Slides de introdução à matéria

Prévia do material em texto

Segurança e Auditoria de Sistemas
Profa. Suzi Lara Werner
Auditoria de Sistemas de Informação
�� OO queque éé Auditoria?Auditoria?
� Engloba o exame das operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com o
intuito de verificar sua conformidade com certos objetivos e políticasintuito de verificar sua conformidade com certos objetivos e políticas
institucionais, orçamentos, regras, normas ou padrões.
Auditoria de Sistemas de Informação
�� QuemQuem fazfaz aa Auditoria?Auditoria?
� Auditoria Interna: realizada por departamento interno responsável
pela verificação e avaliação dos sistemas e procedimentos internos
de uma entidade.de uma entidade.
� Auditoria Externa: realizada por instituição externa e independente
da entidade fiscalizada
� Auditoria Articulada: Trabalho conjunto de auditorias internas e
externas.
Auditoria de Sistemas de Informação
�� ComoComo fazerfazer Auditoria?Auditoria?
� Auditoria Horizontal: Auditoria com tema específico realizada em� Auditoria Horizontal: Auditoria com tema específico realizada em
várias entidades ou serviços paralelamente. Ex.: Avalia o requisito
controle de documentos ao longo de toda a Organização.
� Auditoria Vertical: A auditoria vertical considera a conformidade de
um departamento em todos os requisitos a ele aplicável.
Auditoria de Sistemas de Informação
�� ComoComo fazerfazer Auditoria?Auditoria?
� Auditoria Orientada: Auditoria focada em uma atividade específica� Auditoria Orientada: Auditoria focada em uma atividade específica
qualquer ou em atividade com fortes indícios de erros ou fraudes.
Auditoria de Sistemas de Informação
�� OndeOnde fazerfazer auditoria?auditoria?
� Auditoria de programas de governo
� Auditoria de planejamento estratégico� Auditoria de planejamento estratégico
� Auditorias administrativa, contábil, financeira, legalidade
� Auditoria operacional
� ...
� Auditoria de Tecnologia da Informação
Auditoria de Sistemas de Informação
�� ElementoElemento dada AuditoriaAuditoria:: ControleControle
� É a fiscalização exercida sobre as atividades de pessoas, órgãos,
departamentos ou sobre produtos, para que tais atividades, ou
produtos, não se desviem das normas pré-estabelecidas.
Auditoria de Sistemas de Informação
�� TiposTipos dede ControleControle
� PREVENTIVOS – usados para prevenir erros, omissões ou atos
fraudulentos (e.g. senhas de acesso a um determinado sistema).
� DETECTIVOS – usados para detectar erros, omissões ou atos� DETECTIVOS – usados para detectar erros, omissões ou atos
fraudulentos e ainda relatar sua ocorrência (e.g. softwares de
controle de acesso e relatórios de tentativas de acesso não
autorizado a um determinado sistema).
� CORRETIVOS – usados para reduzir impactos ou corrigir erros uma vez
detectados (e.g. planos de contingências)
Auditoria de Sistemas de Informação
�� ObjetvosObjetvos dessesdesses ControlesControles
� Um dos objetivos desses controles é, primeiramente, a manutenção
do investimento feito pela corporação em sistemas informatizados,
tendo em vista que os sistemas de informação interconectados de
hoje desempenham um papel vital no sucesso empresarial de umhoje desempenham um papel vital no sucesso empresarial de um
empreendimento.
� Esses controles também têm como objetivo evitar que algum sinistro
venha a ocorrer; não conseguindo evitar, tentar fazer com que o
impacto seja pequeno e, se mesmo assim, o impacto for grande, ter
em mãos processos que auxiliem a reconstrução do ambiente.
Auditoria de Sistemas de Informação
�� ElementosElementos dada AuditoriaAuditoria:: ProcedimentosProcedimentos dada AuditoriaAuditoria
� Em geral, é um check-list que contempla os itens a serem verificados
durante a auditoria.
� A concepção desses procedimentos antes do início dos processos de� A concepção desses procedimentos antes do início dos processos de
auditoria é de suma importância porque garantirá um aumento da
produtividade e da qualidade do trabalho. Como exemplo, pode-se
citar que, para o bom andamento de uma partida de futebol, não é
aconselhável mudar as regras do jogo enquanto o mesmo estiver
acontecendo; faz-se isto antes de começar a partida.
