SEGURANCA E AUDITORIA DE SISTEMAS - Aulas -13-14

Prévia do material em texto

Segurança e Auditoria
de Sistemas
Prof. M.Sc. Marcelo Tomio Hama
1
AULAS 13 e 14
Auditoria de
Sistemas
- Metodologias de Auditoria de SI
- Ferramentas de Auditoria de SI
- Técnicas de Auditoria de SI
- Melhores Práticas de Auditoria de SI
2
Segurança e Auditoria
de Sistemas
Auditoria de Sistemas
Deve proporcionar a organização:
- Adequação
- Revisão
- Avaliação
- Recomendações para o 
aprimoramento dos seus SI
Deve avaliar o uso dos recursos:
- Humanos
- Materiais
- Tecnológicos
Envolvidos no processamento dos 
mesmos.
Introdução
Fundamentos em Auditoria de SI
4
Auditoria de SI
Deve oferecer evidências de que os SI
- Suportam adequadamente os 
ativos de negócios,
- Mantendo a integridade dos 
dados,
- Alcançando os objetivos 
esperados,
- Utilizando eficientemente os 
recursos e,
- Cumprindo com as 
regulamentações e leis 
estabelecidas.
Fundamentos em Auditoria de SI
5
Deve envolver todos os sistemas da empresa:
Operacional, Tático ou Estratégico.
Fundamentos em Auditoria de SI
6
O COBIT define que os objetivos da Auditoria de SI devem considerar:
- Efetividade
- Eficiência
- Confidencialidade
- Integridade
- Disponibilidade
- Compliance
- Confiança
Objetivos Globais da Auditoria de SI
7
Integridade: Correção e completude evidenciados
Confidencialidade: Só pessoas autorizadas acessam;
Privacidade: Funções incompatíveis estão segregadas. Somente se acessa o 
que é necessário
Acuidade: As transações podem ser validadas. Consistência na entrada de 
dados
Disponibilidade: Sistema acessível quando necessário
Auditabilidade: Logs e trilhas de auditoria
Versatilidade: Deve ser amigável e flexível às mudanças
Manutenibilidade: Controles e procedimentos em sua manutenção 
(contaminação, remendos, etc.)
Tipos de Auditoria de SI
8
Durante o desenvolvimento de sistemas devemos auditar a construção desde 
os requisitos até a implantação, incluindo o desenvolvimento (ISO 15408).
Tipos de Auditoria de SI
9
A auditoria também deve ocorrer em Sistemas em Produção, quanto aos 
resultados, segurança, correção e tolerância a falhas.
Resultados Segurança Correção Tolerância a Falhas
Tipos de Auditoria
10
Ambiente Tecnológico
Eventos Específicos
Análise de causas, consequências e ações necessárias
em eventos não cobertos em auditorias anteriores.
Estrutura 
Organiza
cional
Contra
tos
Norm
as
Técnic
as
Custos Uso de Equipam
entos
Planos de 
Contingê
ncia e 
Seguranç
a
Metodologia de Auditoria em SI
11
Flexível e aderente às diversas modalidades da auditoria em SI e alinhada com 
as boas práticas de auditoria do mercado.
Recomenda-se as seguintes fases:
Metodologia de Auditoria em SI
12
Planejamento e controle do projeto de auditoria de SI:
- A partir de diretrizes da direção, estabelecer ações, recursos necessários;
- Dois Grupos:
- 1º grupo com o corpo gerencial, definirá procedimentos e Follow-Up;
- 2º grupo formado por auditores e técnicos de Informática que 
executam a auditoria efetivamente;
- Recomenda-se utilizar padrões de mercado como o PMBOK.
Metodologia de Auditoria em SI
13
Levantamento do sistema de informação a ser auditado:
- Definido o escopo do trabalho, levanta-se as informações necessárias 
sobre o sistema a ser auditado;
- Levantamento macro através de entrevistas e análise da documentação;
- Ferramentas úteis podem ser DFD, MER, Dicionário de dados, use cases, 
diagramas de classe e sequência, diagramas de integração de sistemas 
(explicam o seu funcionamento);
- Define a abrangência da auditoria.
Identificação e Inventário dos Pontos de Controle:
- Podem ser identificados em documentos de entrada,
relatórios de saídas, telas, arquivos, BD's, integrações, etc;
- Devem ser relacionados e descritos quanto ao
controle interno e funções que exercem no sistema;
- Identificar parâmetros, pontos fracos e técnicas
de auditoria adequadas a sua validação;
- Deve ser validado pelo grupo de coordenação do Projeto de Auditoria.
