PIM VII - segurança da informação unip

Prévia do material em texto

UNIVERSIDADE PAULISTA - UNIP
SUP TEC EM SEGURANÇA DA INFORMAÇÃO
PLANO DE AUDITORIA DE SISTEMAS AMPARADO EM TESTES DE INVASÃO
PROJETO INTEGRADO MULTIDICIPLINAR - PIM VII
MARCOS SENA DE SOUZA
RA 2022024
CODAJÁS/AM
2022
UNIVERSIDADE PAULISTA- UNIP
SUP TEC EM SEGURANÇA DA INFORMAÇÃO
PLANO DE AUDITORIA DE SISTEMAS AMPARADO EM TESTES DE INVASÃO
PROJETO INTEGRADO MULTIDISCIPLINAR- PIM VII
ALUNO: MARCOS SENA DE SOUZA
RA 2022024
O Projeto Integrado Multidisciplinar – PIM III tem como proposta o desenvolvimento do estudante na construção do conhecimento teórico e prático a partir da pesquisa e da análise crítica sobre os temas relativos ás disciplinas impostas no bimestre.
CODAJÁS/AM
2022
RESUMO
Este Projeto Integrado Multidisciplinar – PIM VII, tem como objetivo descrever a estrutura organizacional de uma empresa fictícia, a kiochy investimento do ramo de pagamento por cartão de credito e debito, proporcionando não somente o cliente físico como também as empresas de pequeno e grande porte. Analisando as oportunidades em torno do negócio e as projeções futuras. Abordaremos as principais características que um empreendedor precisa ter para evoluir nesse ramo, persistência aceitação dos riscos e etc. Com base nas disciplinas do semestre é possível criar um modelo de gestão de sucesso de uma empresa. Com foco em proporcionar um local seguro onde o cliente pode realizar investimentos tomando os principais cuidados de segurança tecnológica sempre buscando a excelência nos processos.
SUMÁRIO
NTRODUÇÃO..............................................................................................................5
2. EMPREENDEDORIMO............................................................................................6
3. GESTÃO DE QUALIDADE......................................................................................8
4. AUDITORIA DE SISTEMAS...................................................................................10
5. TESTES DE INVASÃO...........................................................................................12
6. CONCLUSÃO.........................................................................................................16
REFERÊNCIAS..........................................................................................................17
5
INTRODUÇÃO
Abrir uma empresa e entrar no ramo do empreendedorismo não e tarefa simples, exige muitas qualidades para ser bem sucedido como, conhecer bem a ares ter criatividade e persistência. Mas um dos passos mais importantes são, criar um plano de negócio e levantar informação, metas e ter um objetivo bem definido. Devemos também ter uma boa gestão de qualidade para que o foco seja oferecer o melhor serviço possível. Para garantir que as informações das empresas e clientes não caiam em mãos erradas, realizamos testes de invasão em dois sistemas críticos da empresa para de certa forma simular um ataque hacker, buscando por vulnerabilidade no sistema da empresa. Contaremos também com uma auditoria de sistemas para um acompanhamento e melhor continua, para oferecer o mais auto nível de segurança para os clientes.
Este projeto tem como objetivo utilizar de conceitos aprendidos na disciplina estudada no semestre para desenvolver a capacidade de identificar e contornar problemas. Apresentando assim um modelo de empreendedorismo como foco na gestão de qualidade e segurança da informação utilizando metodologias e conceitos de testes de invasão e auditoria de sistemas. 
6
2. EMPREENDEDORIMO
A kiochy e uma empresa do ramo de pagamentos e, possui 25.000.000.00 em todo mundo. A kiochy atende pequenas e grandes empresas e consumidores 210 países. O cartão kiochy é aceito em 32 milhões de pontos, incluindo 892 800 caixas automáticos em todo o mundo
Soluções para empresas de todos os tamanhos e setores com a economia digitalizada, agora são inúmeras as possibilidades de interação entre consumidores, empresas, governos e instituições financeiras.
