Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas Prof. André Moura Com o processo da globalização e a velocidade dos avanços tecnológicos, a busca por informação se tornou alvo comum de toda a sociedade. As grandes empresas não mais sobrevivem sem o uso de um sistema bem formulado, e com eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e distorções nas informações das empresas, em conseqüência de sistemas mal testados, documentação deficiente e, em certos casos, da pouca importância dada ao emprego da tecnologia de informação (TI). Para assegurar a integridade, confiabilidade, confidencialidade e disponibilidade das informações, tornam-se necessárias medidas de controle e segurança de sistemas de informação em operação. Cabe à auditoria de sistemas de informação validar e avaliar os resultados gerados pelos sistemas informatizados, a eficiência dos processos envolvidos e a segurança das informações. Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a uma auditoria de sistemas de informação e destaca as etapas necessárias para realização da auditoria, bem como os controles a serem verificados em um processo real de trabalho. Ao final dessa disciplina você será capaz de: •Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação •Saber preparar um plano de contingências •Saber definir uma política de segurança •Identificar e empregar ferramentas e técnicas que podem vir a ser utilizadas em um processo de auditoria. •Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução. •Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização •Realizar auditoria de sistemas de informação •Preparar o relatório final da auditoria. Aula 1: Auditoria De Sistemas De Informação – Abordagem Inicial Nesta aula, você irá: 1 - Saber o que é Auditoria de Sistemas; 2 - Conhecer o papel e o perfil do auditor de sistemas; 3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI); 4 - Entender o comportamento e a ética de um auditor. Perfil do auditor de Sistemas O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto fugir de seu domínio tal como assuntos legais. Seu comportamento deve ser condizente com quem tem autoridade no assunto. E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado, deve ser sua maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de alguém em tão alto posto no organograma da empresa. Recomendação!!! Nada de Agradinhos. Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar alguma vulnerabilidade encontrada nos sistemas. Biblioteca Técnica Abordagem ao redor do computador: Abordagem através do computador: Abordagem com o computador: Padrões e Código de Ética para a Auditoria de Sistemas de Informação Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos estados Unidos, os padrões são: Código De Ética Profissional (ISACA) A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros da ISACA devem: Livro 1: Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento; Livro 2: Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões profissionais e melhores práticas; Livro 3: Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão; Livro 4: Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas; Livro 5 : Livro 6: Livro 7: Qualificação Profissional Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas organizações certificadoras: Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de Sistemas de Informação (ISACA Certified Information Systems Auditor – CISA) British Computer Society – Exame da Sociedade Britânica de Informática Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualification in Computer Auditing). Nesta aula, você: - - - Conheceu o que é Auditoria de Sistemas; Distinguiu o papel e o perfil do auditor de sistemas; Identificou tipos de auditorias da Tecnologia da Informação (TI); Entendeu o comportamento e a ética de um auditor de sistemas. Na próxima aula, você estudará sobre Planos de Contingência (Atividades a serem executadas na eventualidade de ocorrência de um dano, a fim de manter a continuidade dos negócios da empresa), constituído de três subplanos: Plano de backup; Plano de emergência; Plano de recuperação. Aula 2: Planos De Contingência – Gerenciar Mudanças Ou Surpresas? Nesta aula, você irá: 1. Conhecer o que é um plano de contingência; 2. Identificar ameaças e desenvolver suas respostas de risco; 3. Desenvolver uma matriz de risco; 4. Tomar ciência de processos/sistemas críticos de uma área/empresa. Gerenciando Mudanças Para quem observou a tragédia ocorrida em 11 de setembro de 2001 em Nova York, foi possível perceber que, poucos minutos após a explosão do segundo edifício, o trânsito na ilha estava liberado apenas para ambulâncias e o corpo de bombeiros. Vocês pararam para pensar como eles conseguiram se organizar tão rapidamente? Posso jurar que havia um plano de contingência da prefeitura da cidade de Nova York para a evacuação das ruas, permitindo apenas o trânsito de ambulâncias e do corpo de bombeiros. Bastou que fosse decretado estado de emergência para trânsito nas ruas, que todas as pessoas envolvidas na organização para deixar as ruas livres atuassem como havia sido previamente planejado (só complementando o exemplo, na construção das duas torres gêmeas foi pensada a hipótese de choque aéreo, considerando um impacto com tanque cheio do maior avião existente na época). Isto é um plano