacidade do e-mail e de ficheiros. PGP pode ainda ser utilizado como um sistema de assinaturas digitais, permitindo desta forma a comprovação de que ficheiros ou e-mails não foram modificados e que são originados numa determinada origem comprovada. OpenPGP O OpenPGP é um padrão aberto de criptografia baseado no PGP. Funciona através de chaves assimétricas, cada utilizador gera no seu computador um par de chaves: uma pública e uma privada.

Características Uso desde o início algoritmos robustos (RSA, IDEA) Efectua a compactação de mensagens Autenticação de chaves públicas é efectuada por um curioso método descentralizado (ring of trust) Importante concretização livre: GPG Gnu Privacy Guard 29

Auditoria e Segurança Informática A chave pública é distribuida livremente e permite que qualquer utilizador criptografe dados de modo que só quem possui a chave privada correspondente possa descriptografar.

A chave privada ou secreta, além da capacidade de descriptografar, é capaz de assinar dados. Quando algo é assinado com uma chave privada, a chave pública correspondente pode verificar se o remetente é verdadeiro e se o conteúdo não foi adulterado depois de assinado. A autenticação de chaves públicas é efectuada através de um sistema de cadeias de confiança. Cada vez que um utilizador obtém a chave pública de outro utilizador, ao se encontrar com ele, pode verificar a impressão digital da chave obtida, garantindo certeza de que a chave é a verdadeira (não foi alterada). OpenPGP - sistema de cadeias de confiança Ao ter certeza de que a chave é verdadeira, o utilizador pode assinar a chave pública do outro utilizador com a sua chave privada, atestando a outros utilizadores que a chave realmente pertence a quem diz pertencer.

Comparação

OpenPGP Software GNU PGP – implementação OpenPGP Software criptográfico compatível com o OpenPGP A FSF (Free Software foundation) desenvolveu o GNU Privacy Guard, também conhecido como GnuPG ou simplesmente GPG. Assinatura Digital A assinatura digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. 30

Auditoria e Segurança Informática A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor que diz pertencer. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:  Autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;  Integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;  Não repúdio - o emissor não pode negar a autenticidade da mensagem. Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita. Existem diversos métodos para assinar digitalmente documentos. Porém de maneira resumida uma assinatura digital típica envolve dois processos criptográficos: 1. O hash (resumo) 2. Encriptação deste hash. No primeiro momento é gerado um resumo criptográfico da mensagem através de algoritmos complexos (Exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este resumo criptográfico se dá o nome de hash. Uma função de hash deve apresentar necessariamente a seguinte característica: Deve ser impossível encontrar a mensagem original a partir do hash da mensagem. HASH Um hash é uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F). O conceito teórico diz que "hash é a transformação de uma grande quantidade de informações numa pequena quantidade de informação". O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido. Uma função de hash é dita forte se a mudança de um bit na mensagem original resulta num novo hash totalmente diferente. Deve ser impossível encontrar duas mensagens diferentes que levam a um mesmo hash. Então: Se as mensagens possíveis são infinitas, mas o tamanho do hash é fixo, é impossível impedir que mensagens diferentes levem a um mesmo hash. De facto, isto ocorre. Quando se encontram mensagens diferentes com hashs iguais, é dito que foi encontrada uma colisão de hashes. Um algoritmo onde isso foi obtido deve ser abandonado. Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública, para garantir a autenticação e a irretratabilidade. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto a mensagem original. Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, é necessário descriptografar a assinatura obtendo o hash original. Se ele for igual ao hash recém gerado, a mensagem está íntegra. Além da assinatura existe o selo cronológico que atesta a referência de tempo à assinatura. Selo cronológico – Timestamping O Selo Cronológico é uma assinatura digital de um terceiro de confiança afirmando que um documento digital existia no momento que o mesmo foi assinado. Desta maneira é possível assinar digitalmente documentos electrónicos anexando uma data e hora específica. É utilizado pelos programas de correio electrónico, para assinar e/ou criptografar mensagens de correio electrónico e para assinar programas descarregáveis da Internet. Por exemplo: entrega de documentos digitais nos tribunais dentro de um prazo.