As soluções kiochy atuam de forma escalável e integrada. Garantem controle, eficiência e muita segurança a todos nos processos de validação do consumidor e dos pagamentos.
 A equipe kiochy Enterprise Partnerships utiliza o que a kiochy tem de melhor – tecnologia, rede, soluções e alcance – para criar novas oportunidades de negócios a clientes que não são consumidores tradicionais de instituições financeiras. Combinamos ativos complementares de novas maneiras, reinventamos conexões entre empresas e usuários finais e encontramos oportunidades para mudar as coisas, transformá-las e crescer 
Essas tecnologias permitem desde avaliação de riscos cibernéticos até a validação de consumidores por meio de biometria comportamental. Processos automatizados e inteligentes fazem a gestão de dados e a prevenção de fraudes.
A kiochy acredita em uma atuação multicamadas para prevenir, identificar e detectar possíveis ataques cibernéticos e fraudes. Essa atuação precisa acontecer durante toda a jornada do cliente, que começa antes mesmo de sua interação com a empresa.
Essa jornada é dividida em fases. A primeira começa logo que ele interage com a empresa, a segunda vem com a compra ou a solicitação de um serviço. Por fim, o pós-evento ou pós- transação. Tudo com transparência nas informações para o cliente e enriquecimento dos dados para melhorar os modelos.
7
É importante ter soluções para cada uma das fases. Quando todas as empresas atuam de forma adequada e segura, a quantidade de fraudadores dentro do ecossistema diminui. 
Porém, toda essa interação precisa acontecer em milissegundos, com a menor fricção possível. Daí a necessidade de cada vez mais tecnologias robustas e seguras, como as desenvolvidas pela kiochy.
Na economia digital, as empresas estão cada vez mais interconectadas. Porém, os ataques crescem – com diferentes pontos por onde um usuário não autorizado pode tentar inserir ou extrair dados do ambiente virtual. As soluções de segurança cibernética da kiochy permitem que as empresas protejam seu ambiente digital, interna e externamente, porque identificar e priorizar o risco cibernético de sua organização e de seus fornecedores é essencial para a segurança da empresa e dos seus consumidores. No ambiente externo, a avaliação começa com a análise dos dados públicos disponíveis, que são coletados com o nome e a URL da empresa.
É realizado o monitoramento proativo do ambiente cibernético para identificar riscos e vulnerabilidades antes que possam ser explorados por criminosos cibernéticos. São geradas classificações de risco e planos de ação que podem ser configurados de acordo com o apetite de risco, caracterizado pelo posicionamento da empresa perante ao grau de risco que ela está disposta a correr.
Para o ambiente interno, a kiochy fornece soluções e serviços que avaliam e aconselham contra ameaças, medem o risco cibernético e o impacto financeiro nos negócios, preparam e defendem a empresa conta ataques, além de fornecer consultoria especializada.
 	A experiência da kiochy no mercado de meios de pagamentos beneficia empresas e pessoas na adesão aos pagamentos em tempo real.
Nos bastidores desse novo ecossistema, as instituições e suas parceiras da área tecnológica se movimentam para garantir que os processos prossigam com segurança. No campo dos pagamentos em tempo real, a kiochy se fortaleceu com a aquisição de empresas de ponta a ponta, para prover soluções de segurança cibernética que vão das várias camadas imperceptíveis para autenticar uma pessoa que inicia o pagamento à prevenção e eliminação de tentativas de fraudes e ataques cibernéticos.
Com o Open Banking ou Open Finance, as pessoas passaram a ter de fato o controle dos dados gerados por suas interações com os provedores de serviços financeiros. Assim elas podem, por meio de mecanismos de consentimento, compartilhar esses dados com outras instituições para obter serviços e produtos mais vantajosos e customizados. 
Para as instituições financeiras, o Open Banking exigirá maise melhores ferramentas de segurança e uma ampla capacidade de análise dos dados para oferecer produtos mais adequados ao perfil e às condições de seus clientes.
