Upload
dafnecristine80
View
67
Download
1
Embed Size (px)
DESCRIPTION
ATPS Seguranca Auditoria Sistemas Informacao
Citation preview
ATIVIDADES PRÁTICAS
SUPERVISIONADAS
Sistemas de Informação
8ª. Série Segurança e Auditoria em Sistemas de Informação
A Atividade Prática Supervisionada (ATPS) é um procedimento metodológico de
ensino-aprendizagem desenvolvido por meio de etapas, acompanhadas pelo
professor, e que tem por objetivos:
Favorecer a autoaprendizagem do aluno.
Estimular a corresponsabilidade do aluno pelo seu aprendizado.
Promover o estudo, a convivência e o trabalho em grupo.
Auxiliar no desenvolvimento das competências requeridas para o exercício
profissional.
Promover a aplicação da teoria na solução de situações que simulam a
realidade.
Oferecer diferenciados ambientes de aprendizagem
Para atingir estes objetivos, a ATPS propõe um desafio e indica os passos a
serem percorridos ao longo do semestre para a sua solução.
Aproveite esta oportunidade de estudar e aprender com desafios da vida
profissional.
AUTORIA:
Renato Cividini Matthiesen
Faculdade Anhanguera de Limeira
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 2 de 7
COMPETÊNCIAS E HABILIDADES
Ao concluir as etapas propostas neste desafio, você terá desenvolvido as competências
e habilidades que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir. Capacidade para levantar dados e empreender uma abordagem sistêmica no trato dos
problemas de distribuição da informação. Capacidade de abstração, representação, organização e viabilização de soluções de
software para diferentes domínios de aplicação. Habilidade em tomar decisões e saber implementá-las.
Produção Acadêmica
Nesta atividade será produzido: Relatórios parciais, com os resultados das pesquisas realizadas nas etapas.
Participação
Para a elaboração desta atividade, os alunos deverão previamente organizar-se em equipes de participantes (conforme orientação do professor) e entregar seus nomes, RAs e e-mails ao professor da disciplina. Essas equipes serão mantidas durante todas as etapas.
DESAFIO
A necessidade de segurança em tecnologia e sistemas de informação vem crescendo na mesma velocidade em que as novas tecnologias e os novos sistemas são implantados nas empresas. Sempre uma nova técnica de segurança é desenvolvida, outras técnicas também são criadas para invadir estes sistemas. Esta dinâmica no desenvolvimento de soluções de segurança obriga as empresas a necessitarem de cuidados especiais para garantir a segurança de seus sistemas de informação. O correto treinamento de colaboradores para que eles trabalhem conscientes sobre os tipos de ameaças e mecanismos de proteção e a aplicação de um programa de auditoria sobre os sistemas informatizados são fundamentais para garantir a segurança dos sistemas de informação, que armazenam e transportam um dos ativos mais importantes da empresa: a própria informação.
Este desafio propõe que a equipe de tecnologia da informação (representada por um grupo de até quatro alunos) de uma empresa que realiza venda de livros e DVDs (Digital Video Disc) através de seu sistema de comércio eletrônico pela Internet elabore um Manual sobre Segurança e Auditoria em Sistemas de Informação. A elaboração do manual tem como objetivo apresentar a todos os colaboradores da empresa conceitos básicos de segurança em tecnologia e sistemas de informação, informações sobre a política de segurança da empresa e metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual será dividido em quatro capítulos:
1. Segurança em Sistemas de Informação e em Redes de Computadores. 2. Controles e Política de Segurança. 3. Gerenciamento de Riscos em Sistemas de Informação. 4. Auditoria em Sistemas de Informação.
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 3 de 7
O desafio deverá ser realizado em grupos de até quatro alunos, sendo que o grupo deverá entregar um capítulo do manual para cada item proposto acima. A formação dos grupos e a orientação sobre a elaboração dos capítulos deverão ser realizadas na primeira aula da disciplina. Os capítulos serão elaborados conforme descritos nas etapas do desafio, e deverão ser entregues conforme planejamento do professor da disciplina.
Objetivo do Desafio
Elaboração de um manual técnico sobre segurança em tecnologia e sistemas de informação.
Livro Texto da Disciplina
A produção desta ATPS é fundamentada no livro-texto da disciplina, que deverá ser utilizado para solução do desafio:
MANOTTI, Alessandro. Curso Prático - Auditoria de Sistemas. 1ª ed. Rio de Janeiro: Ciência Moderna, 2010.
