Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Auditoria de Sistemas Prof. M.Sc. Marcelo Tomio Hama 1 AULAS 13 e 14 Auditoria de Sistemas - Metodologias de Auditoria de SI - Ferramentas de Auditoria de SI - Técnicas de Auditoria de SI - Melhores Práticas de Auditoria de SI 2 Segurança e Auditoria de Sistemas Auditoria de Sistemas Deve proporcionar a organização: - Adequação - Revisão - Avaliação - Recomendações para o aprimoramento dos seus SI Deve avaliar o uso dos recursos: - Humanos - Materiais - Tecnológicos Envolvidos no processamento dos mesmos. Introdução Fundamentos em Auditoria de SI 4 Auditoria de SI Deve oferecer evidências de que os SI - Suportam adequadamente os ativos de negócios, - Mantendo a integridade dos dados, - Alcançando os objetivos esperados, - Utilizando eficientemente os recursos e, - Cumprindo com as regulamentações e leis estabelecidas. Fundamentos em Auditoria de SI 5 Deve envolver todos os sistemas da empresa: Operacional, Tático ou Estratégico. Fundamentos em Auditoria de SI 6 O COBIT define que os objetivos da Auditoria de SI devem considerar: - Efetividade - Eficiência - Confidencialidade - Integridade - Disponibilidade - Compliance - Confiança Objetivos Globais da Auditoria de SI 7 Integridade: Correção e completude evidenciados Confidencialidade: Só pessoas autorizadas acessam; Privacidade: Funções incompatíveis estão segregadas. Somente se acessa o que é necessário Acuidade: As transações podem ser validadas. Consistência na entrada de dados Disponibilidade: Sistema acessível quando necessário Auditabilidade: Logs e trilhas de auditoria Versatilidade: Deve ser amigável e flexível às mudanças Manutenibilidade: Controles e procedimentos em sua manutenção (contaminação, remendos, etc.) Tipos de Auditoria de SI 8 Durante o desenvolvimento de sistemas devemos auditar a construção desde os requisitos até a implantação, incluindo o desenvolvimento (ISO 15408). Tipos de Auditoria de SI 9 A auditoria também deve ocorrer em Sistemas em Produção, quanto aos resultados, segurança, correção e tolerância a falhas. Resultados Segurança Correção Tolerância a Falhas Tipos de Auditoria 10 Ambiente Tecnológico Eventos Específicos Análise de causas, consequências e ações necessárias em eventos não cobertos em auditorias anteriores. Estrutura Organiza cional Contra tos Norm as Técnic as Custos Uso de Equipam entos Planos de Contingê ncia e Seguranç a Metodologia de Auditoria em SI 11 Flexível e aderente às diversas modalidades da auditoria em SI e alinhada com as boas práticas de auditoria do mercado. Recomenda-se as seguintes fases: Metodologia de Auditoria em SI 12 Planejamento e controle do projeto de auditoria de SI: - A partir de diretrizes da direção, estabelecer ações, recursos necessários; - Dois Grupos: - 1º grupo com o corpo gerencial, definirá procedimentos e Follow-Up; - 2º grupo formado por auditores e técnicos de Informática que executam a auditoria efetivamente; - Recomenda-se utilizar padrões de mercado como o PMBOK. Metodologia de Auditoria em SI 13 Levantamento do sistema de informação a ser auditado: - Definido o escopo do trabalho, levanta-se as informações necessárias sobre o sistema a ser auditado; - Levantamento macro através de entrevistas e análise da documentação; - Ferramentas úteis podem ser DFD, MER, Dicionário de dados, use cases, diagramas de classe e sequência, diagramas de integração de sistemas (explicam o seu funcionamento); - Define a abrangência da auditoria. Identificação e Inventário dos Pontos de Controle: - Podem ser identificados em documentos de entrada, relatórios de saídas, telas, arquivos, BD's, integrações, etc; - Devem ser relacionados e descritos quanto ao controle interno e funções que exercem no sistema; - Identificar parâmetros, pontos fracos e técnicas de auditoria adequadas a sua validação; - Deve ser validado pelo grupo de coordenação do Projeto de Auditoria. Metodologia de Auditoria em SI 14 Priorização e seleção dos pontos de controle do SI auditado: Selecionar e priorizar pontos definidos na etapa anterior baseados em: - Grau de risco do ponto: Prejuízos que podem gerar no sistema a curto, médio e longo prazo; - Existência de ameaças: Priorizar os sob forte ameaça; - Disponibilidade de recursos: Pontos que podem ser auditados com os recursos disponíveis; Reavaliar a priorização ao longo do trabalho para confirmar a ordenação estabelecida. Avaliação dos pontos de controle: É a auditoria em si. Nos testes devem ser aplicadas técnicas adequadas a cada ponto de controle que evidenciem falhas ou fraquezas. Metodologia de Auditoria em SI 15 Conclusão da Auditoria: Elaborar relatório com os resultados, qualquer que seja, refletindo o diagnóstico dos pontos de controle. As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas recomendações para sua solução ou mitigação. Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e usuários responsáveis. Metodologia de Auditoria em SI 16 Acompanhamento da Auditoria: O acompanhamento (Follow-Up) da auditoria deve ser realizado até que todas as recomendações tenham sido executadas e as fraquezas eliminadas ou mitigadas em um nível aceitável pela organização. Ferramentas de Auditoria em SI 17 Aliados para a extração, classificação e seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e desvios. Estas ferramentas podem ser categorizadas em: - Ferramentas Generalistas de auditoria de Tecnologia da Informação; - Ferramentas Especializadas de auditoria; - Programas utilitários em geral. Ferramentas de Auditoria em SI 18 Ferramentas generalistas de auditoria de Tecnologia da Informação Softwares que podem processar, simular, analisar amostras, gerar estatísticas, sumarizar, apontar duplicidades e outras funções necessárias ao auditor. - ACL (Audit Command Language) – Software canadense para extração e análise de dados (www.acl.com); - Pentana – Software de planejamento estratégico de auditoria, com planejamento e monitoramento de recursos, controle de horas, check-lists, programas de auditoria como desenho e gerenciamento de plano de ação (www.pentana.com). http://www.acl.com http://www.pentana.com Ferramentas de Auditoria em SI 19 Ferramentas generalistas de auditoria de TI: Vantagens em utilizá-las: - Processar vários arquivos simultaneamente; - Processar arquivos em formatos diferentes; - Integração sistêmica com vários tipo de software e hardware; - Reduz a dependência do auditor em relação ao pessoal de TI. Desvantagens em utilizá-las: - Em geral podem ser utilizadas no ambiente online; - Por serem generalistas, podem não atender em casos mais complexos, que exijam, por exemplo, cálculos complexos. Ferramentas de Auditoria em SI 20 Ferramentas especializadas de auditoria: Desenvolvidos especificamente para executarem tarefas em circunstâncias definidas. Desenvolvidos pelo auditor, por especialista da empresa ou por terceiro contratado para isso. Feito sob medida (Taylor Made). Vantagem em seu uso é atender demandas específicas como Financeiro (crédito imobiliário, leasing, cartão de crédito, etc.) ou outras áreas de mercado que assim o exijam; Como desvantagens podemos apontar o seu custo de desenvolvimento e o processo de atualização da ferramenta ao longo do tempo. Ferramentas de Auditoria em SI 21 Programas utilitários em geral: Softwares utilitários de uso geral para classificar arquivos, concatenar textos, sumarizar, gerar relatórios. Sendo de uso geral, não possuem recursos necessários a auditoria como por exemplo a verificação de totais de controle ou gravação de trilhas de auditoria; Vantagem: Ser utilizado como uma solução alternativa na falta de um recurso mais específico; Desvantagem: Haverá a necessidade de apoio do usuário e de TI. Técnicas de Auditoria em SI 22 Técnicas de Auditoria, nada mais são do que as várias metodologiasadotadas para esse fim. Embora existam muitas, procuramos focar em algumas delas como base para esta primeira abordagem: - Dados de teste; - Facilidades de teste integrado; - Simulação paralela; - Lógica de auditoria embutida nos sistemas; - Rastreamento e mapeamento; - Análise da lógica de programação. Técnicas de Auditoria em SI 23 Dados de Teste Chamados também de "test data" ou "testdeck", faz uso de dados especialmente preparados com o objetivo de testar as funcionalidades de entrada de dados. Implica em um volume e combinação abrangente de dados e normalmente é utilizado em um ambiente batch ou de testes; Vantagens: Não requer conhecimento de TI na sua elaboração e podem ser utilizados softwares para isso; Desvantagens: Dificuldade em conceber uma massa de testes que cubra