Segurança e auditoria do sistema

Auditoria do Sistema

É uma investigação para revisar o desempenho de um sistema operacional. Os objetivos da realização de uma auditoria de sistema são os seguintes -

  • Para comparar o desempenho real e planejado.

  • Para verificar se os objetivos declarados do sistema ainda são válidos no ambiente atual.

  • Para avaliar o cumprimento dos objetivos declarados.

  • Para garantir a confiabilidade das informações financeiras e outras informações baseadas em computador.

  • Para garantir que todos os registros sejam incluídos durante o processamento.

  • Para garantir proteção contra fraudes.

Auditoria de uso do sistema de computador

Os auditores de processamento de dados auditam o uso do sistema de computador para controlá-lo. O auditor precisa de dados de controle que são obtidos pelo próprio sistema de computador.

O Auditor do Sistema

A função de auditor começa no estágio inicial de desenvolvimento do sistema para que o sistema resultante seja seguro. Ele descreve uma ideia de utilização de sistema que pode ser registrada, o que ajuda no planejamento de carga e na decisão sobre as especificações de hardware e software. Ele dá uma indicação do uso inteligente do sistema de computador e possível uso indevido do sistema.

Teste de Auditoria

Um ensaio de auditoria ou registro de auditoria é um registro de segurança que consiste em quem acessou um sistema de computador e quais operações são realizadas durante um determinado período de tempo. Os testes de auditoria são usados ​​para fazer o rastreamento detalhado de como os dados no sistema foram alterados.

Ele fornece evidências documentais de várias técnicas de controle às quais uma transação está sujeita durante seu processamento. Os ensaios de auditoria não existem de forma independente. Eles são realizados como parte da contabilidade para recuperar transações perdidas.

Métodos de Auditoria

A auditoria pode ser feita de duas maneiras diferentes -

Auditoria em torno do computador

  • Obtenha entradas de amostra e aplique manualmente as regras de processamento.
  • Compare as saídas com as saídas do computador.

Auditoria através do computador

  • Estabelecer teste de auditoria que permita examinar resultados intermediários selecionados.
  • Os totais de controle fornecem verificações intermediárias.

Considerações de auditoria

As considerações de auditoria examinam os resultados da análise usando narrativas e modelos para identificar os problemas causados ​​devido a funções mal colocadas, processos ou funções divididos, fluxos de dados interrompidos, dados ausentes, processamento redundante ou incompleto e oportunidades de automação não endereçadas.

As atividades nesta fase são as seguintes -

  • Identificação dos problemas ambientais atuais
  • Identificação das causas do problema
  • Identificação de soluções alternativas
  • Avaliação e análise de viabilidade de cada solução
  • Seleção e recomendação da solução mais prática e adequada
  • Estimativa de custos do projeto e análise de benefícios de custos

Segurança

A segurança do sistema refere-se à proteção do sistema contra roubo, acesso não autorizado e modificações e danos acidentais ou não intencionais. Em sistemas informatizados, a segurança envolve proteger todas as partes do sistema de computador, incluindo dados, software e hardware. A segurança dos sistemas inclui privacidade e integridade do sistema.

  • System privacy trata da proteção de sistemas individuais de serem acessados ​​e usados ​​sem a permissão / conhecimento dos indivíduos em questão.

  • System integrity preocupa-se com a qualidade e confiabilidade dos dados brutos e processados ​​no sistema.

Medidas de controle

Existem várias medidas de controle que podem ser amplamente classificadas da seguinte forma -

Cópia de segurança

  • Backup regular de bancos de dados diário / semanal, dependendo da criticidade de tempo e tamanho.

  • Backup incremental em intervalos mais curtos.

  • Cópias de backup mantidas em local remoto seguro, especialmente necessário para recuperação de desastres.

  • Sistemas duplicados são executados e todas as transações são espelhadas se for um sistema muito crítico e não puder tolerar nenhuma interrupção antes de armazenar em disco.

Controle de acesso físico às instalações

  • Bloqueios físicos e autenticação biométrica. Por exemplo, impressão digital
  • Cartões de identificação ou passes de entrada sendo verificados pela equipe de segurança.
  • Identificação de todas as pessoas que lêem ou modificam os dados e registrá-los em um arquivo.

Usando controle lógico ou de software

  • Sistema de senha.
  • Criptografar dados / programas confidenciais.
  • Treinamento de funcionários em cuidados / tratamento e segurança de dados.
  • Software antivírus e proteção de firewall enquanto estiver conectado à Internet.

Análise de risco

Um risco é a possibilidade de perder algo de valor. A análise de risco começa com o planejamento do sistema seguro, identificando a vulnerabilidade do sistema e o impacto disso. O plano é então feito para gerenciar o risco e lidar com o desastre. É feito para acessar a probabilidade de um possível desastre e seus custos.

A análise de risco é um trabalho em equipe de especialistas com diferentes experiências, como produtos químicos, erro humano e equipamentos de processo.

As etapas a seguir devem ser seguidas durante a realização da análise de risco -

  • Identificação de todos os componentes do sistema informático.

  • Identificação de todas as ameaças e perigos que cada um dos componentes enfrenta.

  • Quantifique os riscos, ou seja, avaliação de perdas caso as ameaças se tornem realidade.

Análise de risco - etapas principais

Como os riscos ou ameaças estão mudando e a perda potencial também está mudando, o gerenciamento de risco deve ser realizado periodicamente pelos gerentes seniores.

A gestão de riscos é um processo contínuo e envolve as seguintes etapas -

  • Identificação de medidas de segurança.

  • Cálculo do custo de implementação de medidas de segurança.

  • Comparação do custo das medidas de segurança com a perda e probabilidade de ameaças.

  • Seleção e implementação de medidas de segurança.

  • Revisão da implementação de medidas de segurança.