Auditoria de Sistemas de Informação
�� ElementosElementos dada AuditoriaAuditoria:: ProcedimentosProcedimentos dada AuditoriaAuditoria
� OS Procedimentos da Auditoria formam um conjunto de
verificações e averiguações que permite obter e analisar as
informações necessárias à formulação da opinião do auditor.
� São listas de pontos a serem verificados durante a auditoria.
Auditoria de Sistemas de Informação
�� ElementosElementos dada AuditoriaAuditoria:: AchadosAchados dada AuditoriaAuditoria
� São fatos significativos observados pelo auditor durante a execução
da auditoria.
� Embora sejam geralmente associados a falhas e irregularidades, os� Embora sejam geralmente associados a falhas e irregularidades, os
achados podem também indicar pontos fortes da instituição
auditada.
� Para que eles façam parte do relatório final de auditoria, os mesmos
devem ser relevantes e baseados em fatos e evidências
incontestáveis.
Auditoria de Sistemas de Informação
�� ElementosElementos dada AuditoriaAuditoria:: RelatórioRelatório FinalFinal
� Os papéis de trabalho são registros que evidenciam atos e fatos
observados pelo auditor.
Esses registros podem estar em forma de documentos, tabelas, listas� Esses registros podem estar em forma de documentos, tabelas, listas
de verificações, planilhas, arquivos, entre outros. Estes documentos
são a base para o relatório de auditoria, pois contêm registro da
metodologia utilizada, procedimentos, fontes de informação, enfim,
todas as informações relacionadas ao trabalho de auditoria.
Auditoria de Sistemas de Informação
�� ElementosElementos dada AuditoriaAuditoria:: RelatórioRelatório FinalFinal
� Já na fase da concepção do relatório, são feitas as recomendações de
auditoria. Elas são medidas corretivas possíveis, sugeridas pela
instituição fiscalizadora ou pelo auditor em seu relatório, para corrigirinstituição fiscalizadora ou pelo auditor em seu relatório, para corrigir
as deficiências detectadas durante o trabalho de verificação de
vulnerabilidades ou deficiências. Dependendo da competência ou
posição hierárquica do órgão fiscalizador, essas recomendações
podem se transformar em determinações a serem cumpridas.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Abrange todos os aspectos relacionados com a auditoria
da segurança das informações além de outros controles
que podem influenciar a segurança de informações e oque podem influenciar a segurança de informações e o
bom funcionamento dos sistemas da organização.
.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Dependendo da área de verificação escolhida, este tipo de
auditoria pode abranger:
� todo o ambiente de informática ou a organização do� todo o ambiente de informática ou a organização do
departamento de informática. Além disso, pode ainda
contemplar:
� os controles sobre banco de dados, redes de comunicação
e de computadores e
� controles sobre os aplicativos.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Qual o escopo da avaliação?
� Avaliação da política de segurança.
� Controles de acesso lógico.� Controles de acesso lógico.
� Controles de acesso físico.
� Controles ambientais.
� Planos de contingências e continuidade dos serviços.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Qual o escopo da avaliação?
� Controles organizacionais.
� Controles de mudanças.� Controles de mudanças.
� De operação dos sistemas.
� Controles sobre o banco de dados.
� Controles sobre computadores.
� Controles sobre ambiente cliente-servidor.Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Qual o escopo da avaliação?
� Desenvolvimento de sistemas aplicativos.
� Entrada, processamento e saída de dados.� Entrada, processamento e saída de dados.
� Sobre conteúdo e funcionamento do aplicativo, com relação a área por
ele atendida.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
ExecuçãoExecução
RelatórioRelatório
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
� Pesquisar Fontes de Informação
PlanejamentoPlanejamento
� Pesquisar Fontes de Informação
� Definir Campo, Âmbito e Sub-Áreas
� Definir os Recursos Necessários
� Metodologia
� Definir Objetivos e Procedimentos
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Pesquisar Fontes de Informação
� Deixar o máximo de informações disponíveis.
