Aula 02 - Auditoria de sistemas, Riscos

Prévia do material em texto

Auditoria de 
Sistemas de 
Informação
Aula 2 - Auditoria de Sistemas de Informação, 
Riscos
Agenda do dia
➔ A auditoria de sistemas de 
informação
Os objetivos e motivos para auditar a TI
➔ Objetivos da Auditoria de SI
O que se quer ao auditar sistemas de 
informação?
➔ Níveis de atuação da auditoria 
de SI
Em quais níveis gerenciais a auditoria 
atua
➔ Áreas de atuação da auditoria 
de SI
Em quais áreas a auditoria atua
Auditoria de Sistemas de 
Informação
Auditoria:
● Atividade de 
identificar controles, 
avaliar riscos e 
conformidades e 
reportá-los.
Imagem de wayhomestudio no Freepik
Objetivos da auditoria de SI
● Segurança
○ Proteção física dos ativos de TI.
○ Proteção contra uso não autorizado de ativos.
○ Roubo/ furto/ perda de equipamentos.
Imagem de rawpixel.com no Freepik
Objetivos da auditoria de SI
● Integridade de dados
○ Garantir precisão no processamento de dados.
○ Completude/corretude dos processamentos.
○ Consistência de dados.
Imagem de rawpixel.com no Freepik
Objetivos da auditoria de SI
● Eficácia no atingimentos de metas 
organizacionais
○ Alinhamento com os objetivos organizacionais
○ Atingimento dos objetivos dos SI
○ Cumprimento das normas e regulamentos
Imagem de rawpixel.com no Freepik
Objetivos da auditoria de SI
● Eficiência no processamento de dados
○ Nível de utilização dos recursos computacionais
○ Reduzir o nível de desperdício de recursos.
○ Melhora nos processos de utilização de recursos
Imagem de rawpixel.com no Freepik
Nível de atuação da auditoria
Nível Operacional
● Escopo: 
○ procedimentos
○ fluxos de informações
○ aderência aos processos
● Objetivo:
○ verificar se os procedimentos e métodos de 
trabalhos propostos estão sendo efetivamente 
seguidos pelos colaboradores.
Foto: Rodeo Project Management Software / Unsplash
Nível de atuação da auditoria
Nível Gerencial
● Escopo: 
○ alinhamento estratégico
○ eficiência dos processos
○ supervisões, gerências e diretorias
● Objetivo:
○ verificar o alinhamento estratégico dos processos 
com os objetivos corporativos e a se os processos 
apresentam eficiência e eficácia satisfatórios.
Foto: Rodeo Project Management Software / Unsplash
Nível de atuação da auditoria
Nível Estratégico
● Escopo: 
○ governança
○ visão da empresa / objetivos do órgão
○ alinhamento dos altos executivos
● Objetivo:
○ verificar se a gestão da empresa está compatível 
com os objetivos e a visão corporativa.
○ verificar se a alta diretoria age em alinhamento 
com estes objetivos.
Foto: Rodeo Project Management Software / Unsplash
Onde atua a auditoria de SI
Foto: jannoon028/Freepik
Sistemas em produção
● Monitoramento de falhas
● Resposta às falhas de sistemas
● Verificação de processamento
● Otimização de recursos consumidos
Desenvolvimento de sistemas
● Testes de completude, corretude, consistência, etc
● Testes de performance
● Adequação à estratégia da empresa
● Procedimentos de desenvolvimento do sistema 
(otimizar)
Onde atua a auditoria de SI
Foto: jannoon028/Freepik
Ambiente de TI
● Estrutura organizacional
● Procedimentos e políticas de TI
● Contratos de SW e HW
● Aderência a normas técnicas e operacionais
● Controle de custos
● Controle do nível de utilização dos recursos de TI
○ máquinas
○ humanos
○ rede
● Planos de segurança e contingência
E se a gente não auditar?
Foto: Freepik
● Risco de tomar decisões equivocadas
● Risco de queda de qualidade dos serviços 
prestados
● Risco de insatisfação do cliente
● Risco de perdas financeiras
● Risco de falência
Risco é 
tão 
perigoso 
assim?
Dúvidas?
? ?
? ?
?
?
?
?
?
Riscos
Riscos
Vamos explorar brevemente alguns dos tipos mais 
comuns de auditoria quanto ao órgão fiscalizador
➔ Definição
A final de contas, o que é risco?
➔ Por que assumir riscos?
➔ Gerenciamento de riscos
◆ Avaliação de riscos
◆ Mitigação de riscos
◆ Reavaliação periódica de riscos
Auditoria e os riscos
● Uma das funções da auditoria é evitar a 
assunção exagerada de riscos por parte da 
empresa/órgão ao exercer suas atividades.
