Olá, estudante! Atualmente, as empresas estão mundialmente conectadas em redes, empregando dispositivos, como: computadores, impressoras, servidores, tablets, smartphones ou qualquer outro aparelho que possa ser utilizado na execução de tarefas. Mas, para o uso seguro destes dispositivos tecnológicos, é necessário realizar uma auditoria de redes no ambiente computacional da empresa, a qual consiste na avaliação dos recursos que o integram, desde as políticas estabelecidas até a escolha de suas tecnologias. Além disso, também é necessário fazer uma auditoria nas políticas de segurança do local, para verificar se estão de acordo e atualizadas. 

Dessa forma, o objetivo desta lição é introduzir o estudo sobre a auditoria de segurança de dados. 

Neste momento, você deve estar pensando: por que realizar auditoria? E para que ela serve? Estudaremos com mais detalhes este assunto no decorrer da lição, mas te adianto que, com a auditoria, é possível identificar os problemas que ocorrem na segurança de dados e avaliar os riscos que eles trazem quando há falhas, vazamento de informações ou fraudes. Quando se audita um sistema computacional, você passa a verificar como ele foi executado, ou seja, verifica se tudo está funcionando de acordo com o planejado. 

É por meio das auditorias que você examina as configurações atuais do sistema, a fim de verificar se ele está em conformidade com padrões e normas adotadas. Há mais de uma forma de auditar um sistema computacional — manualmente ou por meio de software computacional automatizado — e, também, há diferentes formas de coletar os dados no momento da auditoria. Mas, por onde começar? Quem deve realizar essa auditoria? 

Compreenderemos melhor, nesta lição, como funciona uma auditoria de software! Vamos lá?

No case desta lição, trago a você o porquê de se preocupar com segurança e com auditorias. Precisamos ter em mente que, ao utilizar sistemas informatizados, as empresas estão suscetíveis a muitos problemas, como: 

• Problemas no hardware: perda do HD (hard disk), por exemplo.

• Problemas de software:  falha no banco de dados e vírus no computador,  por exemplo.

• Problemas de políticas de acesso: acesso indiscriminado e não autorizado,  por exemplo. 

Sendo assim, a finalidade de uma auditoria de segurança é garantir que os sistemas informatizados funcionem conforme o esperado e, caso haja inconsistências, que elas sejam identificadas de forma rápida, visando a evitar ou diminuir os impactos negativos dentro da empresa. À medida que um negócio cresce e evolui, as ameaças também crescem, por isso é tão importante garantir que as políticas de segurança utilizadas protejam o local frente aos riscos que ele enfrenta e enfrentará. 

Quando realizamos uma auditoria em um sistema computacional, passamos a verificar como ele foi executado, ou seja, verificamos se tudo está funcionando adequadamente e de acordo com o planejado. 

A auditoria pode ser feita de forma manual ou por meio de software computacional automatizado, e os objetivos de uma auditoria são avaliar, revisar e fazer recomendações de uso para o aprimoramento da rede de uma empresa, além de evitar e combater fraudes, erros, irregularidades, vulnerabilidades, inconformidades ou ineficácia no sistema de segurança implementado pela organização (AGRA; BARBOZA, 2018). 

Sendo assim, de acordo com os autores Kim e Solomon (2014), por meio da auditoria, é possível verificar se:

Vamos a um exemplo de auditoria? Você pode realizar uma auditoria nas políticas de segurança da empresa, para garantir que essas políticas estejam atualizadas, relevantes, comunicadas e impostas a todos que ali trabalharam. Neste caso, a auditoria ajuda a testar se usuários ou clientes aceitam os controles ou se tentam contorná-los, por vê-los como irreais ou sem necessidade. 

Este tipo de auditoria procura testar como a infraestrutura protege os dados de aplicativos e garante que o aplicativo limite o acesso apenas a usuários autorizados e que oculte (criptografe) dados cujos usuários não autorizados não deverão ver. Da mesma forma, a auditoria precisará auditar, também, o firewall da empresa e de todos os outros dispositivos de rede, para garantir o devido funcionamento deles e que suas configurações estejam de acordo com a política de segurança. 