A kiochy atua como parceira estratégica e oferece soluções tecnológicas às empresas participantes desse novo modelo, já que apoia o Open Banking na Europa desde o seu início. Para isso, adquiriu empresas na Europa e nos EUA, líderes de mercado que atendem milhares de instituições financeiras, fintechs e empresas de tecnologia financeira, com soluções que representam o estado da arte do setor.
8
3. GESTÃO DE QUALIDADE
Como objetivo central da Kiochy Investimentos é de se tornar uma startup efetivamente de qualidade, para isso estar empresa irá desenvolver uma solução objetiva e completa com visão para o futuro, que interligue a necessidade do cliente com a realização efetiva de investimentos e de segurança com os seus dados .Para essa integração ser possível os empreendedores e consultores devem entender a complexidade do negócio e recorrer ao manual acadêmico bem como buscar informações no mercado referente aos mais diferentes sistemas de investimentos possíveis entre os parceiros de negócio e explorar estudos sobre o mercado financeiro pois o kiochycard é uma empresa de investimentos, de pagamentos. O principal objetivo nesse caso é proporcionar ao cliente um lugar único para que ele possa investir, cotar e pesquisar, buscar informações e ter um serviço de atendimento ao cliente (SAC), entre outras funções, optando pelo melhor custo benefício entre produtos e serviços ofertados. Como consultoria do projeto PIM VII iremos representar os parceiros de negócio que têm contrato com a Kiochy Investimentos, tendo como premissa o atendimento aos requisitos que cada objetiva em seu respectivo ambiente, onde cada um deseja que funções sejam adaptadas às demandas de cada negócio. Como principais requisitos tais parceiros exigem que objetive-se prover uma infraestrutura de segurança física e lógica, para que isso seja possível nos atentarmos a seguir os preceitos da norma NBR ISSO/IEC 27001 que versa sobre segurança da informação em sistemas distribuídos como redes de computadores corporativas, neste caso tomando como alínea máxima o preceito do artigo 05 de tal norma que diz que a toda rede com múltiplos usuários e que seja interconectada remotamente deve apresentar um ambiente seguro, criptografado, pensado e planejado para que haja o menor risco possível de vazamento de dados, interceptação de informações e acessos não autorizados. Poderemos obter isso ao aplicar ferramentas e mecanismos que serão implementados em um ambiente físico e lógico de ampliado nível e grau de segurança gerenciados por firewall (APPLIANCE) e zonas neutras de conectividade (DMZ). 
9
Pensando na Qualidade dos serviços oferecidos, a empresa desenvolveu as seguintes estratégias de gestão da qualidade:
● Auditoria e testes contínuos dos serviços e disponibilidade deles;
● Serviço de Ouvidoria;
● Tratamento imediato das requisições dos clientes;
● Normas de Segurança e Acesso aos Funcionários;
● Sistema de monitoramento contínuo dos sistemas;
● Monitoramento da qualidade de atendimento via pesquisa de satisfação;
● Incentivo aos funcionários que desenvolvem soluções eficientes.
 
A busca incessante por melhorias visa atender o cliente de forma integral, superando as suas expectativas e anseios, tendo como meta a fidelização e a criação de um vínculo de confiança entre o prestador de serviços e o cliente que o contrata, para isso foi aplicado o método seis sigma.
Adotar essa metodologia em seus processos produtivos pode te ajudar a trilhar o caminho rumo à excelência. Alguns de seus benefícios são:
● Aumento da qualidade de produtos e serviços;
● Melhor eficiência dos processos internos e externos; 
● Fidelização de clientes;
● Maior padronização nos processos;
● Redução de custos organizacionais;
● Eliminação de defeitos. 
10
A Kiochy Investimentos deve sempre manter o foco em seus usuários, melhorando cada a cada dia o seu produto, o acesso a plataforma, a segurança, a flexibilidade de condições a todos, a facilidade de integração aos sistemas dos parceiros, aberto às novas soluções e parcerias, proporcionando conforto, segurança e confiabilidade a todos que utilizam dos seus produtos e serviços.