● Assumir risco demais (ou desconhecer os 
riscos assumidos) pode levar a situações 
catastróficas e não contribui para a 
sustentabilidade da empresa.
● A tomada de decisão precisa, sempre, vir 
acompanhada de mapeamento dos riscos a 
serem tomados.
Foto: Freepik
Definição de ameaça
● É um evento ou uma atitude que tem o 
potencial de causar efeitos indesejáveis na 
organização
● Em TI: é um evento ou atitude que pode 
comprometer os ativos de TI da 
organização.
Foto: Freepik
Exemplos de ameaças em TI
● Ataque cibernético
● Exploração de falhas
● Fraudes
● Incêndios, curto-circuitos, falta de energia 
elétrica
● Contaminação da rede por malwares
● Roubo de equipamentos
● Acesso indevido a dados confidenciais
Foto: Freepik
Ameaças acidentais
● Acontece pela ação proposital 
de algum indivíduo
○ Assalto
○ Furto
○ Roubo
○ Ataque cibernético
○ Fraude
Ameaças deliberadas
● Pode acontecer independente- 
mente da vontade ou ação de 
algum indivíduo
○ Descarga atmosférica
○ Falha em hardware
○ Queda de energia elétrica
Ameaças ativas
● São ameaças deliberadas que 
não alteram dados da 
organização
○ Acesso a dados não autorizados
Ameaças passivas
● São ameaças deliberadas que 
são capazes de alterar dados 
da organização
○ Defacing
○ Ransomware
○ Incêndio criminoso no CPD
Ameaças internas
● São ameaças que se originam 
fora da organização
○ Ransomware
○ Ataque cibernético
○ Raio
Ameaças externas
● São ameaças que têm origem 
dentro da organização
○ Fraude
○ Venda de dados
Definição de risco
● Risco é a possibilidade de alguma ameaça se 
concretizar.
● ISO 27001: Em Segurança da Informação, o risco 
pode ser expresso como o efeito da incerteza 
sobre os objetivos da Segurança da Informação.
○ Qualquer evento possível de acontecimento que 
coloque em xeque os objetivos de TI, é um risco do 
ponto de vista da TI.
○ É importante notar que nem sempre o risco é resultado 
de alguém fazendo alguma ação! (lembre-se da 
ameaça acidental).
Foto: Freepik
Definição de risco
● Risco não é, necessariamente, probabilidade!
Foto: Freepik
Definição de vulnerabilidade
● Também conhecido como fraqueza, 
deficiência ou brecha.
● É uma característica que, quando explorada, 
gera um sinistro ou potencializam os danos 
causados por um sinistro.
○ Autenticação fraca
○ Bibliotecas desatualizadas
○ Ausência de sistemas de controle de acesso físico
○ Processos de trabalhos ineficientes
○ Não aderência a procedimentos especificados
Foto: Freepik
Definição de sinistro
● Também conhecido como ataque.
● É a concretização de um risco geralmente 
através da exploração de uma vulnerabilidade.
○ Roubo de dado
○ Invasão de sistemas computacionais
○ Ocorrência de dados aos equipamentos
○ Indisponibilidade de recursos computacionais
○ Morte de pessoas
○ Ataque de DDoS
Foto: Freepik
Definição de impacto
● É a consequência da ocorrência de um sinistro.
○ Impacto Direto: Aquele mensurável, geralmente causa 
prejuízo financeiro imediato.
■ Indisponibilidade de sistemas
■ Perda de recursos de TI
■ Perda de dados
Foto: Freepik
Definição de impacto
● É a consequência da ocorrência de um sinistro.
○ Impacto Indireto: Aquele imensurável, que envolve a 
percepção subjetiva dos cliente, fornecedores ou 
colaboradores.
■ Perda de prestígio perante os clientes
■ Diminuição na percepção da qualidade dos 
serviços prestados
■ Recusa em fornecimento de insumos
■ Diminuição da produtividade dos colaboradores
Foto: Freepik
Medida de impacto
● O dano causado por um sinistro pode ser medido em 
várias escalas.
● Exemplo: escala 0 a 5
○ 0: impacto irrelevante
○ 1: Pouco impacto. Processos quase não afetados
○ 2: Poucos danos. Pequenas quedas de sistemas, poucos danos 
financeiros
○ 3: Perdas significativas
○ 4: Perdas catastróficas. 
○ 5: Danos que comprometem a sobrevivência da empresa.
Foto: Freepik
Entendendoa relação entre os conceitos:
Dúvidas?
? ?
? ?
?
?
?
?
?
