O principal risco oferecido pelas redes é o de acesso não autorizado a dados e programas da organização, que pode resultar em danos ou prejuízos intencionais ou acidentais.
Existe uma grande variedade de software e hardware especializados em limitar o acesso de indivíduos ou sistemas externos a uma rede de comunicação. Exemplos de componentes de rede que podem ser usados para limitar o acesso incluem gateways ou firewalls (dispositivos que restringem acesso entre redes, importantes para reduzir o risco associado ao uso da Internet), monitores de teleprocessamento (programas incorporados ao sistema operacional dos computadores para limitar o acesso) e dispositivos de proteção dos canais de comunicação.
Em alguns casos envolvendo telecomunicação, não é possível ou prático restringir o acesso à rede mediante controles físicos ou lógicos. Nesses casos, ferramentas de criptografia podem ser usadas para identificar e autenticar usuários, bem como para auxiliar na proteção da integridade e sigilo de dados e programas, quando estes se encontram no sistema computacional; estão sendo transmitidos para outro sistema; ou foram armazenados em meios removíveis (disquetes e outros).
A criptografia envolve o uso de algoritmos (fórmulas matemáticas) e combinações de chaves (seqüências de bits) que servem para transformar uma mensagem em códigos ininteligíveis para aqueles que não possuem a chave secreta necessária para decifrá-los, mantendo assim o conteúdo do arquivo ou mensagem confidencial. Servem também para fornecer uma assinatura eletrônica, a qual pode indicar se alguma alteração foi feita no arquivo, garantindo sua integridade e identificando o autor da mensagem.
Além dos riscos associados à facilidade de acesso a dados e programas, a auditoria das redes de comunicação de computadores deve contemplar os riscos relativos à operação incorreta do sistema, perda de informações não protegidas por cópias de segurança e outras situações que podem causar dano ou prejuízo à organização em função do ambiente de rede.
A auditoria de redes de comunicação deve abranger os seguintes elementos críticos:
Foram estabelecidos objetivos de curto e médio prazos para o processamento de dados distribuído da organização, definindo precisamente as configurações de hardware, banco de dados, topologia de rede e interfaces de rede de comunicações?
A escolha da plataforma de rede para a organização foi precedida de uma análise de custo/benefício fundamentada em elementos suficientes para justificar a alternativa adotada?
O plano de implantação de processamento em rede contempla:
Os procedimentos de controle do processamento em rede são testados e avaliados periodicamente?
Existem procedimentos documentados que definem as atividades permitidas no ambiente de rede?
Os procedimentos de operação da rede foram distribuídos aos usuários de cada departamento?
Foi estabelecido um mecanismo para garantir a compatibilidade de arquivos entre as aplicações, à medida que a rede cresce em tamanho e complexidade?
Foi estabelecida uma política de auditoria e de backup para a rede?
Existem procedimentos documentados e responsabilidades atribuídas para as atividades de inicialização (start-up), supervisão e uso da rede, e recuperação de defeitos de funcionamento do hardware?
O Departamento de Tecnologia da Informação possui políticas, procedimentos e padrões documentados, atualizados e divulgados para o pessoal responsável, cobrindo as seguintes áreas:
Foram instituídos mecanismos para padronizar definições de dados compartilhados e manter os dicionários de dados de uso comum?
Existem mecanismos eficazes de controle sobre mudanças feitas nos dados compartilhados?
Existem controles para garantir que a integridade dos dados seja mantida durante a transferência de dados na rede, tais como:
Os departamentos de usuários mantêm um inventário atualizado dos equipamentos de rede que se encontram em seu local de trabalho e revisam periodicamente a eficácia das práticas de segurança adotadas?
Os procedimentos de segurança são adequados para proteger os recursos físicos da rede e a integridade do software do aplicativo e dos dados armazenados, e são periodicamente revisados?
O grupo responsável pela segurança da rede confere periodicamente se a documentação de segurança está devidamente atualizada e reavalia, com a freqüência suficiente, a adequação dos controles de segurança:
Existe segregação de funções adequada entre gerência de rede e gerência de segurança?
São mantidas trilhas de auditoria por períodos razoáveis, informando atividades tais como:
Os usuários somente conseguem acesso aos discos, diretórios e arquivos para os quais possuem autorização?
Foram implantados controles de acesso aos terminais ou estações de trabalho e todos os usuários são identificados por senhas individuais?
Os terminais e estações de trabalho são inabilitados após um determinado número de tentativas de acesso não autorizado?
Foram estabelecidos perfis de acesso para os usuários, que definem os recursos, dados, aplicações, transações e comandos autorizados, de acordo com as responsabilidades dos respectivos cargos?
Os controles são adequados para prevenir:
Os dispositivos de conexão da rede possuem controles de segurança, incluindo pacotes de software e dispositivos de criptografia?
Existem controles de acesso e de implementação sobre as seguintes funções de comunicação:
A segurança física oferecida para servidores e equipamentos de comunicação e conexão em rede é adequada?
Os servidores estão localizados em uma área com acesso restrito apenas ao pessoal autorizado?
Os terminais e estações de trabalho possuem mecanismos de segurança física que previnem a sua remoção não autorizada?
A organização desenvolveu um plano de contingência para a recuperação da rede, que inclui:
O plano de contingência é testado em simulações periódicas?
Os procedimentos de administração e operação da rede estão documentados e atualizados?
As responsabilidades de operação estão claramente definidas para todas as posições e preservam o princípio da segregação de funções?
O DTI estabeleceu um acordo de nível de serviço com os usuários que define:
Existem procedimentos para a avaliação periódica da rede, quanto ao seu desempenho, tempo de resposta e tempo de recuperação após falhas?
Existem procedimentos documentados para a administração de problemas e sua solução, e estes indicam as responsabilidades dos fornecedores? Examinar os registros de resolução de problemas e determinar se os problemas estão ocorrendo com freqüência excessiva, se o tempo de resolução é razoável e se algum problema reportado é conseqüência de falhas nos controles do sistema.
A configuração de rede impede que a ocorrência de uma falha em um de seus pontos provoque a queda de toda a rede?
A rede contém mecanismos que minimizam o impacto provocado por uma falha do sistema e existem procedimentos documentados para o retorno à operação, caso ocorra uma interrupção inesperada do serviço?
Os procedimentos de recuperação da rede após interrupções inesperadas do serviço são periodicamente testados e atualizados (se for o caso), e o pessoal responsável está devidamente capacitado para executar as atividades necessárias de forma eficiente e rápida?
O software de comunicação de rede contém mecanismos para armazenar temporariamente mensagens destinadas a usuários provisoriamente desconectados e retransmiti-las automaticamente quando a conexão for restabelecida?
Existem procedimentos documentados tratando da manutenção de rotas de comunicação normais e alternativas?
O software de rede apresenta rotinas de tratamento de erros e de supervisão do desempenho?
Foram especificadas em contrato as manutenções preventivas e reparadoras da rede?
Existem mecanismos de controle e registro das mudanças efetuadas no software de rede?
Os procedimentos de alteração do software de rede são adequados e prevêem mecanismos de supervisão e autorização?
De modo geral, os procedimentos de controle de alterações do sistema levam em consideração o impacto para a organização, incluindo a disponibilidade do sistema, impacto para usuários, eficiência do sistema e atualização da documentação e manuais?
Existem procedimentos adequados para informar, treinar e auxiliar o pessoal de operações na implementação e suporte de mudanças no software de rede?