7
ATIVIDADES PRÁTICAS SUPERVISIONADAS Sistemas de Informação 8ª. Série Segurança e Auditoria em Sistemas de Informação A Atividade Prática Supervisionada (ATPS) é um procedimento metodológico de ensino-aprendizagem desenvolvido por meio de etapas, acompanhadas pelo professor, e que tem por objetivos: Favorecer a autoaprendizagem do aluno. Estimular a corresponsabilidade do aluno pelo seu aprendizado. Promover o estudo, a convivência e o trabalho em grupo. Auxiliar no desenvolvimento das competências requeridas para o exercício profissional. Promover a aplicação da teoria na solução de situações que simulam a realidade. Oferecer diferenciados ambientes de aprendizagem Para atingir estes objetivos, a ATPS propõe um desafio e indica os passos a serem percorridos ao longo do semestre para a sua solução. Aproveite esta oportunidade de estudar e aprender com desafios da vida profissional. AUTORIA: Renato Cividini Matthiesen Faculdade Anhanguera de Limeira

ATPS Seguranca Auditoria Sistemas Informacao

Embed Size (px)

DESCRIPTION

ATPS Seguranca Auditoria Sistemas Informacao

Citation preview

Page 1: ATPS Seguranca Auditoria Sistemas Informacao

ATIVIDADES PRÁTICAS

SUPERVISIONADAS

Sistemas de Informação

8ª. Série Segurança e Auditoria em Sistemas de Informação

A Atividade Prática Supervisionada (ATPS) é um procedimento metodológico de

ensino-aprendizagem desenvolvido por meio de etapas, acompanhadas pelo

professor, e que tem por objetivos:

Favorecer a autoaprendizagem do aluno.

Estimular a corresponsabilidade do aluno pelo seu aprendizado.

Promover o estudo, a convivência e o trabalho em grupo.

Auxiliar no desenvolvimento das competências requeridas para o exercício

profissional.

Promover a aplicação da teoria na solução de situações que simulam a

realidade.

Oferecer diferenciados ambientes de aprendizagem

Para atingir estes objetivos, a ATPS propõe um desafio e indica os passos a

serem percorridos ao longo do semestre para a sua solução.

Aproveite esta oportunidade de estudar e aprender com desafios da vida

profissional.

AUTORIA:

Renato Cividini Matthiesen

Faculdade Anhanguera de Limeira

Page 2: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 2 de 7

COMPETÊNCIAS E HABILIDADES

Ao concluir as etapas propostas neste desafio, você terá desenvolvido as competências

e habilidades que constam, nas Diretrizes Curriculares Nacionais, descritas a seguir. Capacidade para levantar dados e empreender uma abordagem sistêmica no trato dos

problemas de distribuição da informação. Capacidade de abstração, representação, organização e viabilização de soluções de

software para diferentes domínios de aplicação. Habilidade em tomar decisões e saber implementá-las.

Produção Acadêmica

Nesta atividade será produzido: Relatórios parciais, com os resultados das pesquisas realizadas nas etapas.

Participação

Para a elaboração desta atividade, os alunos deverão previamente organizar-se em equipes de participantes (conforme orientação do professor) e entregar seus nomes, RAs e e-mails ao professor da disciplina. Essas equipes serão mantidas durante todas as etapas.

DESAFIO

A necessidade de segurança em tecnologia e sistemas de informação vem crescendo na mesma velocidade em que as novas tecnologias e os novos sistemas são implantados nas empresas. Sempre uma nova técnica de segurança é desenvolvida, outras técnicas também são criadas para invadir estes sistemas. Esta dinâmica no desenvolvimento de soluções de segurança obriga as empresas a necessitarem de cuidados especiais para garantir a segurança de seus sistemas de informação. O correto treinamento de colaboradores para que eles trabalhem conscientes sobre os tipos de ameaças e mecanismos de proteção e a aplicação de um programa de auditoria sobre os sistemas informatizados são fundamentais para garantir a segurança dos sistemas de informação, que armazenam e transportam um dos ativos mais importantes da empresa: a própria informação.

