| |
Conhecendo os objetivos de negócio, riscos e impactos por meio do entendimento macro dos processos da empresa, junto à Alta Administração, para definir o escopo, objetivos de controle e tarefas de uma análise (ou auditoria) de Segurança de Sistemas, precisamos mapear de forma adequada, o ambiente de tecnologia e o grau de automatização destes processos de negócio em aplicações internas, e/ ou conexões externas.
Para isto, precisamos atentar para alguns passos a seguir:
 |
Conhecer a estrutura hierárquica da empresa, por meio da solicitação do organograma, o instrumento essencial para se enumerar contatos e na obtenção de detalhes adicionais, procurando entender papéis e responsabilidades: como e a quem gerência de TI responde, e se existem outros departamentos que tenham responsabilidade de TI. |
ORGANOGRAMA ACME S.A.
|
Com Gestores Operacionais e área de Tecnologia da Informação (e área de Segurança da Informação, se houver), entender o funcionamento do processo de negócio atrelado à(s) aplicação(ões) considerada(s), mapeando: |
|
Sistemas que suportam o processo de negócio, entendendo dependências, fluxo de informações, ou seja, de onde as informações vêm, para onde vão, e qual a transformação sofrida por elas neste processo. |
|
Documentação de Sistema: para pacotes de software de terceiros, verifique os manuais técnicos e de usuário e as condições previstas nos contratos de prestação de serviço, no caso de aplicações desenvolvidas internamente, verifique a documentação disponível. |
|
Problemas conhecidos na aplicação: Entenda limitações conhecidas ou observadas (ex: não se utiliza usuário e senha, ou qualquer outra forma de autenticação no controle de acesso da aplicação; falta de funcionalidades ex: controle de integridade das informações – validação do CNPJ na digitação de fatura). |
|
Alterações significativas planejadas para os sistemas, que possam invalidar o trabalho de análise ao ambiente atual, caso estas alterações sejam realizadas em curto prazo. |
|
Fabricantes, modelos dos computadores, sistemas operacionais, comunicações, segurança e suas versões nos principais ambientes onde as aplicações estão instaladas. |
|
Topologia de rede atual, ou caso isso não esteja disponível, desenhar diagrama macro das conexões de rede. Considere os seguintes componentes de uma rede típica: servidores (Internet, Aplicações e Banco de Dados), camadas (Intranet, Internet), conexões externas (exemplos: linha discada, banda larga, linha privada, ADSL,...) e sua utilização (e-mail, internet); |
|
Contratos com Terceiros de qualquer tipo que possam afetar o ambiente de Tecnologia analisado: Recursos/ Funcionários de diversas funções (Adm. Redes, DBA, Operador,...), Desenvolvimento de Software, Links de comunicação, “Colocation” – Custódia de Hardware em meio externo, Seguro das máquinas, Contingência externa,... |
Posterior a esta etapa certamente o foco e grau de conforto será muito maior na definição do escopo, objetivos de controle, testes (aderência ou substantivos) e qualificações necessárias aos profissionais responsáveis pela execução do trabalho de análise (ou auditoria) de Segurança de Sistemas.
* * * * *
Alessandro Manotti – alessandromanotti@hotmail.com
Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.
|