Metodologia de Auditoria em SI
14
Priorização e seleção dos pontos de controle do SI auditado:
Selecionar e priorizar pontos definidos na etapa anterior baseados em:
- Grau de risco do ponto: Prejuízos que podem
gerar no sistema a curto, médio e longo prazo;
- Existência de ameaças: Priorizar os sob forte
ameaça;
- Disponibilidade de recursos: Pontos que podem
ser auditados com os recursos disponíveis;
Reavaliar a priorização ao longo do trabalho para confirmar a ordenação
estabelecida.
Avaliação dos pontos de controle:
É a auditoria em si. Nos testes devem
ser aplicadas técnicas adequadas a
cada ponto de controle que evidenciem
falhas ou fraquezas.
Metodologia de Auditoria em SI
15
Conclusão da Auditoria:
Elaborar relatório com os resultados, 
qualquer que seja, refletindo o diagnóstico 
dos pontos de controle.
As fraquezas devem ser classificadas 
como pontos de auditoria e devem ser 
apontadas recomendações para sua 
solução ou mitigação.
Cada ponto de auditoria deve sofrer 
revisão e avaliação periódica pelos 
analistas e usuários responsáveis.
Metodologia de Auditoria em SI
16
Acompanhamento da Auditoria:
O acompanhamento (Follow-Up) da auditoria deve ser realizado até que todas 
as recomendações tenham sido executadas e as fraquezas eliminadas ou 
mitigadas em um nível aceitável pela organização.
Ferramentas de Auditoria em SI
17
Aliados para a extração, classificação e seleção de dados e transações a 
serem validadas, apoiando na evidenciação de discrepâncias e desvios.
Estas ferramentas podem ser categorizadas em:
- Ferramentas Generalistas de auditoria de Tecnologia da Informação;
- Ferramentas Especializadas de auditoria;
- Programas utilitários em geral.
Ferramentas de Auditoria em SI
18
Ferramentas generalistas de auditoria de Tecnologia da Informação
Softwares que podem processar, simular, analisar amostras, gerar estatísticas, 
sumarizar, apontar duplicidades e outras funções necessárias ao auditor.
- ACL (Audit Command Language) – Software
canadense para extração e análise de dados
(www.acl.com);
- Pentana – Software de planejamento
estratégico de auditoria, com
planejamento e monitoramento
de recursos, controle de horas,
check-lists, programas de
auditoria como desenho e
gerenciamento de plano de
ação (www.pentana.com).
http://www.acl.com
http://www.pentana.com
Ferramentas de Auditoria em SI
19
Ferramentas generalistas de auditoria de TI:
Vantagens em utilizá-las:
- Processar vários arquivos simultaneamente;
- Processar arquivos em formatos diferentes;
- Integração sistêmica com vários tipo de software e hardware;
- Reduz a dependência do auditor em relação ao pessoal de TI.
Desvantagens em utilizá-las:
- Em geral podem ser utilizadas no ambiente online;
- Por serem generalistas, podem não atender em casos mais
complexos, que exijam, por exemplo, cálculos complexos.
Ferramentas de Auditoria em SI
20
Ferramentas especializadas de auditoria:
Desenvolvidos especificamente para executarem tarefas 
em circunstâncias definidas. Desenvolvidos pelo auditor, 
por especialista da empresa ou por terceiro contratado 
para isso. Feito sob medida (Taylor Made).
Vantagem em seu uso é atender demandas específicas 
como Financeiro (crédito imobiliário, leasing, cartão de 
crédito, etc.) ou outras áreas de mercado que assim o 
exijam;
Como desvantagens podemos apontar o seu custo de 
desenvolvimento e o processo de atualização da 
ferramenta ao longo do tempo.
Ferramentas de Auditoria em SI
21
Programas utilitários em geral:
Softwares utilitários de uso geral para classificar arquivos, concatenar textos, 
sumarizar, gerar relatórios. Sendo de uso geral, não possuem recursos 
necessários a auditoria como por exemplo a verificação de totais de controle 
ou gravação de trilhas de auditoria;
Vantagem: Ser utilizado como uma solução alternativa na falta de um recurso 
mais específico;
Desvantagem: Haverá a necessidade de apoio do usuário e de TI.
Técnicas de Auditoria em SI
22
Técnicas de Auditoria, nada mais são do que as várias metodologiasadotadas 
para esse fim. Embora existam muitas, procuramos focar em algumas delas 
como base para esta primeira abordagem:
- Dados de teste;
- Facilidades de teste integrado;
- Simulação paralela;
- Lógica de auditoria embutida nos sistemas;
- Rastreamento e mapeamento;
- Análise da lógica de programação.