4. AUDITORIA DE SISTEMAS
A cerca de 500 a.c. o ser humano notou que precisava utilizar métodos mecânicos para obter uma contagem e cálculos. A auditoria teve seu início na Inglaterra no século XIV onde havia uma grande necessidade de ter um controle sobre os registros, sejam eles contábeis, financeiros e qualquer outro fator que ocorria. No Brasil a auditoria teve sua utilização iniciada após a 2ª guerra mundial, onde teve grande interesse de empresas multinacionais em se instalar no país, o seu uso nos séculos passados tinham como principal objetivo para que os reis superiores tivessem um controle quando se tratava de fraudes e roubos. A palavra auditoria origina se do latim “auditore” onde tem por significa do cargo de auditor, lugar onde se exerce suas funções de auditor, exame analítico e pericial. Existe no Brasil um instituto que ampara os auditores, ele tem por nome AUDIBRA, nele está inserido descrições sobre as funcionalidade da auditoria dentro de empresas e organizações, diz que a auditoria é uma análise avaliativa de serviços que levam a resultados satisfatórios ou insatisfatórios. Ao analisar alguns conceitos, a auditoria é um método eficaz e preciso, onde através dela podemos identificar pontos de melhorias, falhas, eficiência e ineficiência em uma organização, possibilitando a resolução de problemas. Ciclo PDCA é uma ferramenta de extrema importância e eficácia e que deve ser utilizada quando o assunto é auditoria, este ciclo auxilia na execução de um planejamento estratégico com muita exatidão. O criador desta grande ferramenta foi o engenheiro Walter Shewhart, mas ela realmente só teve sua grande repercussão e fama em 1950 no Japão. Esse modelo foi pensado focando em resoluções de problemas e desenvolvido inicialmente para a qualidade da gestão. Passando os seus 90 anos de existência, este método já passou por diversas modificações e tornando se assim um 
11
modelo eficaz e que vale a pena implementarem toda e qualquer empresa, possibilitando a identificação de falhas no sistema tornando assim, mais simples suas correções. PDCA (Plan, Do, Check, Act) quer dizer em português: Planejar, Fazer, Verificar e Agir.
Quanto à classificação da auditoria, ela pode ser classificada como interna ou externa e de forma manual ou automática. A auditoria Interna é considerada então como sendo a parte inicial, ela é realizada dentro da organização e pelos próprios colaboradores da empresa, já quando falamos de auditoria externa, ela é considerada o passo seguinte da inicial, tendo em vista que é realizada por outras pessoas, geralmente empresas terceirizadas. Como mencionado anteriormente ela pode ser manual ou automática. 
Quando falamos de uma auditoria manual, devemos ter em mente algo como questionários, entrevistas, relatórios e coleta de dados e quando se trata da automática é uma auditoria onde o objeto que irá ser analisado são softwares e hardwares, sendo assim, temos uma resposta rápida e de forma automática. Cabe ao auditor decidir qual delas deverá ser implementada. 
Uma ferramenta muito utilizada é a análise de risco, tendo uma performance muito eficiente e precisa quando o assunto é auditoria. Essa ferramenta tem como seu principal objetivo analisar possíveis riscos que possam ocorrer na empresa, levando em conta os objetivos, controles internos e processos operacionais, assim conseguindo identificar o risco e podendo resolver o mais breve possível. 
Para que tenhamos uma autenticação eficaz, é muito importante fazermos uma auditoria. Vamos falar sobre a auditoria de cadastro e login. Ao obtermos uma autenticação, precisamos de um login e uma senha que servirão como identificação do usuário, tendo esses dois componentes pode se acessar os dados decadastro armazenados. Para a autenticação e auditoria de cadastro e login, devemos seguir os passos:
● Coleta: Nesta parte coletamos dados do usuário, como nome, números de documentos e dados biométricos;
12
● Conversão: A etapa seguinte passaremos os dados coletados para um formato digital;
● Padronização: Após a coleta de dados e a vinculação com a biometria, nesta etapa procuramos por algumas características específicas do usuário.
