Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com SST Schirigatti, Jackson Luis Auditoria de Sistemas / Jackson Luis Schirigatti Ano: 2020 nº de p. : 10 Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com Auditoria de Sistemas 3 Apresentação Neste momento, estudaremos os fundamentos de auditoria de sistemas, a importância da segurança dos ativos da informação nas organizações, os tipos de crimes e as medidas de segurança da informação. Em segundo momento, veremos os tipos de auditoria quanto à abordagem e ao órgão fiscalizador e de forma combinada ou articulada. Por fim, compreenderemos as atribuições de um auditor. Fundamentos de auditoria de sistemas A comunicação sobre os riscos inicialmente ficava a cargo de pessoas ou de um grupo de pessoas restrito à área. Ocasionava, em muitos casos, que parte do conhecimento ficasse perdido. Nos dias de hoje, é necessário selecionar o que realmente é importante, útil e relevante no que diz respeito às informações às quais nos expomos diariamente. Com a gama de recursos cada vez mais versáteis e com a flexibilidade que a tecnologia nos fornece, nossos dados, informações e conhecimentos são mediados pela tecnologia da informação e tornaram-se mais dependentes dos sistemas e, consequentemente, mais vulneráveis. A informação é um ativo intangível da organização. Assim como os ativos tangíveis e financeiros, a organização deve dedicar sua atenção à segurança desse recurso, que é a informação de que dispõem. Falhas e desastres em sistemas de informação podem levar a grandes prejuízos e até mesmo à falência de uma empresa. Reflita Gordon e Ford (2006) definem como crime cibernético qualquer crime facilitado ou realizado com utilização de computadores, redes ou hardware. Os autores propõem que haja dois grandes tipos de crimes: Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 4 Tipo I Requer um número limitado de eventos e muitas vezes é facilitado pelo uso de keyloggers ou cavalos de troia. Esse tipo de crime tem o objetivo de ganhos financeiros por meio de captura de informações confidenciais dos usuários, quando os criminosos podem utilizar essas informações para realizar as fraudes. Tipo II Esse tipo requer múltiplos eventos e não raras vezes são realizados com a utilização de softwares não maliciosos, como os programas de mensagens instantâneas. Atores do tipo II tendem a ter um motivo pessoal ou político, como perseguição ou terrorismo cibernético. Esse tipo de crime pode causar perdas financeiras às suas vítimas. Na análise de riscos, observa-se o resultado das pesquisas realizadas por setores, em que empresas são requeridas a escolher três principais medidas de segurança da informação no seu planejamento anual, conforme com o quadro a seguir. Medidas em segurança da informação de acordo com a 10ª Pesquisa Nacional de Segurança da Informação (2010). Comércio • Política de segurança; • Análise de riscos no ambiente de TI; • Capacitação da equipe técnica. Financeiro • Adequação às normas; • Regulamentações e legislação; • Análise de riscos no ambiente de TI; • Certificado digital. Governo • Campanha de sensibilização e responsabilização de funcionários; • Análise de riscos no ambiente de TI; • Adequação às normas; • Regulamentações e legislação. Indústria • Análise de vulnerabilidades; • Análise de riscos no ambiente de TI; • Campanha de sensibilização e responsabilização de funcionários. Serviços • Análise de riscos no ambiente de TI; • Análise de vulnerabilidades; • Política de segurança. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 5 Telecomunicações • Adequação às normas; • Regulamentações e legislação; • Análise de riscos no ambiente de TI; • Plano de continuidade. Fonte: Módulo Technology for Risk Management ([s.d.], [s.p.]). Como resultado dessas pesquisas, a tecnologia da informação contribui para minimizar as perdas e potencializar os investimentos na corporação. A auditoria de sistemas da informação, juntamente com seu planejamento, deixou de ser apenas técnica e requer comprometimento com a informação também dos demais gestores. É com esse trabalho de equipe e uma cultura de controle de riscos em todos os setores da organização que se encontram as melhores alternativas para manter a segurança da informação de forma compatível com seu valor dentro da organização (Freitas, 2000). Tipos de Auditoria As auditorias estão em entendimento com diversos critérios, como o objetivo, a periodicidade e o posicionamento do auditor e órgão fiscalizador. A finalidade das auditorias pode estar relacionada à necessidade de verificar falhas em processos