31

Auditoria e Segurança Informática MD5 Hash MD5 Os hashes MD5 de 128-bit (16-bytes) são normalmente representados por uma sequência de 32 caracteres hexadecimais. O seguinte mostra uma string ASCII com 44-bytes e o hash correspondente:

Mesmo uma pequena alteração na mensagem vai criar um hash completamente diferente, ex. ao mudar ã para a:

O hash de uma string vazia é:

Assinatura digital

32

Auditoria e Segurança Informática

Certificado digital Como podemos ter a certeza de que o par de chaves (pública e privada) pertence realmente a um determinado emissor? A reposta é simples: através da utilização de Certificados Digitais, emitidos por uma terceira parte confiável Entidades (autoridades) certificadoras (Certification Authority). Antes de duas partes trocarem informação usando criptografia de chave pública, cada uma delas, deseja autenticar a identidade da outra parte. Por exemplo os remetentes querem saber se estão a lidar realmente com o destinatário eleito. Obviamente que os destinatários também querem ter a certeza da identidade dos seus remetentes e da exactidão das informações trocadas. Uma forma de assegurar a autenticação de cada uma das partes pode ser alcançada através dos serviços de uma terceira parte que emite e regule os serviços de gestão de certificados digitais. Um certificado digital é um documento electrónico assinado digitalmente, emitido por uma terceira parte de confiança, denominada Entidade Certificadora. De acordo com a lei, o Certificado Digital é um documento electrónico autenticado com assinatura digital que certifica a titularidade de uma chave pública e a sua validade. Esse documento é emitido por uma entidade certificadora que cria e assina um Certificado Digital, um documento electrónico que associa inequivocamente a identidade de um indivíduo ou organização a uma chave pública assegurando a sua legalidade e fiabilidade. Usando metodologias, processos e critérios bem definidos e públicos, a Entidade Certificadora regula a gestão dos certificados através da emissão, renovação e revogação dos mesmos, por aprovação individual. Para criar um certificado digital, a Entidade Certificadora cria um código Hash com, entre outros dados, a informação da identidade do utilizador e a sua chave pública. A Entidade Certificadora «assina» esta informação ao utilizar a sua chave privada, criando um código Hash cifrado. Esta informação é incluída no certificado a emitir. Se a informação da identidade do utilizador, ou a chave pública contida no certificado digital, for alterada de qualquer forma, o certificado é detectado como inválido. Para confirmar a integridade de um certificado digital, o receptor: Recria o código Hash usando o mesmo algoritmo e informação que a Entidade Certificadora utilizou na criação do Hash original para o certificado em questão (valor A). Decifra o Hash existente no Certificado Digital com a Chave Pública da Entidade Certificadora (valor B). Compara os dois valores obtidos (A e B) e se estes forem iguais o Certificado Digital apresenta-se como íntegro. Caso contrário, o Certificado Digital sofreu alterações e é inválido. Assim, um Certificado Digital pode ser utilizado como forma de identificação digital, como um BI por exemplo, podendo ser utilizado para efectuar transacções electrónicas em redes abertas com segurança e privacidade, assinar digitalmente documentos e disponibilizar outros mecanismos para fins de confidencialidade, como é o caso do envio de uma peça processual para um tribunal.

33

Auditoria e Segurança Informática

Public key infrastructure Uma Infra-Estrutura de Chaves Públicas é uma entidade de iniciativa pública ou privada que tem como objectivo manter uma estrutura de emissão de chaves públicas, baseando-se no princípio da terceira parte confiável, oferecendo uma mediação de credibilidade e confiança em transacções entre partes que utilizam certificados digitais. A principal função do ICP é definir um conjunto de técnicas, práticas e procedimentos a serem adoptados pelas entidades a fim de estabelecer um sistema de certificação digital baseado em chave pública. Existem Autoridades de Certificação de dois tipos: As Autoridades de Certificação de Raiz que emitem directamente os certificados; As Autoridades de Certificação Intermediárias cujos certificados são emitidos indirectamente pelas Autoridades de Certificação de Raíz. Caso o certificado não seja emitido por uma Autoridade de Certificação, este é auto-assinado, ou seja, o proprietário ocupa os lugares de Autoridade de Certificação, Autoridade de Registo e Cliente. Exemplos de Autoridades de Certificação de Raiz são a americana VeriSign ou a britânica Equifax. Exemplos de Autoridades de Certificação Intermediárias são a portuguesa Saphety ou a também portuguesa Multicert. RSA RSA é um algoritmo de criptografia, que deve o seu nome a três professores do MIT (fundadores da empresa RSA Data Security, Inc.), Ron Rivest, Adi Shamir e Len Adleman Até à data, a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números. É considerado dos mais seguros, já que colocou por terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, uma das grandes inovações em criptografia de chave pública. O mais conhecido algoritmo assimétrico Até muito recentemente (2000), estava protegido por patente, nos EUA 34