Conheceremos, agora, os níveis de permissão para as empresas. Eles referem-se aos diferentes tipos de acesso e autorização dos usuários dentro de um sistema ou rede. Esses níveis variam de acordo com as funções e responsabilidades de cada indivíduo na organização, ou seja,  o nível de permissão dependerá das necessidades e políticas da empresa. 

Segundo Kim e Solomon (2014), é essencial combinar o nível de permissão exigido em sua empresa com a estrutura de segurança existente, pois, caso não haja esta combinação, você poderá perder muitos dados e comprometer sua reputação no mercado. Portanto, ao combinar adequadamente os níveis de permissão com a estrutura de segurança, é possível garantir a integridade e confidencialidade das informações.

A seguir, no Quadro 1, temos uma lista com os níveis de permissão mais comuns: 

Sabendo a importância e, também, os objetivos de uma auditoria, provavelmente, você está se perguntando: quem será o profissional que fará a auditoria? Para esta pergunta, a resposta é: o profissional é chamado de auditor fiscal. Ele deve ter um profundo conhecimento a respeito da área de auditoria de sistemas bem como formação nas áreas de tecnologia.  

Agora que você já sabe no que consiste uma auditoria e quem a realiza, precisamos entender como se realiza a auditoria, concorda? O primeiro passo a ser realizado pelo auditor fiscal é criar um plano de auditoria, basicamente, é um documento que detalha os procedimentos e as etapas a serem seguidas durante a auditoria. Sendo assim, é onde são descritas as atividades a serem realizadas durante esse processo, além de definir os objetivos e determinar quais sistemas, processos de negócios, dispositivos e áreas de segurança serão analisados/auditados. 

Além desse plano, o auditor precisará identificar as pessoas as quais trabalharão nesta atividade, isto é, precisará identificar sua equipe e, também, o pessoal da empresa que será auditada. 

Dessa forma, antes de realizar uma auditoria, o auditor deverá gastar certo tempo para planejar as atividades a serem realizadas no momento da auditoria. A seguir, temos uma lista do que o auditor deve realizar:

Depois de o auditor planejar as suas atividades de auditoria, ele precisa pensar nos métodos de coleta de dados de auditoria, ou seja, além de identificar os dados que serão coletados, é necessário estabelecer como eles serão coletados. Existem muitas maneiras de coletar os dados, por exemplo:

Há diversas maneiras de coletar os dados e cada um dos tipos possuem benefícios e limitações, portanto, caberá à pessoa na posição de auditor escolher o método utilizado. Para você compreender melhor como funciona, na prática, trarei algumas características dos testes de segurança. Veja alguns exemplos de cenários a serem testados: 

Nesta lição, estudamos a auditoria de software, um procedimento cujo objetivo principal é garantir a segurança e integridade dos dados de uma empresa. Vimos que é por meio dessa auditoria que se torna possível identificar potenciais problemas de segurança bem como verificar se as políticas impostas estão sendo cumpridas por todos. Ela é realizada pelo auditor, por meio da coleta de dados, esta, por sua vez, é feita com diferentes métodos.

A realização de auditorias é extremamente importante para as empresas, e sua atuação como Técnico(a) em Desenvolvimento de Sistemas frente a este assunto é indispensável, pois, além de auxiliar na verificação dos pontos fracos e vulneráveis em relação aos softwares utilizados pelas organizações, você também será capaz de identificar e propor soluções para corrigir as inconsistências descobertas no momento da autoria.  

Para se familiarizar com as abordagens das auditorias de redes, acesse o material indicado, a seguir, e conheça os resultados de um estudo de caso, no data center de um órgão público, no qual foi realizada uma “Auditoria de Segurança da Informação em Sistemas e Aplicações”.

Ao transitar pelas informações do estudo, identifique e reflita os pontos que conhecemos em nossa lição. Combinado?