Pular para o conteúdo

ITGC: Guia para Auditoria em Logs de Sistemas, Aplicações e Bancos de Dados

    Com a digitalização das organizações em um ritmo crescente, a segurança, integridade e conformidade dos sistemas de informação se tornam essenciais. Nesse contexto, os logs, que registram detalhadamente todas as atividades dentro dos sistemas, aplicações, bancos de dados e outros recursos organizacionais, são indispensáveis. Eles são vitais para identificar e resolver problemas, prevenir fraudes, detectar intrusões e cumprir regulamentações.

    Porém, o gerenciamento efetivo de logs é uma tarefa complexa que demanda uma abordagem sistemática e rigorosa. Aqui, a auditoria ITGC (Controles Gerais de Tecnologia da Informação) se torna uma peça-chave. Uma auditoria de ITGC abrangente deve considerar vários aspectos relativos ao escopo do trabalho com logs e trilhas de auditoria.

    Apresentamos a seguir um roteiro prático para este processo.

    1. Políticas e Procedimentos de Registros de Log

    Certifique-se de que existam políticas e procedimentos formalizados para a geração, revisão, armazenamento e exclusão de logs. Esses devem detalhar quem é responsável pela revisão, a frequência com que ocorre, como os logs são armazenados e evidenciados, e o tempo de retenção dos mesmos.

    1.1 Políticas de Log: Confirme a existência de políticas formais de log que contemplem todos os sistemas e aplicativos relevantes. As políticas devem indicar:

    • Quais tipos de atividades devem ser registradas nos logs;
    • Quem tem permissão para acessar e revisar os logs;
    • Como e por quanto tempo os logs devem ser armazenados;
    • Procedimentos para responder a eventos de segurança detectados nos logs.

    1.2 Procedimentos de Log: Avalie se os procedimentos de log estão alinhados às políticas estabelecidas. Os procedimentos devem detalhar:

    • Como os logs são gerados e onde são armazenados;
    • Como os logs são protegidos contra alterações e exclusões não autorizadas;
    • Com que frequência os logs são revisados e quem é responsável por isso;
    • Como os incidentes detectados nos logs são registrados, comunicados e resolvidos;
    • As circunstâncias que permitem a exclusão dos logs e quem tem autoridade para fazê-lo.

    1.3 Conformidade com Normas Regulatórias: As políticas e procedimentos de log devem cumprir normas e regulamentações aplicáveis (por exemplo, BACEN, LGPD, GDPR, HIPAA, PCI DSS, SOX, etc.). Certifique-se de que as políticas e procedimentos estejam atualizados conforme as regulamentações mais recentes.

    1.4 Treinamento e Conscientização: Confirme a existência de treinamentos regulares e programas de conscientização para garantir que todos os funcionários relevantes entendam e cumpram as políticas e procedimentos de log.

    1.5 Auditorias Internas: Verifique se existem auditorias internas regulares para avaliar a conformidade com as políticas e procedimentos de log. Os resultados das auditorias internas devem ser documentados, compartilhados com as partes interessadas e todas as não conformidades devem ser acompanhadas de um plano de ação com datas de correção.

    1.6 Resposta a Incidentes de Segurança: Verifique se há processos para responder adequadamente a incidentes de segurança identificados nos logs. Isso deve incluir a identificação, classificação, resposta e recuperação de incidentes, bem como medidas preventivas para evitar recorrência.

    1.7 Análise de Tendências: Avalie se a organização realiza análises de tendências regulares para identificar padrões incomuns ou suspeitos nos logs, o que pode auxiliar na detecção de atividades maliciosas ou falhas no sistema.

    A revisão das políticas e procedimentos de log é apenas um componente de uma auditoria de ITGC. Outras áreas, como segurança física e lógica, gerenciamento de mudanças, backup e recuperação de desastres, também devem ser consideradas.

    2. Geração de Registros de Log

    Certifique-se de que todos os sistemas e aplicações relevantes estejam configurados para produzir registros de log das atividades. Tais registros devem englobar tentativas de acesso (com sucesso e falhas), atribuição de privilégios administrativos, acesso a informações sensíveis e modificações no sistema ou nos parâmetros sistêmicos, entre outros.

    2.1 Configuração de Registros de Log: Os registros de log devem ser habilitados em todos os sistemas relevantes, aplicações, bases de dados e dispositivos de rede, os quais podem incluir servidores, bancos de dados, firewalls e sistemas de detecção/prevenção de intrusões. Assegure-se de que a configuração dos registros de log esteja alinhada às políticas e procedimentos estabelecidos pela organização.