� Estabelecer os recursos e conhecimentos técnicos necessários.
� Exemplos: hardware, SO, sistemas de segurança,
aplicativos e responsáveis pela área.
Pesquisar Fontes de Informação
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Pesquisar Fontes de Informação
� Principais fontes de informação sobre a entidade auditada: Informações
Técnicas:
� Tipo de HW, Sistema Operacional, Softwares de Segurança, Responsáveis
pelas áreas auditadas, Relatórios de auditorias anteriores, Bases de dados,
Documentos ou Websites, Notícias veiculadas na imprensa, Relatórios da
Auditoria Interna, Visitas anteriores à entidade
Pesquisar Fontes de Informação
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Definir Campo, Âmbito e Sub-Áreas
� Em auditorias de informática, a natureza é auditoria de TI, quase sempre com
enfoque empresarial.
� O objeto pode englobar um sistema computacional específico; um, várias ou
todas as seções do departamento de informática; ou até mesmo toda a
organização. O período depende do âmbito (grau de profundidade das
verificações) e das sub-áreas de sistemas escolhidas pela equipe.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Definir Campo, Âmbito e Sub-Áreas
� São determinadas também a amplitude e a exaustão dos processos de
auditoria, incluindo uma limitação racional dos trabalhos a serem executados.
� A área de verificação delimita de modo muito preciso os temas da auditoria e,
em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser
subdividida em sub-áreas.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Definir os Recursos Necessários
� Humanos: equipe escolhida de acordo com o grau de complexidade,
componentes e ferramentas utilizadas.
� Econômicos: previsão de gastos.
� Técnicos: levantar dispositivos de hardware, software e documentos
técnicos a serem utilizados.
Definir os Recursos Necessários
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Metodologia
� Norteiam a auditoria em várias áreas especializadas e organizacionais.
� Avaliador deve utilizar um modelo normativo, um conjunto de padrões, de
como a atividade deveria estar sendo feita.
� O modelo normativo é traduzido em objetivos de controle a serem avaliados
pelo auditor em cada área específica.
Metodologia
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
PlanejamentoPlanejamento
Definir Objetivos e Procedimentos
� Definir de forma clara os objetivos da auditoria e os procedimentos
que serão utilizados durante sua execução.
Definir Objetivos e Procedimentos
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
� Equipe deve reunir evidências confiáveis, relevantes e úteis para os
ExecuçãoExecução
� Equipe deve reunir evidências confiáveis, relevantes e úteis para os
objetivos da auditoria.
� Todas essas evidências devem estar organizadas nos papéis de
trabalhos, para facilitar a elaboração do relatório.
� Os achados da Auditoria e as conclusões da equipe devem ser
suportados pela correta interpretação e análise das evidências.
Auditoria de Sistemas de Informação
ExecuçãoExecução
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
� As evidências podem se dividir em 4 tipos:
� Evidência Física – observações de atividades
Evidência Documentária – resultado de extração de dados, registros e� Evidência Documentária – resultado de extração de dados, registros e
transações, etc.
� Evidência fornecida pelo auditado – transcrições de entrevistas, cópias
de documentos cedidos pelo auditado, políticas, emails, relatórios, etc.
� Evidência Analítica – comparações, cálculos e interpretações de
documentos de entidades similares ou da mesma entidade em períodos
diferentes.
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
RelatórioRelatório
� O relatório final deve conter evidências, conclusões,
recomendações e determinações.
� Deve ser claro, objetivo, sem uso exagerado de termos técnicos.
RelatórioRelatório
Auditoria de Sistemas de Informação
Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação
� Fases da Auditoria
� Estrutura Típica:
RelatórioRelatório
Estrutura Típica:
� Dados da entidade auditada
� Resumo
� Dados da auditoria
� Não-conformidades detectadas
� Conclusão
Auditoria de Sistemas de Informação
ExercíciosExercícios
� O que é auditoria?
� Quem faz a Auditoria?
� Como fazer auditoria?
� O que é Controle?
� Explique os tipos de Controle?
� O que são achados da Auditoria?
� Qual a função dos objetivos de controle?
� Cite pelo menos 3 enfoques dos objetivos de controle.