Este desafio propõe que a equipe de tecnologia da informação (representada por um grupo de até quatro alunos) de uma empresa que realiza venda de livros e DVDs (Digital Video Disc) através de seu sistema de comércio eletrônico pela Internet elabore um Manual sobre Segurança e Auditoria em Sistemas de Informação. A elaboração do manual tem como objetivo apresentar a todos os colaboradores da empresa conceitos básicos de segurança em tecnologia e sistemas de informação, informações sobre a política de segurança da empresa e metodologias adotadas para fazer auditorias em seus sistemas informatizados. O manual será dividido em quatro capítulos:

1. Segurança em Sistemas de Informação e em Redes de Computadores. 2. Controles e Política de Segurança. 3. Gerenciamento de Riscos em Sistemas de Informação. 4. Auditoria em Sistemas de Informação.

Page 3: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 3 de 7

O desafio deverá ser realizado em grupos de até quatro alunos, sendo que o grupo deverá entregar um capítulo do manual para cada item proposto acima. A formação dos grupos e a orientação sobre a elaboração dos capítulos deverão ser realizadas na primeira aula da disciplina. Os capítulos serão elaborados conforme descritos nas etapas do desafio, e deverão ser entregues conforme planejamento do professor da disciplina.

Objetivo do Desafio

Elaboração de um manual técnico sobre segurança em tecnologia e sistemas de informação.

Livro Texto da Disciplina

A produção desta ATPS é fundamentada no livro-texto da disciplina, que deverá ser utilizado para solução do desafio:

MANOTTI, Alessandro. Curso Prático - Auditoria de Sistemas. 1ª ed. Rio de Janeiro: Ciência Moderna, 2010.

ETAPA 1 (tempo para realização: 5 horas)

Aula tema: Introdução à Segurança de Informação e Auditoria. Definição de processos de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados.

Esta atividade é importante para que você conheça conceitos básicos e a terminologia de segurança em sistemas de informação, redes de computadores e auditoria de sistemas. Para realizá-la é importante seguir os passos descritos.

PASSOS Passo 1 (Aluno)

Fazer uma pesquisa na biblioteca de sua faculdade para conhecer o livro texto e os livros complementares da disciplina. Em seguida, ler o capítulo de um dos livros que faz uma introdução aos conceitos de segurança em sistemas de informação e redes de computadores. Passo 2 (Aluno)

Ler o artigo “O enfoque social da segurança da informação”. Este artigo está disponível no sistema Scielo e pode ser acessado através do seguinte link: <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt>. Acesso em: 24 mar. 2014.

http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0100-19652006000300009&lang=pt
Page 4: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 4 de 7

Passo 3 (Equipe)

Elaborar o Capítulo 01: Segurança em Sistemas de Informação e Redes de Computadores do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:

1.1 Introdução à Segurança em Sistemas de Informação e Redes de Computadores: escrever um texto que apresente de forma objetiva pelo menos três fatores que levam as empresas a investirem em sistemas de segurança da informação.

1.2 Exemplos de Problemas de Segurança em Sistemas de Informação: fazer uma pesquisa na Internet, em livros ou revistas e apresente pelo menos dois casos de falha de segurança em sistemas informação em empresas e suas consequências.

1.3 Falhas em Sistemas de Informação: fazer a descrição das seguintes falhas de segurança em sistemas de informação: SQL Injection, Quebra de Código JavaScript, Cross Site Scripting, Upload de Arquivos.

1.4 Correção de Falhas em Sistemas de Informação: fazer a descrição de pelo menos uma maneira de evitar e/ou corrigir as falhas em sistemas de informação descritas no tópico 1.3 deste relatório.

1.5 Terminologia de Segurança: fazer uma descrição dos seguintes termos de segurança em sistemas de informação: Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo de Tróia, Vírus e Worm.