    2.2 Conteúdo dos Registros de Log: Cada registro de log deve arquivar informações suficientes para permitir a identificação e análise de atividades suspeitas ou não autorizadas. As entradas de log devem, no mínimo, incluir: data e horário do evento; detalhes sobre o usuário ou sistema que disparou o evento; descrição do evento; resultado do evento (sucesso ou falha) e qualquer outro contexto relevante.

    2.3 Registros de Log de Atividades dos Usuários: Certifique-se de que os registros de log estão sendo gerados para as principais atividades dos usuários. Isso inclui tentativas de acesso (bem-sucedidas e fracassadas), alterações de configuração, acessos a arquivos ou dados sensíveis, alterações de permissões, entre outros.

    2.4 Registros de Log de Atividades do Sistema e Rede: Também é importante que sejam gerados registros de log para eventos do sistema e da rede. Isso abrange inicializações e desligamentos do sistema, mudanças nas configurações da rede e tentativas de conexões entrantes e saídas, por exemplo.

    2.5 Registros de Log de Erros e Falhas: Assegure-se de que estão sendo gerados registros de log para erros e falhas, os quais podem indicar problemas de segurança ou de desempenho, como, por exemplo, falhas de software, falhas de hardware ou uso excessivo de recursos.

    2.6 Formato dos Registros de Log: O formato dos registros de log deve permitir uma análise e revisão facilitadas. A utilização de formatos padronizados (como o formato Syslog) pode propiciar uma integração mais fácil com ferramentas de análise de log.

    2.7 Timestamp dos Registros de Log: Verifique se todos os registros de log estão recebendo marcação de data e hora (timestamp) e se o relógio do sistema está sincronizado em todos os sistemas e dispositivos para garantir a precisão da marcação temporal.

    2.8 Integridade dos Registros de Log: É fundamental proteger a integridade dos registros de log para evitar alterações não autorizadas. Para isso, pode-se adotar técnicas como a gravação de registros de log em um sistema ou meio de armazenamento de leitura única, uso de hash de log, assinaturas digitais, entre outros.

    2.9 Backup dos Registros de Log: Certifique-se de que os registros de log estão sendo salvos periodicamente e que esses backups estão sendo armazenados em local seguro para assegurar que os registros de log possam ser recuperados em caso de falha do sistema ou perda de dados.

    A configuração adequada para a geração de registros de log pode variar de acordo com as necessidades específicas da organização, os requisitos regulatórios e a natureza dos sistemas e aplicações utilizados.

    3. Análise Proativa de Registros de Log e de Acesso

    Manter um monitoramento proativo dos registros de log e de acesso é fundamental para garantir a segurança da informação. É essencial que a organização se empenhe em identificar padrões suspeitos e irregularidades antes que evoluam para problemas mais sérios.

    3.1 Frequência de Análise: A frequência com que as análises dos registros de log e de acesso são realizadas pode depender da natureza do negócio, bem como do tamanho e complexidade do ambiente de TI. No entanto, para uma gestão de segurança eficaz, essas análises devem ser feitas regularmente.

    3.2 Detalhamento da Análise: Certifique-se de que as análises de registros de log e de acesso sejam aprofundadas e detalhadas, incluindo aspectos como o nome do usuário, o registro de horário do login, tentativas bem-sucedidas e mal-sucedidas de login, alterações de privilégios, entre outros.

    3.3 Automatização da Análise de Registros: Considere a utilização de ferramentas automatizadas para auxiliar na análise de registros. Essas ferramentas podem identificar padrões anômalos e gerar alertas, facilitando o processo de análise.

    3.4 Identificação de Atividades Suspeitas: Esteja atento a tentativas de acesso a recursos ou dados não autorizados, logins fora do horário habitual de trabalho, tentativas de acesso de localizações incomuns e quaisquer outros comportamentos que pareçam anormais.

    3.5 Análise de Tendências: A análise de tendências nos registros de log e de acesso pode oferecer insights valiosos sobre as práticas de trabalho dos usuários e auxiliar na identificação de possíveis ameaças à segurança ou violações de conformidade.

    3.6 Documentação: Todas as atividades relacionadas à análise de registros, as descobertas e as ações tomadas devem ser documentadas de maneira completa e precisa para futuras auditorias e para manter um histórico de segurança da informação.