Técnicas de Auditoria em SI
23
Dados de Teste
Chamados também de "test data" ou "testdeck", faz uso de dados 
especialmente preparados com o objetivo de testar as funcionalidades de 
entrada de dados. Implica em um volume e combinação abrangente de dados 
e normalmente é utilizado em um ambiente batch ou de testes;
Vantagens: Não requer conhecimento de TI na sua elaboração e podem ser 
utilizados softwares para isso;
Desvantagens: Dificuldade em conceber uma massa de testes que cubra todas 
as combinações de transações possíveis no ambiente de negócios da 
organização.
Técnicas de Auditoria em SI
Facilidade de Teste Integrado
Chamado também de Integrated Test Facility, realizado 
em ambientes online e realtime, quando os dados de 
testes são introduzidos no ambiente de produção.
Envolve a introdução de funcionários fantasmas na 
folha de pagamento ou de clientes fictícios nas contas 
a receber. Os dados do processamento são 
confrontados com os dados fictícios e os resultados 
esperados.
Este procedimento é adotado sem anuência prévia dos 
operadores ou do gerente responsável pela produção.
Vantagens: Não implica em custo adicional ou 
ambiente de testes exclusivo;
Desvantagens: Os efeitos das transações fictícias 
devem ser estornados, causando trabalho extra e ainda 
existe o risco de contaminar os dados reais de 
produção.
24
Técnicas de Auditoria em SI
Simulação Paralela
Envolve o uso de programa especialmente 
desenvolvido que comprovadamente atenda a todas as 
lógicas necessárias para o teste, simulando as 
funcionalidades do programa em produção a partir das 
suas entradas.
Vantagens: Testes no local, não existem custos na 
preparação da massa de testes, processa todos os 
dados.
Desvantagens: Execução da simulação com o total de 
dados. Não existe análise específica. Exige habilidade 
específica do auditor sobre aquele tipo de sistema.
25
Técnicas de Auditoria em SI
Lógica de Auditoria Embutida nos Sistemas
Inclui na fase de desenvolvimento a lógica de auditoria 
do sistema, para revisão e acompanhamento dos 
procedimentos operacionais.
Vantagens: Auditoria permanente com um simples 
acesso do auditor. Não apresenta restrições quanto à 
entrada de dados de testes. Método eficiente e eficaz 
de auditoria.
Desvantagens: Custo e tempo adicional no 
desenvolvimento. Exige mais recursos do servidor das 
estações dos usuários. Pode impactar em termos de 
desempenho.
26
Técnicas de Auditoria em SI
Rastreamento e Mapeamento
Chamada também de accountability, baseia-se na criação de 
uma trilha de auditoria para acompanhar os pontos críticos 
do sistema, registrando seu comportamento e resultado para 
uma análise futura. 
Vantagens: Ajuda na avaliação dos controles internos; 
permite criar alertas quanto à aplicação de controles 
operacionais e seus cumprimentos. Pode ser utilizado em 
ambiente de produção ou de teste.
Desvantagens: Exige que o auditor tenha habilidade 
avançada de TI e aumenta o tempo de processamento e 
consumo de espaço em disco no servidor.
27
Técnicas de Auditoria em SI
Análise da Lógica de Programação
Trata-se da validação da lógica de programação para garantir que as 
instruções dadas ao computador são as mesmas já identificadas nas 
documentações dos sistemas aplicativos.
Esta técnica pode ser realizada manualmente nos sistemas principais ou mais 
críticos para o negócio, ou pode ser realizada por programas e/ou ferramentas 
automatizadas.
28
Melhores Práticas de Auditoria em SI
Falta de padrões para a auditoria de sistemas.
Razões para isso são:
- A auditoria de SI entendida como parte da Auditoria Geral das 
Organizações;
- As normas de auditoria geralmente aceitas não tratam isoladamente a 
auditoria de sistemas;
- A auditoria de sistemas nunca foi encarada como uma carreira específica 
e sim como um avanço da auditoria normal para acompanhar a aplicação 
de TI pelas organizações.
Na falta de um padrão plenamente aceito para auditoria de TI, algumas 
associações apresentam regras para nortear a atuação de seus membros.
29
Melhores Práticas de Auditoria em SI
Como ser um Auditor Interno de sucesso
10 competências fundamentais
https://www.youtube.com/watch?v=j9G88HcH8UU
Estude sempre.
Esta bagagem fará a diferença na sua vida pessoal e profissional.