ETAPA 2 (tempo para realização: 5 horas)

Aula tema: Identificação das Necessidades de Segurança: avaliação de riscos; necessidades legais, contratuais e estatutárias; princípios, objetivos e necessidades organizacionais; políticas e diretrizes de segurança Avaliação dos Controles de Segurança. Elaboração de Checklist.

Esta atividade é importante para que você conheça os serviços de segurança em um sistema de informação e aprenda a elaborar uma Política de Segurança para uma empresa. Para realizá-la é importante seguir os passos descritos.

PASSOS Passo 1 (Equipe)

Elaborar o Capítulo 02: Controles e Política de Segurança do Manual de Segurança e Auditoria em Sistemas de Informação. Este capítulo deve conter os seguintes tópicos:

2.1 Serviços de Segurança: apresentar a definição dos seguintes serviços de segurança em sistemas de informação e redes de computadores: Confidencialidade, Autenticação, Integridade e Disponibilidade.

2.2 Controles Gerais de Segurança: fazer uma descrição dos seguintes Controles Gerais de Segurança em Sistemas de Informação: Controles de Software, Controles de Hardware, Controle de Operações de Computador, Controles de Segurança de Dados, Controles de Implementação e Controles Administrativos.

2.3 Controles de Aplicação de Segurança: fazer uma descrição dos seguintes Controles de Aplicação de Segurança em Sistemas de Informação: Totais de Controle,

Page 5: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 5 de 7

Verificação de Edição, Compatibilização Automática, Cálculos dos Totais de Controle e Listas de Distribuição de Relatórios.

Passo 2 (Equipe)

Continuar a elaboração do Capítulo 02 e façam o seguinte tópico: 2.4 Política de Segurança: elaborar um documento que apresente a descrição de uma

Política de Segurança. Este documento deve apresentar um exemplo parcial da Política de Segurança para uma empresa conforme os itens e subitens a seguir: 2.4.1 Descrição do Sistema: fazer a descrição do papel do Sistema de Informação. 2.4.2 Requisitos de Segurança: descrever os seguintes itens: Ameaças à

Confidencialidade, Ameaças à Integridade, Ameaças à Disponibilidade e Possíveis Atacantes.

2.4.3 Plano de Resposta a Incidentes de Segurança: fazer a descrição dos seguintes itens: Planejamento de Resposta à Incidentes, Pontos de Contato e Resposta à um Incidente.

ETAPA 3 (tempo para realização: 5 horas)

Aula tema: Gerenciamento de Riscos. Motivos de Ataques. Prevenções.

Esta atividade é importante para que você conheça técnicas de gerenciamento de riscos, os principais tipos de ataques em Sistemas de Informação em Redes de Computadores e mecanismos de segurança. Para realizá-la é importante seguir os passos descritos.

PASSOS Passo 1 (Aluno)

Acessar o site: Invasao.com e leia a matéria: Hackers invadiram 1.195 páginas

governamentais neste ano, 2009. Disponível em: <https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U

5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en>. Acesso em: 24 mar. 2014. Passo 2 (Equipe)

Elaborar o Capítulo 03: Gerenciamento de Riscos em Sistemas de Informação do manual. Este capítulo deve conter os seguintes tópicos:

3.1 Gerenciamento de Riscos em Sistemas de Informação: fazer uma descrição de pelo menos duas possíveis causas de risco no sistema de informação da empresa referentes à: Erro Humano, Falha de Hardware, Falha de Software, Espionagem, Vandalismo, Engenharia Social.

3.2 Ataques em Sistemas de Informação e Redes de Computadores: fazer uma descrição e apresente pelo menos um exemplo dos seguintes tipos de ataques em sistemas de informação e redes de computadores: Ataque para Obtenção de Informações, Ataques de Negação de Serviço e Ataques no Nível de Aplicação.

https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en
https://docs.google.com/a/aedu.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B9e1nJ9U5ACjZDc3Yzc5NzYtYmVhMC00YjI3LWExM2YtYWRmYjZlZDA3YjU3&hl=en
Page 6: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 6 de 7

3.3 Mecanismos de Segurança: apresentar a definição e um exemplo dos seguintes mecanismos de segurança: Senha, Criptografia, Assinatura Digital e Firewall.