    3.7 Resposta a Incidentes: Caso a análise dos registros de log e de acesso revele algum incidente de segurança, é crucial que haja um plano de resposta a incidentes pronto para ser implementado. Esse plano deve incluir a identificação do incidente, contenção, eliminação da causa, recuperação e uma revisão pós-incidente.

    3.8 Foco em Contas Privilegiadas e Transações Críticas: A análise deve prestar atenção especial às contas com privilégios elevados, às transações críticas do sistema e ao acesso direto ou às alterações de dados nas bases de dados.

    A análise proativa de registros de log e de acesso é uma parte crucial das práticas de segurança de TI de uma organização, pois permite a identificação rápida e a resposta a qualquer atividade suspeita ou irregular.

    4. Gestão de Acesso e Privilégios

    Verifique se existem registros para rastrear tentativas de atribuição de privilégios administrativos a diferentes contas. Assegure-se também de que existam registros suficientes para monitorar as tentativas de acesso, especialmente para contas com elevados privilégios.

    4.1 Política de Acesso e Privilégios: A organização deve possuir políticas claras para a atribuição e administração de acesso e privilégios. Confirme se estas políticas detalham quem pode acessar o quê, em que circunstâncias, e quem está autorizado a conceder ou modificar privilégios.

    4.2 Atribuição de Privilégios: Avalie o modo como os privilégios são atribuídos. O ideal é que seja seguido o princípio do mínimo privilégio, o que significa que os usuários devem receber somente os privilégios necessários para desempenhar suas funções.

    4.3 Contas com Privilégios: Dê uma atenção especial às contas com elevados privilégios, como as de administrador ou superusuário (como a “root”, por exemplo). Verifique a maneira como essas contas são protegidas e monitoradas, e se o uso dessas contas é justificado e devidamente documentado.

    4.4 Revisões Periódicas de Acesso: As organizações devem realizar revisões periódicas dos direitos de acesso para garantir que eles continuem sendo apropriados. Assegure-se de que tais revisões estão sendo realizadas e de que as mudanças de acesso são devidamente autorizadas e documentadas.

    4.5 Registros de Atividades de Acesso: Garanta que as atividades de acesso estão sendo devidamente registradas, o que inclui tanto tentativas de acesso bem-sucedidas quanto malsucedidas, bem como qualquer alteração nos privilégios de acesso.

    4.6 Segregação de Funções (SoD): A segregação de funções é uma prática relevante para prevenir fraudes e erros. Ela implica que nenhuma pessoa deve ter controle total sobre um processo ou função crítica. Confirme se a política de SoD está em vigor e sendo respeitada.

    4.7 Acesso aos Registros de Log: Quem possui permissão para acessar e revisar os registros de log deve ser rigorosamente controlado para evitar a possibilidade de alteração ou exclusão não autorizada dos registros. Garanta que essas permissões estejam corretamente configuradas e monitoradas.

    4.8 Treinamento e Conscientização: Verifique se existem treinamentos regulares e programas de conscientização para garantir que todos os colaboradores relevantes compreendam e sigam as políticas e procedimentos de acesso e privilégios.

    Uma gestão eficaz de acesso e privilégios é fundamental para a segurança da informação. Os registros podem oferecer um panorama valioso das práticas de gestão de acesso e privilégios de uma organização.

    5. Monitoramento de Tentativas de Acesso Inválidas

    Verifique se o sistema registra e emite alertas acerca de tentativas de acesso inválidas, como tentativas reiteradas de login mal-sucedidas.

    5.1 Registros de Tentativas de Acesso Inválidas: A organização deve possuir um sistema capaz de registrar todas as tentativas inválidas de acesso, seja ao nível de sistema, aplicação ou rede. Esses registros devem incluir informações sobre a origem da tentativa, o horário, a conta de usuário envolvida e quaisquer detalhes de erro relevantes.

    5.2 Análise de Tentativas de Acesso Inválidas: A equipe de segurança da informação ou a pessoa responsável deve avaliar periodicamente os registros de tentativas de acesso inválidas para identificar possíveis ameaças ou vulnerabilidades. Isso pode englobar a detecção de tentativas de acesso reiteradas a partir de uma única origem, que pode ser um indicativo de um ataque de força bruta.

    5.3 Alertas de Acesso Inválido: O sistema deve ser capaz de emitir alertas em tempo real ou em proximidade para tentativas de acesso inválido. Tais alertas possibilitam uma resposta rápida a potenciais ameaças à segurança.

