A01_AuditoriaSistemas_WebAulas

Prévia do material em texto

Auditoria de Sistemas 
Prof. André Moura 
Com o processo da globalização e a velocidade dos avanços tecnológicos, a busca por informação se tornou alvo 
comum de toda a sociedade. As grandes empresas não mais sobrevivem sem o uso de um sistema bem formulado, e 
com eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e distorções nas informações das 
empresas, em conseqüência de sistemas mal testados, documentação deficiente e, em certos casos, da pouca 
importância dada ao emprego da tecnologia de informação (TI). 
Para assegurar a integridade, confiabilidade, confidencialidade e disponibilidade das informações, tornam-se 
necessárias medidas de controle e segurança de sistemas de informação em operação. 
Cabe à auditoria de sistemas de informação validar e avaliar os resultados gerados pelos sistemas informatizados, a 
eficiência dos processos envolvidos e a segurança das informações. 
Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a uma auditoria de sistemas de 
informação e destaca as etapas necessárias para realização da auditoria, bem como os controles a serem verificados 
em um processo real de trabalho. 
Ao final dessa disciplina você será capaz de: 
•Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação 
•Saber preparar um plano de contingências 
•Saber definir uma política de segurança 
•Identificar e empregar ferramentas e técnicas que podem vir a ser utilizadas em um processo de auditoria. 
•Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução. 
•Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização 
•Realizar auditoria de sistemas de informação 
•Preparar o relatório final da auditoria. 
Aula 1: Auditoria De Sistemas De Informação – Abordagem Inicial 
Nesta aula, você irá: 
 
1 - Saber o que é Auditoria de Sistemas; 
2 - Conhecer o papel e o perfil do auditor de sistemas; 
3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI); 
4 - Entender o comportamento e a ética de um auditor. 
 
 
 
 
Perfil do auditor de Sistemas 
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão 
abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários 
do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para 
saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto 
fugir de seu domínio tal como assuntos legais. 
Seu comportamento deve ser condizente com quem tem autoridade no assunto. 
E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um 
auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de 
operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado, deve ser sua 
maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido 
berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que 
qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de 
alguém em tão alto posto no organograma da empresa. 
Recomendação!!! Nada de Agradinhos. 
Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar 
presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar 
alguma vulnerabilidade encontrada nos sistemas. 
 
 
 
 
 
 
 
 
 
Biblioteca Técnica 
 
 
 
 
 
 
 
Abordagem ao redor do computador: 
 
Abordagem através do computador: 
 
Abordagem com o computador: 
 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos 
estados Unidos, os padrões são: 
 
 
 
 
 
 
 
Código De Ética Profissional (ISACA) 
A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para 
guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros 
da ISACA devem: 
Livro 1: Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento; 
Livro 2: Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões 
profissionais e melhores práticas; 
Livro 3: Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra 
ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta 
e caráter profissional, e não encorajar atos de descrédito à profissão; 
Livro 4: Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto 
quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a 
pessoas desautorizadas; 
 
Livro 5 : 
 
Livro 6: 
 
Livro 7: 
Qualificação Profissional 
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus 
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas 
organizações certificadoras: 
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de Sistemas 
de Informação (ISACA Certified Information Systems Auditor – CISA) 
British Computer Society – Exame da Sociedade Britânica de Informática 
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualification 
in Computer Auditing). 
 
 
Nesta aula, você: - - - 
 Conheceu o que é Auditoria de Sistemas; 
 Distinguiu o papel e o perfil do auditor de sistemas; 
 Identificou tipos de auditorias da Tecnologia da Informação (TI); 
 Entendeu o comportamento e a ética de um auditor de sistemas. 
Na próxima aula, você estudará sobre Planos de Contingência (Atividades a serem executadas na eventualidade de 
ocorrência de um dano, a fim de manter a continuidade dos negócios da empresa), constituído de três subplanos: 
 Plano de backup; 
 Plano de emergência; 
 Plano de recuperação.