ETAPA 1 (tempo para realização: 5 horas)
Aula tema: Introdução à Segurança de Informação e Auditoria. Definição de processos de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados.
Esta atividade é importante para que você conheça conceitos básicos e a terminologia de segurança em sistemas de informação, redes de computadores e auditoria de sistemas. Para realizá-la é importante seguir os passos descritos.
PASSOS Passo 1 (Aluno)
Fazer uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros complementares da disciplina. Em seguida, ler o capítulo de um dos livros que faz uma introdução aos conceitos de segurança em sistemas de informação e redes de computadores. Passo 2 (Aluno)
Ler o artigo “O enfoque social da segurança da informação”. Este artigo está disponível no sistema Scielo e pode ser acessado através do seguinte link: <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt>. Acesso em: 24 mar. 2014.
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 4 de 7
Passo 3 (Equipe)
Elaborar o Capítulo 01: Segurança em Sistemas de Informação e Redes de Computadores do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:
1.1 Introdução à Segurança em Sistemas de Informação e Redes de Computadores: escrever um texto que apresente de forma objetiva pelo menos três fatores que levam as empresas a investirem em sistemas de segurança da informação.
1.2 Exemplos de Problemas de Segurança em Sistemas de Informação: fazer uma pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de falha de segurança em sistemas informação em empresas e suas consequências.
1.3 Falhas em Sistemas de Informação: fazer a descrição das seguintes falhas de segurança em sistemas de informação: SQL Injection, Quebra de Código JavaScript, Cross Site Scripting, Upload de Arquivos.
1.4 Correção de Falhas em Sistemas de Informação: fazer a descrição de pelo menos uma maneira de evitar e/ou corrigir as falhas em sistemas de informação descritas no tópico 1.3 deste relatório.
1.5 Terminologia de Segurança: fazer uma descrição dos seguintes termos de segurança em sistemas de informação: Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo de Tróia, Vírus e Worm.
ETAPA 2 (tempo para realização: 5 horas)
Aula tema: Identificação das Necessidades de Segurança: avaliação de riscos; necessidades legais, contratuais e estatutárias; princípios, objetivos e necessidades organizacionais; políticas e diretrizes de segurança Avaliação dos Controles de Segurança. Elaboração de Checklist.
Esta atividade é importante para que você conheça os serviços de segurança em um sistema de informação e aprenda a elaborar uma Política de Segurança para uma empresa. Para realizá-la é importante seguir os passos descritos.
PASSOS Passo 1 (Equipe)
Elaborar o Capítulo 02: Controles e Política de Segurança do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:
2.1 Serviços de Segurança: apresentar a definição dos seguintes serviços de segurança em sistemas de informação e redes de computadores: Confidencialidade, Autenticação, Integridade e Disponibilidade.
2.2 Controles Gerais de Segurança: fazer uma descrição dos seguintes Controles Gerais de Segurança em Sistemas de Informação: Controles de Software, Controles de Hardware, Controle de Operações de Computador, Controles de Segurança de Dados, Controles de Implementação e Controles Administrativos.
2.3 Controles de Aplicação de Segurança: fazer uma descrição dos seguintes Controles de Aplicação de Segurança em Sistemas de Informação: Totais de Controle,
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 5 de 7
Verificação de Edição, Compatibilização Automática, Cálculos dos Totais de Controle e Listas de Distribuição de Relatórios.
Passo 2 (Equipe)
Continuar a elaboração do Capítulo 02 e façam o seguinte tópico: 2.4 Política de Segurança: elaborar um documento que apresente a descrição de uma
Política de Segurança. Este documento deve apresentar um exemplo parcial da Política de Segurança para uma empresa conforme os itens e subitens a seguir: 2.4.1 Descrição do Sistema: fazer a descrição do papel do Sistema de Informação. 2.4.2 Requisitos de Segurança: descrever os seguintes itens: Ameaças à
Confidencialidade, Ameaças à Integridade, Ameaças à Disponibilidade e Possíveis Atacantes.
2.4.3 Plano de Resposta a Incidentes de Segurança: fazer a descrição dos seguintes itens: Planejamento de Resposta à Incidentes, Pontos de Contato e Resposta à um Incidente.
ETAPA 3 (tempo para realização: 5 horas)
Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenções.
Esta atividade é importante para que você conheça técnicas de gerenciamento de riscos, os principais tipos de ataques em Sistemas de Informação em Redes de Computadores e mecanismos de segurança. Para realizá-la é importante seguir os passos descritos.