de contingência: uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço. Estas ações são definidas antes que os riscos ocorram.Na tranquilidade, podemos imaginar as consequências e o que será necessário fazer para restabelecermos a ordem. Teremos calma e tempo para contactarmos fornecedores, treinarmos pessoas a evacuarem locais e definirmos locais alternativos para trabalharmos na eventualidade de não podermos acessar nossos escritórios. Normalmente, as catástrofes têm baixa frequência de ocorrência, altos riscos de incerteza, mas, se ocorrem, suas consequências podem ser devastadoras. Nesta aula, você: Conheceu o que é um plano de contingência; Tornou-se apto a identificar ameaças e a desenvolver suas respostas de risco; Aprendeu como desenvolver uma matriz de risco; Tomou ciência de processos/sistemas críticos de uma área/empresa. Na próxima aula, você estudará sobre as fases para a realização de uma auditoria: Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up. 1. O Plano de Emergência: 1) provê recursos para sua execução, contém respostas de risco e provê meios de frear o dano. 2) provê recursos para frear o dano, contém informações que atualizam a biblioteca externa e é acionado após aprovação. 3) contém respostas de risco, provê recursos de backup e atualiza a biblioteca externa. 4) contém respostas de risco, é acionado quando ocorre uma ameaça e informa quem deve acionar o mesmo. 5) é acionado quando ocorre uma ameaça, provê recursos de back-up e contém respostas de risco. 2. Sistemas críticos são aqueles: 1) sujeitos à aprovação da crítica dos gerentes da área usuária. 2) essenciais para manter a continuidade do serviço. 3) opcionais para determinar o escore de risco. 4) definidos após brainstorming crítico do cliente. 5) elaborados para serem acionados em sistemas de emergência. 3. Um plano de contingência é necessário para: 1) gerenciar os sistemas do Departamento de Sistemas. 2) minimizar defeitos nos sistemas. 3) reduzir a descontinuidade de rotinas. 4) assegurar a documentação do schedule da produção. 5) dar manutenção aos sistemas críticos. 4. Ao se fazer um plano de backup devemos: 1) excluir os sistemas críticos. 2) identificar as respostas de risco. 3) identificar recursos necessários para o plano de emergência. 4) solicitar ordem de serviço para execução do plano de emergência. 5) contratar pessoas para executarem o plano de emergência. Aula 3: Realizando Uma Auditoria Nesta aula, você irá: 1. Conhecer as fases de uma auditoria; 2. Saber como planejar uma auditoria; 3. Aprender como conduzir a execução de uma auditoria; 4. Saber como comunicar as falhas encontradas para os auditados; 5. Entender a importância do follow-up (acompanhamento). O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado, além da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle por dia, mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de mesma pertinência para serem verificados ao mesmo tempo. Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, documentação, preparação de fluxos de sistemas, testes, execução de walkthroughs – representação gráfica de todo o ambiente computacional sob auditoria), planejamento, análise de risco, avaliação de ponto de controle, confecção de observações, viagem de projeto, familiarização com o projeto), devemos considerar atividades não específicas de auditoria (viagens, treinamento de auditoria, ausência, atividades administrativas, interface com auditoria externa, reuniões outras que não as do projeto) para efeito de determinação dos prazos. Saiba mais: Não deixe de verificar o conteúdo do link www.iso27001security.com onde você poderá encontrar todos os critérios solicitados na norma ISO 27000, Information Security Management Systems (Sistemas de Gerenciamento de Segurança da Informação), que visa proteger a confidencialidade, integridade e disponibilidade da informação. Nesta aula, você: Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e follow- up dos acertos das falhas encontradas na auditoria; Aprendeu a planejar uma auditoria; Aprendeu como conduzir a execução de uma auditoria; Aprendeu como comunicar as falhas encontradas para os auditados; Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na auditoria. Na próxima aula, você estudará sobre ferramentas de auditoria. 1. Um ponto de controle é: 1) um ponto de auditoria recusado. 2) uma unidade de controle a ser auditada. 3) um processo a ser definido. 4) um arquivo de dados. 5) um controle de negócio inválido. 2. Assim que o auditor descobre uma falha em um sistema ele: 1) conserta a falha. 2) a registra internamente para posterior uso no relatório de auditoria. 3) informa-a verbalmente ao auditado para depois enviar comunicação por escrito. 4) sugere modo de acerto da mesma. 5) inclui a falha no relatório de auditoria. 3. O relatório de auditoria: 1) é emitido a cada falha encontrada. 2) deve ser discutido previamente com os auditados. 3) contém os dados testados na auditoria. 4) não admite discordância dos auditados. 5) considera, para efeito de nota, todas as fraquezas encontradas na auditoria. 4. Um conjunto de rotinas e arquivos de controle que permitem a reconstrução de dados ou procedimentos é chamado de: 1) controle interno. 2) ponto de controle. 3) ponto de auditoria. 4) walkthrough. 5) trilha de auditoria.
Compartilhar