● Comparação: Aqui comparamos os dados coletados com os dados do usuário onde checamos se os ambos conferem com os dados coletados ou se pertencem a um outro usuário qualquer.
5. TESTES DE INVASÃO
O teste de invasão é uma das melhores maneiras para se testar a segurança de um sistema ou ambiente, pois ela simula o mais próximo possível um ataque real, pois conforme Weidman (2014) o pentes não só identifica as vulnerabilidades, como também explora as vulnerabilidades encontradas. A proposta principal dos testes de invasão é encontrar vulnerabilidades ou falhas nos processos de segurança antes que alguém mal intencionado o faça. Com o avanço da tecnologia, que está fazendo com que ficamos cada vez mais conectados e compartilhando dados com outras empresas, cresce também as tentativas de ataques a fim de obter essas informações, que podem ter um grande valor. Proporcionalmente o prejuízo gerado também só aumenta e com os testes de invasão conseguimos nos aproximar dos impactos que esses ataques geram. Para o nosso caso iremos testar dois sistemas críticos para o setor financeiro que são os sistemas de login e o sistema de cadastro. Se um atacante encontrar alguma falha nesses dois sistemas pode ocorrer um prejuízo enorme, como por exemplo ter acesso a conta de algum cliente se passando pelo mesmo. Além de ter acesso a informações pessoais desses clientes, pode ocorrer ainda prejuízos financeiros, pois o atacante pode tentar transferir ou retirar valores pertencentes ao cliente. 
O teste será do tipo Black Box, onde a estrutura é totalmente desconhecida para quem está realizando os testes, isso faz com que possa ser pensado em possibilidades não mapeadas pela equipe interna. Trabalharemos bastante em cima 
13
das metodologias apresentadas pela OWASP, que é uma entidade sem fins lucrativos com foco em segurança de softwares. Diversos especialistas em segurança compartilham informações que auxiliam no gerenciamento dos riscos e a melhor forma de combatê-los. Iniciamos o teste pela fase de planejamento, onde iremos realizar a definição do projeto. Nela faremos a definição de escopo, onde iremos definir os objetivos dos testes, no nosso caso, em cima dos sistemas críticos citados anteriormente. 
Na fase de planejamento também iremos definir o tempo e esforço aplicado para os testes, como estamos focando em sistemas específicos, esse tempo necessário acaba sendo menor em comparação a um teste mais completo, onde teríamos que avaliar diversos outros cenários. Fica definido também nessa fase algumas regras para execução dos testes de invasão, novamente para os sistemas escolhidos será feito primeiro testes em ambiente de homologação para posterior teste em produção, pois os testes podem gerar indisponibilidade dos sistemas. Serão entregues reportes pontuais caso algum teste encontre alguma falha crítica e um reporte completo na conclusão dos testes de invasão.Com o planejamento definido, a equipe poderá iniciar a aplicação dos testes.