todas as combinações de transações possíveis no ambiente de negócios da organização. Técnicas de Auditoria em SI Facilidade de Teste Integrado Chamado também de Integrated Test Facility, realizado em ambientes online e realtime, quando os dados de testes são introduzidos no ambiente de produção. Envolve a introdução de funcionários fantasmas na folha de pagamento ou de clientes fictícios nas contas a receber. Os dados do processamento são confrontados com os dados fictícios e os resultados esperados. Este procedimento é adotado sem anuência prévia dos operadores ou do gerente responsável pela produção. Vantagens: Não implica em custo adicional ou ambiente de testes exclusivo; Desvantagens: Os efeitos das transações fictícias devem ser estornados, causando trabalho extra e ainda existe o risco de contaminar os dados reais de produção. 24 Técnicas de Auditoria em SI Simulação Paralela Envolve o uso de programa especialmente desenvolvido que comprovadamente atenda a todas as lógicas necessárias para o teste, simulando as funcionalidades do programa em produção a partir das suas entradas. Vantagens: Testes no local, não existem custos na preparação da massa de testes, processa todos os dados. Desvantagens: Execução da simulação com o total de dados. Não existe análise específica. Exige habilidade específica do auditor sobre aquele tipo de sistema. 25 Técnicas de Auditoria em SI Lógica de Auditoria Embutida nos Sistemas Inclui na fase de desenvolvimento a lógica de auditoria do sistema, para revisão e acompanhamento dos procedimentos operacionais. Vantagens: Auditoria permanente com um simples acesso do auditor. Não apresenta restrições quanto à entrada de dados de testes. Método eficiente e eficaz de auditoria. Desvantagens: Custo e tempo adicional no desenvolvimento. Exige mais recursos do servidor das estações dos usuários. Pode impactar em termos de desempenho. 26 Técnicas de Auditoria em SI Rastreamento e Mapeamento Chamada também de accountability, baseia-se na criação de uma trilha de auditoria para acompanhar os pontos críticos do sistema, registrando seu comportamento e resultado para uma análise futura. Vantagens: Ajuda na avaliação dos controles internos; permite criar alertas quanto à aplicação de controles operacionais e seus cumprimentos. Pode ser utilizado em ambiente de produção ou de teste. Desvantagens: Exige que o auditor tenha habilidade avançada de TI e aumenta o tempo de processamento e consumo de espaço em disco no servidor. 27 Técnicas de Auditoria em SI Análise da Lógica de Programação Trata-se da validação da lógica de programação para garantir que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos. Esta técnica pode ser realizada manualmente nos sistemas principais ou mais críticos para o negócio, ou pode ser realizada por programas e/ou ferramentas automatizadas. 28 Melhores Práticas de Auditoria em SI Falta de padrões para a auditoria de sistemas. Razões para isso são: - A auditoria de SI entendida como parte da Auditoria Geral das Organizações; - As normas de auditoria geralmente aceitas não tratam isoladamente a auditoria de sistemas; - A auditoria de sistemas nunca foi encarada como uma carreira específica e sim como um avanço da auditoria normal para acompanhar a aplicação de TI pelas organizações. Na falta de um padrão plenamente aceito para auditoria de TI, algumas associações apresentam regras para nortear a atuação de seus membros. 29 Melhores Práticas de Auditoria em SI Como ser um Auditor Interno de sucesso 10 competências fundamentais https://www.youtube.com/watch?v=j9G88HcH8UU Estude sempre. Esta bagagem fará a diferença na sua vida pessoal e profissional. 30 https://www.youtube.com/watch?v=j9G88HcH8UU Melhores Práticas de Auditoria em SI Comitê de Padrões da Associação de Controle e Auditoria de TI A Associação de Controle e Auditoria de TI dos EUA recomenda: - Responsabilidade, autoridade e prestação de contas: Deve ser documentada em uma carta proposta ou de aderência de escopo; - Independência profissional: Deve ser independente da área sob auditoria para uma conclusão objetiva da auditoria; - Ética profissional e padrões: Adesão ao código de ética da Associação; - Competência: Deve manter-se em constante aprimoramento por educação continuada; - Planejamento: Deve planejar suas atividades para assegurar que os objetivos da auditoria sejam alcançados; - Emissão de relatório: Ao fim da auditoria deve ser emitido relatório contendo o escopo, objetivos, período de abrangência, natureza e extensão do trabalho executado, é necessário identificar a organização, os usuários desejáveis e eventuais restrições de circulação. Devem ser incluídas as observações, conclusões, recomendações e quaisquer ressalvas consideradas necessárias; - Atividades de Follow-Up: O Auditor de TI deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. 