para que possam ser corrigidos. A frequência com que são feitas as auditorias está relacionada à necessidade ou ao tipo de negócio. Bueno Neto e Solonca (2007) apresentam um quadro com três tipos de classes inclusivas de auditoria, separando-as em forma de abordagem, de órgão fiscalizador e área envolvida. Assim, oferecem uma extensa visão de diversos tipos de auditoria existentes. Quanto à forma de abordagem temos: Auditoria horizontal – auditoria de tema específico, realizada em várias entidades ou serviços, simultaneamente. Auditoria orientada – enfatiza uma atividade específica ou atividades com fortes indicativos de fraudes ou erros. Quanto ao órgão fiscalizador: Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 6 Auditoria interna Com a crescente demanda de operações e negociações, aumentou, também, a necessidade da utilização de normas e procedimentos para controles internos das empresas. Uma vez que o proprietário ou administrador não teria tempo ou não poderia cumprir essa tarefa, nomeia-se um auditor interno, cuja principal função é verificar se essas normas vêm sendo cumpridas. Juntamente a essa função, o auditor interno, frequentemente um funcionário da empresa, executa auditoria contábil e operacional. Geralmente, em empresas de grande porte, é criado um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos para que seja feita a auditoria interna frequentemente, com o objetivo de reduzir a probabilidade de fraudes, erros, práticas ineficientes, ineficazes ou desnecessárias. É necessário que o auditor tenha independência dentro da entidade para que tenha acesso a todos os setores da empresa e preste contas diretamente à classe executiva da corporação. Auditoria externa Essa auditoria é realizada por um profissional ou uma entidade externa e independente da empresa auditada. Ela tem como objetivo emitir um parecer sobre a gestão de recursos da entidade, de como está sua situação financeira, a legalidade e a regularidade de operações e negociações. Como o objetivo dessa auditoria é o de emitir uma resposta sobre as demonstrações contábeis, observa-se que a auditoria externa não é realizada para detectar fraudes, erros ou que seja de uso para interferir na administração da empresa, nem reorganizar o processo produtivo ou mesmo demitir pessoas ineficientes. O auditor poderá encontrar fraudes ou erros no decorrer do processo de auditoria, porém não é esse o seu objetivo. Seu objetivo é emitir um retorno da avaliação em forma de laudo técnico. Auditoria articulada Trabalha em conjunto com auditorias internas e externas. Normalmente utilizada quando há grande demanda de responsabilidades por parte dos órgãos auditores. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 7 Pode ser bastante eficiente, uma vez que se caracteriza pelo uso comum de recursos e comunicação bilateral dos resultados. Em seu livro, Lyra (2008) apresenta as vantagens e as desvantagens encontradas tanto no escritório quanto no comitê de segurança da informação: No escritório de segurança da informação, podemos encontrar vantagens como a disponibilidade da equipe em um local fixo, a disponibilidadeda equipe em tempo integral e as atribuições da equipe estarem focadas em segurança da informação. Segurança da informação. Fonte: Plataforma Deduca (2020). E como desvantagens há o custo com local físico e equipamentos e o custo com pagamento de pessoal específico para segurança de informação. Em um comitê de segurança da informação encontramos como vantagens o custo inexistente de pagamento para pessoal específico de segurança da informação e o custo inexistente com local físico. Entre as desvantagens, não há disponibilidade de tempo integral da equipe e há o fato de a equipe dispor de diversas atribuições além de segurança da informação. Dentre as áreas que poderão ser envolvidas dentro das auditorias, podemos citar: • Auditoria para os programas de governo: realiza o acompanhamento, exame e a avaliação da execução de programas e projetos governamentais. Também verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias estão sendo respeitadas. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 8 • Auditoria administrativa: engloba o plano da organização, os procedimentos adotados, bem como diretrizes e documentos de suporte à tomada de deci- são. • Auditoria contábil: relativa à fidelidade das contas da entidade, essa auditoria pode fornecer certa garantia de que as operações e o acesso aos ativos sejam efetuados de acordo com as autorizações previamente acertadas. • Auditoria financeira: consiste em analisar as contas, a situação financeira, a legalidade e regularidade das operações e questões contábeis, financeiras, orçamentários e patrimoniais. Deve verificar se todas as operações foram cor- retamente autorizadas, finalizadas, ordenadas, pagas e registradas. • Auditoria operacional: reflete em todos os níveis de gestão, desde as fases de programação, execução e supervisão, sob uma visão econômica, eficiente e produtiva. Analisa, também, a execução das decisões tomadas e considera se os resultados pretendidos foram atingidos. • Auditoria da tecnologia da informação: esse tipo de auditoria é basicamente operacional. É com ela que os auditores analisam os sistemas de informática, o local informatizado, a segurança de informações e o controle interno da entidade, identificando seus pontos fortes e fracos (NBC TA 200) (CFC, 2012). Atribuições do auditor Um auditor deve dominar alguns atributos. Dele espera-se que: • seja capaz de tomar decisões; • tenha rigidez e autoconfiança; • seja ético, educado e bem instruído; • tenha versatilidade, diplomacia, seja perceptivo e observador e tenha a mente aberta; • esteja sempre de acordo com os requisitos da organização; • participe na produção da programação da auditoria e conduza-a de forma apropriada; • registre e relate as constatações, conclusões e relatórios; • também mantenha a independência, confidencialidade e os registros de audi- toria. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 9 É de sua responsabilidade aplicar práticas de auditoria com imparcialidade na sua execução, considerando que seu objetivo não é complicar os processos dentro da organização, mas facilitá-los. Precisa lidar com responsabilidade e princípios éticos perante os clientes, verificando a eficiência e onde será analisada a utilização dos recursos de computação reservados aos sistemas. Esses recursos são compreendidos por softwares, hardwares e profissionais envolvidos, observando o resultado correto no tempo programado. De acordo com Henrique (2011), deve-se agir com independência no que se refere à investigação e produção do relato, atestando a segurança física e lógica, quando são avaliados a segurança física e o ambiente no qual está estruturado o Sistema de Informação (SI), além da confiabilidade das pessoas que o usam. No que diz respeito à segurança lógica, compreende avaliar o nível de segurança empregado com recursos tecnológicos nos processos de determinados sistemas, como a utilização de firewalls, antivírus, antispam e outros. Fechamento Chegamos ao final do estudo sobre auditoria de sistemas e compreendemos que a atividade de auditoria é vital para a garantia da segurança dos ativos de segurança da informação. Vimos que a auditoria é necessária para a verificação de falhas em processos e para que estes possam ser corrigidos. Compreendemos que as auditorias podem ser classificas por abordagens como a horizontal e orientada, por órgão fiscalizador, como a auditoria interna, externa e articulada. Por último, vimos as principais atribuições do auditor, como capacidade de decisão, ética e versatilidade, de acordo com os requisitos da organização. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 10 Referências BUENO NETO, A.; SOLONCA, D. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007. CONSELHO FEDERAL DE CONTABILIDADE (CFC). Normas Brasileiras de Contabilidade: NBC TA 200 – de auditoria independente: NBC TA estrutura conceitual, NBC TA 200 a 810. Brasília: Conselho Federal de Contabilidade, 2012. FREITAS, H. As tendências em Sistemas de Informação com base em recentes congressos. ReAd, Porto Alegre, n. 13, fev. 2000. Disponível em: http://read.adm. ufrgs.br. Acesso em: 13 nov. 2017. GORDON, S.; FORD, R. On The Definition And Classification Of Cybercrime. Journal in Computer Virology, p. 13-20, 2006. HENRIQUE, F. Profissão TI: Auditor de Sistemas. 2011. Disponível em: https:// dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/. Acesso em: 13 nov. 2017. LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. MÓDULO TECHNOLOGY FOR RISK MANAGEMENT. 10ª Pesquisa Nacional da Segurança da Informação. [S.l.], [s.d.]. Disponível em: https://pt.scribd.com/ document/44878779/10a-Pesquisa-Nacional-1. Acesso em: 16 out. 2020. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com http://read.adm.ufrgs.br http://read.adm.ufrgs.br https://dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/ https://dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/ https://pt.scribd.com/document/44878779/10a-Pesquisa-Nacional-1 https://pt.scribd.com/document/44878779/10a-Pesquisa-Nacional-1
Compartilhar