Auditoria e Segurança Informática Algoritmo pesado, mesmo se realizado em hardware Até agora não foi quebrado. Tal seria muito difícil, se as chaves forem geradas com números primos muito grandes (> 10100). Base de operação: aritmética modular. SSL - Secure Sockets Layer Tecnologia de segurança que é utilizada para codificar os dados transferidos entre o computador de um utilizador e um website. O protocolo SSL, através de um processo de encriptação dos dados, previne que os dados transmitidos possam ser interceptados, ou mesmo alterados no seu percurso entre o navegador (browser) do utilizador e o site com o qual ele está ligado, garantindo desta forma a troca de informações confidenciais como os dados de cartão de crédito. Agora, é também conhecido como TLS - Transport Layer Security Como gerar um certificado SSL? Para obter um certificado digital SSL é necessário fornecer informações sobre o detentor do Website, tais como endereço, documentação e pessoa de contacto. Com estes dados, é gerado um par de chaves de encriptação (publica e privada), que irão garantir o processo de codificação dos dados. Estas chaves são duas: Uma chave privada, que deverá ficar somente no servidor e uma chave pública que será utilizada, em conjunto com as informações de registo, para gerar um CSR (Certificate Signing Request). Este CSR é então submetido a uma autoridade certificadora (CA) que irá validar os dados de registo, através da comprovação da autenticidade dos documentos e da propriedade do website, garantindo que aquele certificado foi realmente emitido para o proprietário do website. A autoridade certificadora, gera então o certificado definitivo, que deverá ser instalado pelo responsável do alojamento do website. Os Certificados Digitais EV SSL (Extended Validation) Representam a próxima geração de certificados SSL porque ajudam a proteger contra ataques de phishing. Eles funcionam associados a navegadores web de alta segurança de maneira que os visitantes do website com um Certificados Digitais EV SSL verão uma “Barra de Endereços Verde”. Os Certificados Digitais EV SSL são um novo padrão de mercado para a verificação de identidades de sites de e-commerce. A tecnologia de validação avançada EV (Extended Validation) permite aos navegadores a partir do Internet Explorer 7 e Firefox 3 mostrarem na barra de endereços na cor verde com o nome da empresa, permitindo aos utilizadores identificar o seu site como seguro, autêntico e não clonado OpenSSL O OpenSSL é uma implementação de código aberto dos protocolos SSL e TLS. A biblioteca escrita na linguagem C implementa as funções básicas de criptografia e disponibiliza várias funções utilitárias. Também estão disponíveis wrappers que permitem o uso desta biblioteca em várias outras linguagens. O OpenSSL está disponível para a maioria dos sistemas do tipo Unix, incluindo Linux, Mac OS X, as quatro versões do BSD - Berkeley Software Distribution, de código aberto e também para o Microsoft Windows. O OpenSSL é baseado no SSLeay de Eric Young e Tim Hudson. SEGURANÇA - PROTECÇÃO DE SISTEMAS LOCAIS Objectivo Proteger Recursos (integridade da informação, confidencialidade de alguma informação, disponibilidade de recursos) contra ataques propositados e contra descuidos (ou incompetência). Motivação  Existência de ameaças externas (algures na Internet)  Existência de ameaças internas... 35

Auditoria e Segurança Informática 

Existência de acidentes

Medidas a tomar  Definir uma política de segurança  Cumprir a política com mecanismos de prevenção  Reduzir e controlar os acessos a serviços disponibilizados de detecção  Constatar a execução de operações suspeitas de recuperação  Repor a informação original Protecção por Prevenção em redes locais (LAN Protection)