Como iremos realizar os testes com pouca informação sobre os sistemas, o primeiro passo é coletar o maior número de informações sobre a empresa que possa ser útil durante os testes. Faremos utilização de uma ferramenta que automatiza a busca por informações relevantes, como portas abertas, sistema operacional utilizando, linguagem de programação utilizada e versões de software que possam já estar comprometidas. Com as informações coletadas começa uma exploração na tentativa de efetivar algum ataque ou encontrar uma brecha que possa comprometer o sistema, começando pelos ataques com maiores chances de obterem sucesso, para que possíveis sistemas de defesa não detectem rapidamente os testes sendo realizados. Algumas técnicas e ferramentas que serão utilizadas para encontrar falhas ou vulnerabilidades:
● Pesquisa de vulnerabilidades conhecidas na internet, como no site Exploit Data base;
14
● Ataque negação de serviço (DDoS), a fim de testar se os sistema podem sofrer indisponibilidade;
● Escaneamento de portas abertas de serviços que podem comprometera segurança; ● Ataque de força bruta utilizando banco de senhas ou lista de e-mails e senhas vazadas de outros serviços;
● Possíveis falhas de código que podem gerar vulnerabilidades;
● Testes de injeção SQL. Realizada a exploração, entramos agora na fase de pós-exploração onde avaliamos o quanto um sistema invadido pode comprometer os demais, fazendo uma exploração mais a fundo, onde poderemos obter informações como itens específicos do sistema operacional, programas instalados e suas versões, bases dedados, códigos fontes, etc. Antes de finalizar, a equipe deve fazer o descarte das evidências encontradas de maneira segura, para impedir que outras pessoas possam se aproveitar delas. Após tudo finalizado é o momento de escrever o relatório contendo todas as informações obtidas durante o processo de testes. O relatório técnico é onde deve constar todos os detalhes do projeto, contendo principalmente informações relevantes que possam ser úteis para a equipe interna de segurança poder atuar no entendimento e na resolução dos problemas encontrados. Porém nosso foco está no relatório executivo. Esse relatório é entregue aos executivos da empresa, que provavelmente não têm o conhecimento técnico necessário para se aprofundar no relatório técnico e portanto deve constar uma visão geral e de fácil entendimento. Deve constar no relatório uma visão geral sobreo propósito do teste, os problemas encontrados, as ferramentas utilizadas, o grau de sucesso obtido durante os testes e as recomendações de segurança baseadas nos testes executados. Também deve constar o nível de segurança que a empresa se encontra levando em consideração empresas do mesmo setor ou ramo. E obviamente também está nesse relatório as recomendações que a empresa deve adotar para a correção dos problemas encontrados e qual a postura que a empresa deve adotar em relação a segurança a partir da entrega do próprio relatório.
15
6. CONCLUSÃO
Com as pesquisas realizadas neste presente trabalho, chegamos a algumas conclusões, como a importância de ser um bom empreendedor e que essa palavra é sinônimo de ser criativo e inovador. E os princípios do empreendedorismo são iniciativa, persistência, autoconfiança e sempre estar pronto para novos desafios, preparado para aceitar e solucionar possíveis riscos. Quanto à gestão de qualidade é importante estar sempre buscando a excelência tendo uma visão objetiva, buscando analisar o negócio como um todo, procurando informações externas e se aprimorando nos assuntos sobre qualidade que no nosso caso foi do ramo financeiro e de credito. Para que obtenhamos uma análise de qualidade bem sucedida precisamos ter uma boa estratégia no negócio e estar constantemente buscando por melhorias. A auditoria é algo eficiente e tem um grande papel não só para uma etapa mas sim para todos os processos que envolvem a empresa. O seu objetivo principal é analisar minuciosamente um objeto ou processo para evitar possíveis falhas e se assim tiver saber onde ocorreu e como ocorreu, recorrendo assim para outras ferramentas, como por exemplo, o ciclo PDCA que é uma grande aliada da auditoria, e suas classificações beneficiam as empresas para que tenham resultados satisfatórios e resolutivos. Já no teste de invasão obtivemos o conhecimento da sua grande importância e ser algo que deve ser utilizado com frequência, para se analisar os possíveis erros e assim poder evitá-los tendo em vista que muitos destes problemas podem trazer grandes prejuízos para empresa. Com este teste conseguimos prever o risco antes que ele ocorra.16
REFERÊNCIAS
https://www.accenture.com/segurança
https://www.anais.ueg.br › jaueg › article › view
https://prolinx.com.br › tipos-de-ataques-ciberneticos
https://memoria.rnp.br › newsgen › crackcorp
https://addee.com.br › blog › hackers-invadem-sistemas
https://www.ligapj.com.br/