30
https://www.youtube.com/watch?v=j9G88HcH8UU
Melhores Práticas de Auditoria em SI
Comitê de Padrões da Associação de Controle e Auditoria de TI
A Associação de Controle e Auditoria de TI dos EUA recomenda:
- Responsabilidade, autoridade e prestação de contas: Deve ser
documentada em uma carta proposta ou de aderência de escopo;
- Independência profissional: Deve ser independente da área sob
auditoria para uma conclusão objetiva da auditoria;
- Ética profissional e padrões: Adesão ao código de ética da Associação;
- Competência: Deve manter-se em constante aprimoramento por educação 
continuada;
- Planejamento: Deve planejar suas atividades para assegurar que os objetivos da 
auditoria sejam alcançados;
- Emissão de relatório: Ao fim da auditoria deve ser emitido relatório contendo o 
escopo, objetivos, período de abrangência, natureza e extensão do trabalho 
executado, é necessário identificar a organização, os usuários desejáveis e 
eventuais restrições de circulação. Devem ser incluídas as observações, 
conclusões, recomendações e quaisquer ressalvas consideradas necessárias;
- Atividades de Follow-Up: O Auditor de TI deve requisitar e avaliar informações 
apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes 
para determinar se ações apropriadas foram implementadas em tempo hábil.
31
Melhores Práticas de Auditoria em SI
Associação de Auditores de Sistemas e Controles (ISACA)
A ISACA em seu código de ética profissional recomenda
que seus membros observem:
- Apoiar a implementação e encorajar o cumprimento com os
padrões sugeridos dos procedimentos e controles dos sistemas de informações;
- Exercer suas funções com objetividade, diligência e zelo profissional, de acordo 
com os padrões profissionais e as melhores práticas;
- Servir aos interesses dos stakeholders de forma legal e honesta, atentando para a 
manutenção do alto padrão de conduta e caráter profissional, e não encorajar atos 
de descrédito profissional;
- Manter privacidade e confidencialidade das informações obtidas no decurso de 
suas funções, exceto quando exigido legalmente. Tais informações não devem ser 
utilizadas em vantagem própria ou entregue a pessoas desautorizadas;
- Manter competência nas respectivas especialidades e assegurar que nos seus 
exercícios somente atua nas atividades em que tenha razoável habilidade para 
competir profissionalmente;
- Informar partes envolvidas sobre os resultados de seus trabalhos, expondo todos os 
fatos significativos que tiver em seu alcance;
- Apoiar a conscientização profissional dos stakeholders para auxiliar sua 
compreensão dos sistemas de informações, segurança e controle.
32
Aquisição, Criação, Documentação e Manutenção de SI
Auditoria Preventiva
De forma resumida, as funções de aquisição, desenvolvimento, manutenção e 
documentação de sistemas incluem, entre outras, as seguintes etapas:
- Planejamento de Sistemas de informações;
- Especificação, análise, projeto, programação,
teste e implementação de sistemas novos;
- Modificação dos programas das aplicações existentes;
- Manutenção preventiva dos sistemas aplicativos;
- Documentação e controle sobre versões de programas em produção;
- Aquisição de sistemas, quando for conveniente.
Auditoria Preventiva
É importante o envolvimento do Auditor desde o início do
desenvolvimento do SI ou do processo de seleção para aquisição.
- Ele terá o papel de promovera adequação, avaliação e apresentação de 
recomendações para o aprimoramento de controle interno nos sistemas de 
informação da empresa, assim como no uso dos recursos humanos, materiais, 
financeiros e tecnológicos;
- Esta lógica deve ser expandida para as fases de manutenção e documentação do 
sistema. Perspectiva preventiva quanto a procedimentos indevidos.
33
Processo ou Metodologia de Desenvolvimento de SI
Serve para revisar e avaliar o processo de construção dos sistemas, o método 
e a metodologia adotados no ciclo de vida do desenvolvimento do aplicativo.
Deve-se atentar a pontos como segurança física, confidencialidade, legislação, 
eficiência das técnicas e ferramentas adotadas. Podemos adotar o seguinte 
roteiro:
- Planejamento: Levantamento do sistema a ser auditado;
- Inventário e eleição dos pontos de controle;
- Avaliação dos pontos de Controle;
- Conclusão e acompanhamento da auditoria.
34
Auditoria em Sistemas de Produção
Serve para revisar e avaliar os processos e resultados do SI sob a ótica do 
controle interno. Atentando aos aspectos internos como, segurança lógica, 
física, autenticidade da informação, confidencialidade, compliance com a leis e 
normas, eficiência e eficácia. Podemos adotar o seguinte roteiro:
- Planejamento: Levantamento do sistema a ser auditado;
- Inventário e eleição dos pontos de controle;
- Avaliação dos pontos de Controle;
- Conclusão e acompanhamento da auditoria.
35
Dúvidas?
marcelo.hama@fmu.br
Referências:
- LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª 
Edição. Rio de Janeiro: Ciência Moderna, 2008
- ITGI, IT Governace Institute, COBIT 5 - Modelo, Objetivos de 
Controle, Diretrizes de Gerenciamento e Modelos de Maturidade. 
Rolling Meadows, IL – USA
Créditos:
Este material é uma adaptação das notas de aula do prof. Paulo Rangel
36
mailto:marcelo.hama@fmu.br