Esquema de uma rede local “bem”protegida contra ameaças externas Definições  Perímetro de segurança  Dispositivos do tipo cortafogo (firewall)  Zona desmilitarizada (DMZ – DeMilitarized Zone)  Dispositivos do tipo procurador (proxys)  Túneis Perímetro de segurança “linha” delimitadora do conjunto de computadores e de segmentos de rede local que devem estar protegidos por mecanismos apropriados (ex: corta-fogos) Corta-fogo (firewall) Computador especialmente programado que controla o tráfego de acesso à rede interna de uma organização. O controlo é efectuado no sentido de dar cumprimento a uma política de segurança Nota: por vezes, o software que efectua tal controlo é, ele mesmo, designado por firewall. Zona desmilitarizada (DMZDeMilitarized Zone) Porção de uma rede local que separa a parte interna da rede (zona a proteger) da parte externa (zona de onde se esperam os ataques). Procurador ou mediador (proxy) Programa que faz a mediação entre duas entidades, por forma a que elas não comuniquem directamente. Consegue, dessa forma, verificar e controlar a informação trocada. Túnel de segurança Linha de comunicação entre duas entidades autenticadas que garante a integridade e, talvez, a confidencialidade da informação trocada. Normalmente, o túnel passa por regiões da Internet completamente desprotegidas e pode ser usado para se aceder do exterior de uma rede local directamente a uma máquina dentro do perímetro de segurança.

36

Auditoria e Segurança Informática

Esquema de um túnel entre a máquina exterior X e o servidor protegido Wxy. Dispositivos corta-fogo Tipos de Cortafogo  De filtragem (controlo de acessos no tráfego pela observação dos campos “visíveis” dos pacotes) o de endereços (cabeçalho IP) o de pacotes (outros cabeçalhos; conteúdos)  De procuração ou de aplicação (proxy firewall; application gateway) o Controlo de acessos por mediação entre duas partes de uma comunicação. Tipicamente, actua ao nível da informação interpretada nos pacotes de tráfego, podendo reconstruir e analisar a informação completa a entregar ao destinatário.  De auditoria o Análise estatística, controlo de tráfego por classe, resposta a ameaças Nota: um dado corta-fogo dificilmente se classifica num único tipo. Localização dos Corta-fogos  Exterior (ligação à Internet) o Controlo grosso do fluxo de informação (filtragem) o Único endereço da rede local, visível do exterior (procuração, e.g. HTTP)  Interior (ligação à rede protegida) o Controlo de fluxo de informação (acesso à Internet vedado; acesso de administração da DMZ controlado, isto é SSH só de certa maq.)  Única! o Controlo simplificado, sem zona desmilitarizada

Limitações dos Corta-fogos  Ameaças internas ao perímetro, e.g. utilizadores  Conteúdos “activos” de informação do exterior, e.g. javascript  Comunicações “proibidas” sobre protocolos permitidos, e.g. HTTP  Túneis, especialmente para utilizadores móveis, e.g. injecção de dados não verificados  Meios alternativos de ligação ao exterior, e.g ligações por modem  Sistemas de pares (peertopeer), muitas maqs, partilha de fichs, túneis… 37

Auditoria e Segurança Informática Corta-fogo (firewall): soluções e complementos  Considerar ameaças internas (utilizadores, canais camuflados...)  Considerar ameaças não informáticas (sociais!...)  Controlar a informação nos servidores (corta-fogos internos e distribuídos)  Usar sistemas internos seguros (sistema operativo, aplicações correntes...)  Usar dispositivos de detecção de ataques (IDS Intrusion Detection Systems) Protecção por Detecção de ataques Princípio Basicamente, pretende-se verificar:  Se há utilizadores desconhecidos  Se estão a decorrer actividades não autorizadas (pela política de segurança estabelecida) Se qualquer dos casos ocorrer, diz-se estar a haver uma intrusão Pode ser usado para protecção de ataques externos mas também internos. Sistema em funcionamento normal Os utilizadores (e os seus processos) efectuam trabalhos estatisticamente rotineiros Os utilizadores (e os seus processos) efectuam trabalhos que não violam a política de segurança definida Os utilizadores (e os seus processos) não efectuam trabalhos que se sabe subverterem a política de segurança definida Sistema com intrusão Há violação de qualquer das características de funcionamento normal Normalmente, há dissimulação da violação Com tempo suficiente, há eliminação de traços de intrusão (se for possível!) Meios de detecção de ataques: IDS, Intrusion Detection Systems Um sistema de detecção de intrusões:  Reconhece uma grande variedade de intrusões  Reconhece intrusões em tempo útil  Apresenta as intrusões de forma clara  É exacto no reconhecimento de intrusões Modelos de detecção de intrusões Observação de anomalias o Relativamente a um comportamento estatisticamente “normal” o Implicam um período de aprendizagem ou a obtenção de histórias comportamentais e de operação  Variantes: comparação com níveis bem definidos; observação de desvios puramente estatísticos; detecção de sequências de operações anormais  Observação de má utilização o Detecção de “assinaturas” o Observação de actividades que são reconhecidamente hostis o Ataques não conhecidos não são detectados!  Observação de violação de especificações o Detecção de comportamentos não previstos (especificados) o Basicamente, importa apenas observar a utilização de programas o Que alteram o estado de protecção do sistema o Normalmente, verifica-se a sequência (trace) de invocações daqueles programas 