    5.4 Resposta a Tentativas de Acesso Inválidas: A organização precisa ter um plano de ação para lidar com as tentativas de acesso inválidas. Isso pode abranger a investigação do incidente, a adoção de medidas para bloquear o acesso da origem e a revisão das políticas e procedimentos de segurança, se necessário.

    5.5 Políticas de Bloqueio de Contas: Verifique as políticas de bloqueio de contas implementadas para prevenir tentativas repetidas de acesso inválido. A política deve especificar quantas tentativas inválidas são toleradas antes que a conta seja bloqueada e o procedimento para desbloquear a conta.

    5.6 Treinamento e Conscientização em Segurança: Os funcionários devem ser instruídos para reconhecer e reportar tentativas de acesso inválido. Isso pode incluir o reconhecimento de e-mails de phishing, o uso seguro de credenciais de login e a importância de notificar a equipe de segurança da informação sobre qualquer atividade suspeita.

    5.7 Revisões Periódicas: Execute revisões regulares das tentativas de acesso inválido e das respostas proporcionadas pela organização para assegurar que o sistema de monitoramento está operando de maneira efetiva.

    O monitoramento de tentativas de acesso inválido é um componente fundamental da segurança da informação. Ele pode auxiliar na detecção de ataques em progresso, identificar vulnerabilidades e proteger a organização contra perdas de dados ou interrupções de serviço.

    6. Avaliação Histórica de Acessos

    Execute uma análise histórica dos acessos ao ambiente de produção, assegurando-se de que todos foram devidamente autorizados e que existem registros de cada um deles.

    6.1 Coleta de Registros de Log de Acesso: Certifique-se de que a organização esteja coletando e armazenando de maneira adequada os registros de acesso. Isso engloba informações como quem tentou acessar o sistema, quando, de onde, e se a tentativa foi ou não bem-sucedida.

    6.2 Análise de Padrões de Acesso: A organização deve analisar periodicamente os padrões de acesso ao longo do tempo. Tal análise pode revelar informações valiosas, como uso incomum de recursos, tentativas de acesso fora do horário normal de trabalho, ou uso de contas inativas.

    6.3 Revisão dos Direitos de Acesso: Deve-se realizar uma revisão periódica dos direitos de acesso de cada usuário para garantir que cada indivíduo possua apenas o nível de acesso necessário para sua função. Isso é especialmente importante para usuários com privilégios elevados, como administradores.

    6.4 Monitoramento de Contas Inativas e Privilegiadas: Contas inativas (não utilizadas por um período prolongado) e contas privilegiadas (com acesso a informações sensíveis ou capacidade de fazer alterações significativas no sistema) devem ser monitoradas de forma rigorosa. Qualquer atividade nestas contas deve ser investigada.

    6.5 Correspondência com a Lista de Acessos Autorizados: Os registros de acesso devem ser periodicamente confrontados com a lista de acessos autorizados. Qualquer acesso não autorizado deve ser investigado e medidas corretivas, aplicadas.

    6.6 Verificação de Alterações de Acesso: Quaisquer modificações nos direitos de acesso de um usuário, como a concessão ou a revogação de privilégios, devem ser registradas e analisadas. Tais mudanças devem ser aprovadas por um indivíduo responsável que não seja a mesma pessoa que fez a alteração.

    6.7 Resposta a Acessos Não Autorizados: A organização deve possuir um plano de resposta para lidar com acessos não autorizados quando detectados. Isso pode incluir a investigação do incidente, a implementação de medidas corretivas e a revisão das políticas de segurança.

    A análise histórica de acessos é um componente crucial da segurança da informação e do controle de acessos. Ela auxilia na identificação de padrões suspeitos de comportamento, na proteção contra o uso não autorizado de contas e na garantia de que todos os usuários possuam apenas o nível de acesso necessário para suas funções.

    7. Gestão de Exclusão de Registros de Log

    Certifique-se de que existem políticas e procedimentos claros para a exclusão de registros de log, incluindo quem está autorizado a excluir esses registros e em que circunstâncias isso pode ocorrer.

    7.1 Políticas de Retenção de Registros de Log: É imprescindível que a organização possua uma política bem definida para a retenção de registros de log. Essa política deve determinar o período de tempo que os registros são mantidos antes de sua exclusão e como essa exclusão é realizada de forma segura. Além disso, as políticas precisam estar em conformidade com todas as regulamentações relevantes de privacidade e segurança.