Gerenciamento de Riscos 
● Framework simplista para lidar 
com os riscos inerentes ao 
negócio.
● Objetivo: identificar riscos 
associados às atividades 
desenvolvidas pela 
organização e diminuir 
exposição a riscos indesejados.
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
● Caracterização da ameaça, 
risco, da vulnerabilidade e 
impacto.
● A ideia é conhecer melhor o 
“inimigo”.
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
1 - Avaliar
● Ameaça: assalto
● Acidental ou deliberada?
○ Deliberada!
● Interna ou externa?
○ Depende!
● Vulnerabilidades exploradas?
○ Segurança interna falha
○ Falta de controle de acesso
○ Falta de iluminação
● Impactos diretos e indiretos?
○ Dano material
○ Problemas psicológicos (trauma)
○ Sensação de insegurança
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
1 - Avaliar
● Ameaça: queda de raio
● Acidental ou deliberada?
○ Acidental!
● Interna ou externa?
○ Externa!
● Vulnerabilidades exploradas?
○ Falta de SPDA
○ Falta de equipamentos reserva
● Impactos diretos e indiretos?
○ Dano material
○ Indisponibilidade de sistemas
○ Perda de dados
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
1 - Avaliar
● Ameaça: ransomware
● Acidental ou deliberada?
○ Deliberada!
● Interna ou externa?
○ Externa!
● Vulnerabilidades exploradas?
○ S.O. desatualizado
○ Uso de programas não 
licenciados
○ Uso de bibliotecas desatualizadas
● Impactos diretos e indiretos?
○ Dano material
○ Perda de dados
○ Paralisação das atividades
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
1 - Avaliar
● Definição: tornar suave, aliviar, 
diminuir intensidade
● Em auditoria: 
○ diminuir a intensidade dos danos
○ diminuir a probabilidade de 
sinistro
● Ideia central:
○ Implementar medidas para que o 
risco avaliado tenha menos 
chances de se materializar ou 
gere danos da menor monta 
possível caso ele ocorra.
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● É impossível eliminar 
completamente todos os 
riscos.
● Conforme o risco é reduzido, 
fica cada vez mais caro 
reduzi-lo ainda mais.
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● Exemplos de ações para 
mitigar riscos:
○ implementar controle
○ transferir o risco para um 
terceiro
■ seguro
○ não realizar a atividade 
arriscada
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● Ameaça: assalto
● Como mitigar?
○ Revisão e implementação de 
dispositivos de segurança
○ Implantação de controle de 
acesso
○ Melhora na iluminação
○ Contratação de segurança 
armada
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● Ameaça: queda de raio
● Como mitigar?
○ Implantação de pára-raio
○ Compra de máquinas extras
○ Investimento em nobreak e/ou 
gerador
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● Ameaça: ransomware
● Como mitigar?
○ Atualização periódica do S.O.
○ Reescrita de códigos que usam 
bibliotecas abandonadas
○ Proibição de utilização de 
produtos não licenciados
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Mitigar
● Repetir procedimento de 
avaliação
● Objetivo: 
○ capturar incremento ou 
decremento do nível de risco 
decorrentes de outras atividades 
ou mudanças organizacionais, por 
exemplo.
○ o ambiente de negócios é muito 
dinâmico, o surgimento de novas 
tecnologias, por exemplo, pode 
levar na mudança de percepção 
de risco.
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Reavaliar
● Outros eventos que podem 
causar reavaliação: 
○ mudanças de legislação
■ LGPD.
○ eventos societários
■ aquisição
■ fusão
○ eventos organizacionais
■ novo CEO
○ lançamento de novo produto
○ mudança na área de atuação
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Reavaliar
● Por tempo 
○ reavaliação pode ser feita por 
tempo
○ para tanto, deve-se registrar a 
frequência com que os riscos 
serão avaliados
○ frequência pode avaliar de 
acordo com os impactos 
esperados, por exemplo
● Não é aceitável ignorar a reavaliação 
de riscos!
Ciclo de Gerenciamento de Riscos
Ilustração: o autor
2 - Reavaliar
Exemplo de análise de risco:
https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:70725314446102
69185?compact=1
https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:7072531444610269185?compact=1
https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:7072531444610269185?compact=1
Dúvidas?
? ?
? ?
?
?
?
?
?
Referências
GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de 
Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 
2018.
SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. 
Introdução à Auditoria de Sistemas de Informação. 2006.
CASATI, João. Auditoria de Sistemas. Rio de Janeiro: 
SESES, 2016.
UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de 
seg. e classificação da informação
UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG 
KONG. Information Systems Auditing, Controls and 
Assurance. 2023. In: coursera.org
NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos 
de Auditoria e Auditoria de Sistemas.