Auditoria E Segurança De Sistemas De Informação

Questão 1) O que um planejamento de auditoria deve estabelecer? (1,0)

A fase de planejamento de auditoria, ou também chamada de pré auditoria, deve estabelecer os recursos necessários para realização da auditoria, o que se deve verificar (área de verificação), as metodologias utilizadas para a auditoria, quais são os objetivos de controle e os procedimentos a serem adotados. [1]

Questão 2) A partir de que são estabelecidos os objetivos de controle? (1,0)

Os objetivos de controle são estabelecidos a partir das metas de controles a serem alcançadas ou dos efeitos negativos a serem evitados para cada tipo de transação, atividade ou função a ser fiscalizada. [2]

Em uma auditoria os objetivos de controle são estabelecidos com base nas atividades da entidade, seu tamanho, qualidade de seus sistemas e controle interno e competência de sua administração. [3]

Questão 3) Como os objetivos de controle são detalhados? Dê um exemplo. (1,0)

Os objetivos de controle são detalhados em procedimentos de auditorias. Estes procedimentos de auditoria englobam um conjunto de verificações e averiguações que permitem obter e analisar as informações necessárias à formulação da opinião do auditor. [2]

Assim os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado. Existem diversas áreas que esses objetivos podem contemplar, como segurança, atendimento à solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos usuários e outsourcing. [3]

REFERÊNCIA

Gomes, Luiz Alberto Ferreira. Auditoria de sistemas de informação. Disciplina Segurança e Auditoria de Sistemas. Un. 2. 1º semestre de 2011. 11 p.

Gomes, Luiz Alberto Ferreira. Auditoria de sistemas de informação. Disciplina Segurança e Auditoria de Sistemas. Un. 2. 1º semestre de 2011. 5 p.

Ribeiro, Gabriella Fonseca. Auditoria de Sistemas de Informação – Conheça mais sobre o assunto. Disponível em: <http://www.modulo.com.br/comunidade/articles/2468-auditoria-de-sistemas-de-informacao--conheca-mais-sobre-o-assunto >. Acesso em: 18 set. 2012.

Questão 1) (1,0)

O que e quais são as características e os tipos de engenharias sociais no contexto segurança de sistemas.

A engenharia social, em segurança da informação refere-se a praticas utilizadas por pessoas mau intencionadas com finalidade de obter acesso a informações importantes ou sigilosas em organizações ou sistemas ou até mesmo obter dinheiro por meio da enganação ou exploração da confiança das pessoas.

De acordo com [Viera,Luiz ; ] Existem basicamente dois tipos de engenharia social, os baseados em pessoas (disfarces, representações, uso de cargos de alto nível, etc) e os baseados em computadores (virus, spams, e-mails falsos, websites falsos).

Esse tipo de ataque possui a caracteristica de alguem se passar por uma entidade ou pessoa conhecida (aparentemente idônea) solicitando informações pessoais, clicar em um link instalar um programa. Geralmente, eles procuram explorar aspectos comportamentais do ser humano que os tornam mais sucetiveis aos ataques. A wikipedia cita alguns apectos como:

Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.

Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.

Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.

Vontade de ser útil : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

Propagação de responsabilidade : Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

Persuasão : Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.

Questão 2) (1,0)

Como evitar ataques provocados por engenharias sociais?

Abaixo segue algumas dicas retiradas durante a leitura dos diversos textos para execução deste trabalho.

NUNCA passar senhas por telefone, caso necessário, procurar passá-las pessoalmente.

NUNCA enviar clicar em links desconhecidos sem ter certeza da URL.

NUNCA fornecer dados pessoais

Não instalar programas desconhecidos, recebidos por e-mails ou feito download de uma base desconhecida.

Cuidado com o lixo. Nunca descartar no lixo CDs, HDs, pendrives ou papeis com informações sem ter certeza de que estas estão completamente destruidas.

Controle de acesso físico.

De acordo com ANTÔNIO MENDES DA SILVA FILHO, as medidas gerais que devem ser adotadas para evitar a engenharia social são:

"Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.

Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.

Política de Segurança

...