    7.2 Procedimentos de Exclusão Segura: Procedimentos para a exclusão segura de registros de log precisam ser estabelecidos e seguidos à risca para evitar a recuperação não autorizada de informações. A eliminação segura geralmente inclui a sobrescrita de dados diversas vezes ou a destruição física dos dispositivos de armazenamento.

    7.3 Prevenção de Exclusão Prematura: Assegure-se de que existam mecanismos para impedir a exclusão prematura de registros. Isso pode englobar a implementação de controles de acesso para proteger contra alterações ou exclusões não autorizadas de registros de log.

    7.4 Backup de Registros de Log: Antes de excluir qualquer registro, é importante que eles sejam devidamente respaldados e armazenados em conformidade com a política de retenção de dados. Os respaldos devem ser realizados com regularidade e testados para garantir sua recuperação, caso necessário.

    7.5 Registro de Exclusões de Logs: Toda exclusão de registro de log deve ser registrada, incluindo quem realizou a exclusão, quando e por qual motivo. Isso fornece um histórico de auditoria para verificar se a política de exclusão de registros foi seguida corretamente.

    7.6 Revisão das Exclusões de Logs: As exclusões de registros de log devem ser revisadas periodicamente para assegurar que estejam em conformidade com a política estabelecida e que nenhum registro seja eliminado prematuramente ou sem a devida autorização.

    7.7 Treinamento de Funcionários: Os colaboradores precisam ser treinados quanto à política de retenção de registros de log e os procedimentos para sua exclusão segura. É fundamental também conscientizá-los sobre as consequências da exclusão não autorizada de registros.

    A gestão de exclusão de registros de log é um componente vital da administração de registros. No entanto, é crucial que seja realizada de maneira controlada e segura. A falha nesse processo pode resultar na perda de informações valiosas ou em violações de normas de privacidade e segurança.

    8. Proteção e Segurança de Registros de Log

    Analise a segurança dos registros de log, incluindo como são armazenados, quem possui acesso a eles e quais medidas de proteção estão em vigor para evitar modificações ou exclusões não autorizadas.

    8.1 Criptografia de Registros de Log: Registros que contêm dados sensíveis devem ser criptografados, seja em trânsito ou em repouso, para evitar o acesso não autorizado. A organização deve empregar algoritmos de criptografia robustos e uma gestão de chaves adequada.

    8.2 Controle de Acesso aos Logs: O acesso aos registros de log deve ser rigorosamente controlado e baseado no princípio do mínimo privilégio. Somente pessoal autorizado deve ter acesso aos registros, e este acesso deve ser restrito ao estritamente necessário para suas funções.

    8.3 Monitoramento de Acesso aos Logs: As atividades de acesso aos registros de log precisam ser monitoradas e registradas para possibilitar a detecção de qualquer atividade suspeita ou não autorizada. Qualquer acesso irregular aos registros deve ser imediatamente investigado.

    8.4 Armazenamento Seguro de Logs: Os registros de log devem ser guardados em locais seguros e protegidos. Isso pode envolver o uso de sistemas de armazenamento seguros e a implementação de proteções físicas para prevenir o acesso não autorizado.

    8.5 Proteção contra Modificação: É necessário proteger os registros de log contra modificações não autorizadas. Isso pode ser obtido por meio de medidas como a implementação de controles de acesso, o uso de assinaturas digitais e a utilização de ferramentas para garantir a integridade dos arquivos.

    8.6 Recuperação de Desastres e Continuidade de Negócios: É imprescindível que haja planos em vigor para a recuperação dos registros de log em caso de desastre. Isso pode envolver o uso de backups regulares e redundância de sistemas.

    8.7 Conformidade com Regulamentos de Privacidade: Os processos de proteção de registros de log devem estar em conformidade com todos os regulamentos relevantes de privacidade e segurança, incluindo requisitos para o tratamento de dados pessoais e sensíveis.

    8.8 Auditorias de Segurança de Logs: Devem ser realizadas auditorias periódicas para verificar a eficácia das medidas de proteção dos registros de log. Isso deve envolver a revisão de políticas e procedimentos, a verificação de conformidade e a realização de testes de penetração ou avaliações de vulnerabilidades.

    Garantir a proteção e a segurança dos registros de log é fundamental para preservar a integridade dos dados e a confiança na infraestrutura de TI de uma organização.

     

    Em caso de dúvidas ou queira contribuir com o assunto, fique à vontade e use a caixa de comentários mais abaixo 🙂

     

    * * * * *

     

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.