31 Melhores Práticas de Auditoria em SI Associação de Auditores de Sistemas e Controles (ISACA) A ISACA em seu código de ética profissional recomenda que seus membros observem: - Apoiar a implementação e encorajar o cumprimento com os padrões sugeridos dos procedimentos e controles dos sistemas de informações; - Exercer suas funções com objetividade, diligência e zelo profissional, de acordo com os padrões profissionais e as melhores práticas; - Servir aos interesses dos stakeholders de forma legal e honesta, atentando para a manutenção do alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito profissional; - Manter privacidade e confidencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregue a pessoas desautorizadas; - Manter competência nas respectivas especialidades e assegurar que nos seus exercícios somente atua nas atividades em que tenha razoável habilidade para competir profissionalmente; - Informar partes envolvidas sobre os resultados de seus trabalhos, expondo todos os fatos significativos que tiver em seu alcance; - Apoiar a conscientização profissional dos stakeholders para auxiliar sua compreensão dos sistemas de informações, segurança e controle. 32 Aquisição, Criação, Documentação e Manutenção de SI Auditoria Preventiva De forma resumida, as funções de aquisição, desenvolvimento, manutenção e documentação de sistemas incluem, entre outras, as seguintes etapas: - Planejamento de Sistemas de informações; - Especificação, análise, projeto, programação, teste e implementação de sistemas novos; - Modificação dos programas das aplicações existentes; - Manutenção preventiva dos sistemas aplicativos; - Documentação e controle sobre versões de programas em produção; - Aquisição de sistemas, quando for conveniente. Auditoria Preventiva É importante o envolvimento do Auditor desde o início do desenvolvimento do SI ou do processo de seleção para aquisição. - Ele terá o papel de promovera adequação, avaliação e apresentação de recomendações para o aprimoramento de controle interno nos sistemas de informação da empresa, assim como no uso dos recursos humanos, materiais, financeiros e tecnológicos; - Esta lógica deve ser expandida para as fases de manutenção e documentação do sistema. Perspectiva preventiva quanto a procedimentos indevidos. 33 Processo ou Metodologia de Desenvolvimento de SI Serve para revisar e avaliar o processo de construção dos sistemas, o método e a metodologia adotados no ciclo de vida do desenvolvimento do aplicativo. Deve-se atentar a pontos como segurança física, confidencialidade, legislação, eficiência das técnicas e ferramentas adotadas. Podemos adotar o seguinte roteiro: - Planejamento: Levantamento do sistema a ser auditado; - Inventário e eleição dos pontos de controle; - Avaliação dos pontos de Controle; - Conclusão e acompanhamento da auditoria. 34 Auditoria em Sistemas de Produção Serve para revisar e avaliar os processos e resultados do SI sob a ótica do controle interno. Atentando aos aspectos internos como, segurança lógica, física, autenticidade da informação, confidencialidade, compliance com a leis e normas, eficiência e eficácia. Podemos adotar o seguinte roteiro: - Planejamento: Levantamento do sistema a ser auditado; - Inventário e eleição dos pontos de controle; - Avaliação dos pontos de Controle; - Conclusão e acompanhamento da auditoria. 35 Dúvidas? marcelo.hama@fmu.br Referências: - LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2008 - ITGI, IT Governace Institute, COBIT 5 - Modelo, Objetivos de Controle, Diretrizes de Gerenciamento e Modelos de Maturidade. Rolling Meadows, IL – USA Créditos: Este material é uma adaptação das notas de aula do prof. Paulo Rangel 36 mailto:marcelo.hama@fmu.br
Compartilhar