3.4 Prevenção de Riscos: apresentar uma medida de prevenção de riscos referente a cada uma dos seis riscos apresentados no tópico 3.1 deste capítulo.

ETAPA 4 (tempo para realização: 5 horas)

Aula tema: A Importância da Auditoria. Os Tipos de Auditoria em Tecnologia da Informação. Cases de Sucesso. Principais Elementos Envolvidos na Auditoria. Avaliação de Software de Auditoria de Sistemas. Metodologia de Software; Pacotes Disponíveis no Mercado; Ferramentas de Análise de Dados.

Esta atividade é importante para que você conheça os principais tipos de auditoria em tecnologia e sistemas de informação, os elementos, procedimentos e metodologias envolvidos na auditoria e conheça ferramentas e softwares disponíveis no mercado para realizar auditoria de sistemas. Para realizá-la é importante seguir os passos descritos.

PASSOS Passo 1 (Equipe)

Elaborar o Capítulo 04: Auditoria em Sistemas de Informação do manual. Uma auditoria em sistemas de informação pode abranger desde o exame de dados registrados em sistemas informatizados até a avaliação do sistema (Aplicativos, Sistemas Operacionais, Banco de Dados e Estrutura de Rede). Este capítulo deve conter os seguintes tópicos:

4.1 Técnicas de Auditoria em Sistemas de Informação: descrever as atividades das seguintes técnicas de auditoria: Entrevista, Questionário e Verificação In Loco, Test Deck, Simulação Paralela, Teste de Recuperação, Teste de Desempenho, Teste de Estresse, Teste de Segurança, Teste de “Caixa Preta” Teste de “Caixa Branca”, Mapping, Tacing, Snapshot e Integrated Test Facility.

4.2 Tipos de Auditoria de Sistemas: fazer a descrição dos seguintes tipos de auditoria: Auditoria em Software Aplicativo, Auditoria em Desenvolvimento de Sistemas, Auditoria em Banco de Dados, Auditoria em Redes de Computadores e Auditoria em Microcomputadores.

4.3 Controles: fazer a descrição dos seguintes tipos de controles de auditorias: Controle de Software, Controle de Acesso, Controle de Aplicativos, Controle de Entrada de Dados, Controle de Processamento de Dados e Controle de Saída de Dados.

Passo 2 (Equipe)

Continuar com a elaboração do Capítulo 04 e façam o seguinte tópico: 4.4 Softwares de Auditoria de Sistemas de Informação: fazer uma pesquisa e apresente

pelo menos três softwares de auditoria de sistemas de informação comercializados atualmente (ou do tipo open source). Fazer a descrição de suas funcionalidades, seus tipos de auditorias e controles, fabricante, custo, plataformas e Web Site.

Page 7: ATPS Seguranca Auditoria Sistemas Informacao

Sistemas de Informação – 8ª Série – Segurança e Auditoria em Sistemas de Informação

Renato Cividini Matthiesen

Pág. 7 de 7

Padronização

O material escrito solicitado nesta atividade deve ser produzido de acordo com as normas da ABNT, com o seguinte padrão (exceto para produções finais não textuais):

em papel branco, formato A4; com margens esquerda e superior de 3cm, direita e inferior de 2cm; fonte Times New Roman tamanho 12, cor preta; espaçamento de 1,5 entre linhas; se houver citações com mais de três linhas, devem ser em fonte tamanho 10, com

um recuo de 4cm da margem esquerda e espaçamento simples entre linhas; com capa, contendo:

nome de sua Unidade de Ensino, Curso e Disciplina; nome e RA de cada participante; título da atividade; nome do professor da disciplina; cidade e data da entrega, apresentação ou publicação.

