Segurança informática em auditoria
Página Anterior
Página Seguinte

4.1. A segurança nos controlos gerais das tecnologias de informação (CGTI)

De acordo com o esquema da Figura 1 – Os Anéis da Segurança Informática, os CGTI são a base dos mecanismos de controlo interno porque incluem aspectos de infra-estrutura. Funciona como o esqueleto da segurança e controlo das TIC numa organização. Vamos tentar mostrar a importância de cada um dos anéis e a forma como podem condicionar a segurança e o risco da auditoria.


a. Comunicações e WEB (Internet, Extranet e Intranet)

Nenhuma organização pública ou privada pode funcionar e ser eficiente sem comunicação entre os seus colaboradores. Actualmente, a redução de custos está irremediavelmente associada aos meios de comunicação aplicados aos diferentes processos na cadeia de valor das empresas.

Há um papel crescente desempenhado pelas redes e pelos sistemas de informação na actualidade que importa conhecer e proteger porque estamos a assistir a muitos modos de condicionamento destes meios por indivíduos sem qualquer responsabilidade social espalhados pelo globo. Sempre existiram pessoas deste género, mas nunca tiveram tanto poder para afectar tanto a sociedade.

As consequências são dramáticas para algumas empresas, a indisponibilidade temporária dos sistemas, as falhas de desempenho ou o funcionamento incorrecto, condicionam negativamente os processos de negócio afastando os clientes das empresas que dependem destes meios de comunicação.

Algumas organizações tomaram iniciativas no sentido de prevenir esta ameaça:

A segurança das telecomunicações compreende várias dimensões:

Começando com o acesso interno às redes, de forma controlada com autorização de alguém responsável pela segurança, com registo e análise periódica dos acessos. Convém lembrar que segundo algumas estatísticas, mais de metade dos acessos indevidos e intrusão são originados a partir do interior das organizações.

A segurança no acesso externo às redes é outra grande preocupação quando existem entidades externas à organização que acedem à rede. Todos os acessos concedidos devem ser autorizados e atribuídos pelo responsável de segurança com análise periódica de quem entrou. Além da verificação de login, é conveniente estabelecer outros tipos de verificações que permitam identificar eventuais piratas informáticos.

O serviço de Internet deve ser devidamente protegido, tal como o envio de informação e a transferência de dados para fora da rede com encriptação de dados confidenciais.

Outro grande problema actual é a multiplicidade de vírus produzidos diariamente que entram através das ligações de rede. Ter um antivírus eficaz e actualizado instalado nos servidores da rede e em todos os computadores pessoais é uma condição base de sobrevivência de toda a rede.

A segurança de circuitos com meios de protecção adequados, designadamente contra software “peer-to-peer” que consegue pôr um computador pessoal a comunicar com outro de outra rede sem qualquer controlo da nossa rede, é um problema maior para a segurança. A moda de troca de músicas e filmes fez divulgar este tipo de software de uma forma incrível. A instalação de software de firewall que destrua os pacotes associados a estas aplicações é uma solução cada vez mais adoptada.

Os sistemas de Firewall instalados nas redes e nos computadores pessoais foram uma esperança para todos os responsáveis de segurança, mas a habilidade dos piratas parece imbatível. Criaram outros meios de acção como o Spyware e outro software do mesmo tipo que se instala sorrateira e disfarçadamente nos computadores e capta dados importantes como passwords de acesso.


b. Utilizadores, acessos e autenticação

A gestão de utilizadores e respectivas passwords é um aspecto de primeiríssima importância. Quando alguém é recrutado e entra na empresa, é necessário criar-lhe uma identificação na rede com os direitos de acesso adequados à sua função.

Quando um utilizador sai da empresa para trabalhar noutra organização, pode ser, por exemplo, um concorrente, é necessário eliminar a sua identificação na rede de origem para evitar que continue a usar os privilégios de acesso que detinha. Os meios de autenticação de utilizadores na rede devem estar activos a 100% para que um estranho não a possa usar.

A gestão de passwords de acesso à rede e às aplicações é uma matéria sempre actual, é a melhor protecção dos dados da empresa. Por isso é essencial que sejam alteradas periodicamente. O ideal é configurar os servidores para forçarem a alteração periódica de password, porque se algum pirata estiver na posse da identificação e password de um empregado, ficará sem poder entrar na rede quando a password for alterada.


c. Instalações, ambiente e segurança física

As instalações também merecem cuidados especiais de segurança, embora pareça que não. Muitas empresas colocam os servidores na cave o que é uma vantagem porque evita acesso de curiosos, mas pode ter uma enorme desvantagem perante inundações porque a água corre para os pisos inferiores e pode entrar nos servidores destruindo todo o seu conteúdo incluindo os dados gravados nos seus discos.


d. Software de Sistema

Para o software de sistema todo o cuidado é pouco. Especialmente porque algum deste software pode intervir nas aplicações em exploração e respectivos dados. A maioria das aplicações actuais é desenvolvida sobre sistemas de gestão de base de dados (ORACLE, SQLServer, etc.) que dispõem de ferramentas de alteração directa dos dados sem passar pelos controlos aplicacionais.

As responsabilidades pelo desenvolvimento e pela operação de software devem ser segregadas. Quem desenvolve software não deve ter acesso às aplicações que estão já em exploração para não poder fazer alterações sem controlo e autorização.

Os sistemas abertos que estão hoje em voga e em expansão tornar-se-ão um perigo devido à facilidade da sua alteração. Obrigando por isso a esquemas apertados de controlo e autorização nas alterações.


e. Hardware

Quanto ao hardware, embora pareça que é menos importante que o software, convém ter em atenção que os componentes dos computadores são cada vez mais pequenos e mais portáveis. O disco de um servidor pode ser retirado ou copiado facilmente. Por outro lado, o acesso ao hardware de sistema pode ter consequências se for permitido livremente. A gestão de contratos de assistência técnica é importante porque os custos vão aumentando com a idade do hardware e porque deixa de haver componentes de substituição nos últimos anos de vida dos servidores.


f. Negócio: Continuidade e Recuperação de Desastres

Nos últimos anos houve um grande crescimento na utilização das TIC nas organizações. Algumas empresas ficaram completamente dependentes das TIC, por exemplo os bancos, as companhias aéreas, as seguradoras, etc. Uma paragem de um dia pode significar a falência! Por isso e dada a falibilidade e riscos associados às TIC agravados pelos acontecimentos dos últimos tempos (terrorismo, hackers, vírus, …) tornou-se indispensável dispor de controlos adequados (CGTI) e especialmente de bons planos de contingência, testados periodicamente e a funcionar em pleno. Um Plano de Contingência deve tratar pelo menos os seguintes conteúdos:

Por ocasião do ano 2000, houve uma enorme preocupação com este tipo de planos devido às preocupações que se generalizaram quanto aos riscos de falha dos sistemas. Hoje, já todos esquecemos esta euforia de prevenção e estamos a viver alegremente como se não existissem riscos.

As empresas que usam as TIC de forma extensiva devem proceder a auditorias periódicas à segurança e continuidade de funcionamento dos seus sistemas de informação com incidência especial nas áreas de segurança de acessos, continuidade de funcionamento e recuperação de desastres. Os controlos gerais das tecnologias de informação devem merecer atenção especial em contextos inseguros como existem actualmente.

 
Página Anterior
Página Seguinte