38

Auditoria e Segurança Informática o

Observação de aspectos múltiplos (modelos mistos)  Adaptação a novos comportamentos, normais ou hostis (modelos adaptativos)

Arquitectura de sistemas IDS  Agente  Director (coordenador)  Notificador

Agente  Recolhe a informação no local e efectua algum pré-processamento  Informação registada e recolhida:  actividades na máquina (hostbased) e na rede (networkbased),(normalmente é simples e pode coexistir com outros agentes na mesma maq) Director (coordenador)  Agrega a informação recebida e analisa-a sob um modelo de intrusão escolhido  Sendo identificada uma intrusão: o Avisa o notificador sobre um potencial ataque em curso  Modelo de instalação: o Centralizada (e, normalmente, em maq separada) o Distribuída (tolerância a falhas, aumento da intercomunicação) Notificador  Activa os alarmes (programas de reacção ou operador)  Inicia procedimentos de reacção e recuperação  (normalmente, tem interface gráfico)  (poderá coincidir com o director) Resposta a intrusões Depende da Detecção de intrusões:  Grau de sucesso  Taxa de sucesso Detecção de intrusões: grau de sucesso  Intrusão ainda em curso o Detecção atempada, ataque fracassado  Intrusão terminada o Detecção falhada em termos de oportunidade: ataque só falha se as defesas “estáticas” estabelecidas se aguentarem  Intrusão não detectada o Detecção falhada, ataque bem sucedido

39

Auditoria e Segurança Informática Detecção de intrusões: taxa de sucesso  Nº de detecções verificadas  Nº de falsos alarmes (falsos positivos)  Nº de detecções falhadas mas verificadas (falsos negativos)  Nº de detecções falhadas (muitas vezes desconhecido...) Bom sistema IDS: Obviamente, deveria ter uma posição perto do topo na lista de graus e taxas de sucesso! Resposta a intrusões: fases de operação  Preparação o Instalação e configuração do sistema  Identificação o Aparente detecção de um ataque  Contenção o Delimitação da área atacada (se a intrusão estiver em curso)  Liquidação o Terminação do ataque (se a intrusão estiver em curso)  Recuperação o Reposição do sistema num estado seguro  Reajuste o Reconfiguração do sistema à luz da informação recolhida Contenção de intrusões:  Só se aplica a detecções atempadas (por IDS ou pelo protecção “estática”  Consiste na delimitação da zona de ataque (caging)  Pode consistir na oferta de “engodos” (honeypots)  Visa permitir a análise dos métodos e meios de ataque e, talvez, identificar a sua origem Liquidação da intrusão  Fase de terminação do ataque em curso (tendo havido ou não contenção)  Pode consistir em fechar os pontos de acesso (reconfiguração dos cortafogos),  Negar a invocação de chamadas ao sistema (utilização de wrappers...), terminar os processos do utilizador atacante  Pode implicar o desligar da rede externa e o encerramento do sistema Reajuste  Reconfigurar (reinstalar, ou trocar) o sistema à luz da lição aprendida  Obter informação suplementar sobre origem e métodos de ataque (tracing do ataque)  Proceder a um accionamento legal do atacante: o Coligir provas tangíveis do ataque o Iniciar uma acção judicial  Contra-atacar!... o Manual ou automaticamente (vermes anti-vermes!) o Problemas éticos e legais Protecção por Recuperação de ataques Processo independente da utilização de meios de detecção, mas normalmente, nele incluído Basicamente, consiste em repor o sistema num estado seguro corrigir as permissões aos recursos, reactivar os mecanismos de controlo de acesso, refazer as tabelas e ficheiros de sistema (os backups são, aqui, imprescindíveis), relançar os serviços desactivados, etc. 40