Para consulta completa das normas ABNT, acesse a Normalização de Trabalhos Acadêmicos Anhanguera. Disponível em: <http://issuu.com/normalizacao/docs/normaliza____o_de_trabalhos_acad__m>. Acesso em: 13 maio 2014.

http://issuu.com/normalizacao/docs/normaliza____o_de_trabalhos_acad__m

A1 - Sociedade Informacao

A1 - Sociedade Informacao

Documents
Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

Pesquisa Nacional de Seguranca da Informacao 2014: Resultados e Desafios!

Education
Pwc Pesquisa Global de Seguranca da Informacao 2012

Pwc Pesquisa Global de Seguranca da Informacao 2012

Documents
Cartilha Acessoa Informacao

Cartilha Acessoa Informacao

Education
ABNT NBR 17799 - Tecnologia Da Informacao - Codigo de Pratica Para a Gestao Da Seguranca Da Informacao

ABNT NBR 17799 - Tecnologia Da Informacao - Codigo de Pratica Para a Gestao Da Seguranca Da Informacao

Documents
Guia de Seguranca Informacao Usuario

Guia de Seguranca Informacao Usuario

Documents
Pwc pesquisa-global-seguranca-informacao-2011

Pwc pesquisa-global-seguranca-informacao-2011

Technology
Seguranca da informação seguranca em_redes_parte_03praticas

Seguranca da informação seguranca em_redes_parte_03praticas

Documents
ITIL na Gestao da Seguranca da Informacao - teraits.com · seado em hardware específico, ou em software , com a utilização de siste-mas operacionais de apoio. O princípio básico

ITIL na Gestao da Seguranca da Informacao - teraits.com · seado em hardware específico, ou em software , com a utilização de siste-mas operacionais de apoio. O princípio básico

Documents
Nota de aula seguranca da informacao - redes de computadores

Nota de aula seguranca da informacao - redes de computadores

Technology
Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

Administracao de Sistemas de Informacao Seguranca e Os Desafios Eticos Da Tecnologia Da Informacao

Documents
seguranca da informacao

seguranca da informacao

Documents
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao

Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao

Technology
52566307 apostila-gestao-de-seguranca-da-informacao

52566307 apostila-gestao-de-seguranca-da-informacao

Documents
Praticas Gestao Seguranca Informacao FATEC - São Caetano do Sul

Praticas Gestao Seguranca Informacao FATEC - São Caetano do Sul

Documents
Nota de aula seguranca da informacao - politica de segurança da informação

Nota de aula seguranca da informacao - politica de segurança da informação

Technology
Informacao e Informatica

Informacao e Informatica

Documents
Boas Praticas Em Seguranca Da Informacao

Boas Praticas Em Seguranca Da Informacao

Documents
Tratamento de assuntos reservados e seguranca da informacao na Industria Farmaceutica

Tratamento de assuntos reservados e seguranca da informacao na Industria Farmaceutica

Business
Aula02 arquitetura informacao

Aula02 arquitetura informacao

Documents
Livro_Denis Alcides Rezende_Tecnologia Da Informacao Aplic Sist Informacao Empresariais_5 Ed 2008

Livro_Denis Alcides Rezende_Tecnologia Da Informacao Aplic Sist Informacao Empresariais_5 Ed 2008

Documents
A Historia Da Seguranca Da Informacao

A Historia Da Seguranca Da Informacao

Documents
ATPS - ATPS Literatura Infantil-Para Entrega

ATPS - ATPS Literatura Infantil-Para Entrega

Documents
Sistema da informacao

Sistema da informacao

Documents
47688440 Seguranca Da Informacao

47688440 Seguranca Da Informacao

Documents
Arquitetura da Informacao

Arquitetura da Informacao

Travel
Tratamento da informacao

Tratamento da informacao

Documents
Nota de aula seguranca da informacao - criptografia

Nota de aula seguranca da informacao - criptografia

Documents
[ Seguranca ] Seguranca da Informacao

[ Seguranca ] Seguranca da Informacao

Documents
22221996 Impactos Da Virtualizacao Na Seguranca Informacao

22221996 Impactos Da Virtualizacao Na Seguranca Informacao

Documents