PASSOS Passo 1 (Aluno)
Acessar o site: Invasao.com e leia a matéria: Hackers invadiram 1.195 páginas
governamentais neste ano, 2009. Disponível em: <https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U
5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en>. Acesso em: 24 mar. 2014. Passo 2 (Equipe)
Elaborar o Capítulo 03: Gerenciamento de Riscos em Sistemas de Informação do manual. Este capítulo deve conter os seguintes tópicos:
3.1 Gerenciamento de Riscos em Sistemas de Informação: fazer uma descrição de pelo menos duas possíveis causas de risco no sistema de informação da empresa referentes à: Erro Humano, Falha de Hardware, Falha de Software, Espionagem, Vandalismo, Engenharia Social.
3.2 Ataques em Sistemas de Informação e Redes de Computadores: fazer uma descrição e apresente pelo menos um exemplo dos seguintes tipos de ataques em sistemas de informação e redes de computadores: Ataque para Obtenção de Informações, Ataques de Negação de Serviço e Ataques no Nível de Aplicação.
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 6 de 7
3.3 Mecanismos de Segurança: apresentar a definição e um exemplo dos seguintes mecanismos de segurança: Senha, Criptografia, Assinatura Digital e Firewall.
3.4 Prevenção de Riscos: apresentar uma medida de prevenção de riscos referente a cada uma dos seis riscos apresentados no tópico 3.1 deste capítulo.
ETAPA 4 (tempo para realização: 5 horas)
Aula tema: A Importância da Auditoria. Os Tipos de Auditoria em Tecnologia da Informação. Cases de Sucesso. Principais Elementos Envolvidos na Auditoria. Avaliação de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes Disponíveis no Mercado; Ferramentas de Análise de Dados.
Esta atividade é importante para que você conheça os principais tipos de auditoria em tecnologia e sistemas de informação, os elementos, procedimentos e metodologias envolvidos na auditoria e conheça ferramentas e softwares disponíveis no mercado para realizar auditoria de sistemas. Para realizá-la é importante seguir os passos descritos.
PASSOS Passo 1 (Equipe)
Elaborar o Capítulo 04: Auditoria em Sistemas de Informação do manual. Uma auditoria em sistemas de informação pode abranger desde o exame de dados registrados em sistemas informatizados até a avaliação do sistema (Aplicativos, Sistemas Operacionais, Banco de Dados e Estrutura de Rede). Este capítulo deve conter os seguintes tópicos:
4.1 Técnicas de Auditoria em Sistemas de Informação: descrever as atividades das seguintes técnicas de auditoria: Entrevista, Questionário e Verificação In Loco, Test Deck, Simulação Paralela, Teste de Recuperação, Teste de Desempenho, Teste de Estresse, Teste de Segurança, Teste de “Caixa Preta” Teste de “Caixa Branca”, Mapping, Tacing, Snapshot e Integrated Test Facility.
4.2 Tipos de Auditoria de Sistemas: fazer a descrição dos seguintes tipos de auditoria: Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas, Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria em Microcomputadores.
4.3 Controles: fazer a descrição dos seguintes tipos de controles de auditorias: Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de Entrada de Dados, Controle de Processamento de Dados e Controle de Saída de Dados.
Passo 2 (Equipe)
Continuar com a elaboração do Capítulo 04 e façam o seguinte tópico: 4.4 Softwares de Auditoria de Sistemas de Informação: fazer uma pesquisa e apresente
pelo menos três softwares de auditoria de sistemas de informação comercializados atualmente (ou do tipo open source). Fazer a descrição de suas funcionalidades, seus tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.
Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação
Renato Cividini Matthiesen
Pág. 7 de 7
Padronização
O material escrito solicitado nesta atividade deve ser produzido de acordo com as normas da ABNT, com o seguinte padrão (exceto para produções finais não textuais):
em papel branco, formato A4; com margens esquerda e superior de 3cm, direita e inferior de 2cm; fonte Times New Roman tamanho 12, cor preta; espaçamento de 1,5 entre linhas; se houver citações com mais de três linhas, devem ser em fonte tamanho 10, com
um recuo de 4cm da margem esquerda e espaçamento simples entre linhas; com capa, contendo:
nome de sua Unidade de Ensino, Curso e Disciplina; nome e RA de cada participante; título da atividade; nome do professor da disciplina; cidade e data da entrega, apresentação ou publicação.
Para consulta completa das normas ABNT, acesse a Normalização de Trabalhos Acadêmicos Anhanguera. Disponível em: <http://issuu.com/normalizacao/docs/normaliza____o_de_trabalhos_acad__m>. Acesso em: 13 maio 2014.