Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria De Sistemas Aula 1 Auditoria De Sistemas De Informação Abordagem Inicial Nesta aula, você irá: 1. Saber o que é Auditoria de Sistemas; 2. Conhecer o papel e o perfil do auditor de sistemas; 3. Identificar os tipos de auditorias da Tecnologia da Informação (TI); 4. Entender o comportamento e a ética de um auditor. A filosofia de Auditoria em tecnologia de informações está ca|cada em segurança e em controles internos. Seu objetivo maior é verificar se os controles internos foram imp|ementados e, se existirem, se são efetivos. Desta forma, podemos dizer que a Auditoria de Sistemas é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com o objetivo de garantir: • A segurança de informações, recursos, serviços e acesso • A conformidade com objetivos da empresa, potíticas administrativas, orçamentos, regras, normas ou padrões Os recursos podem ser: Humanos Pessoas Tecnológicos Software, hardware, equipamentos eletrônicos, etc. Financeiros/Materiais Móveis, salas, suprimentos, etc. No contexto de sistemas de informações, Antonio Gil enumera as funções clássica de uma organização em: Planejamento Determinação via sistemas de informações computadorizados de padrões => Informações que exprimem uma expectativa de comportamento futuro (planejar o sistema, obter aprovação dos planos por parte do cliente). Execução Caracterização via sistemas de informações computadorizados de medidas => Informações que são registros de operações ocorridas (execução do trabalho feito. Se sistemas em desenvolvimento, trata-se da confecção do sistema conforme planos aprovados pelo cliente. Se sistemas em operação, a execução operacional do mesmo conforme schedule de produção). Controle Acompanhamento via sistemas de informações computadorizados de desvios ocorridos no trabalho realizado quando comparado com o planejado. =» Informações obtidas do confronto de medidas (comparação entre o trabalho realizado versus o que foi planejado. Em caso de discrepância, solicitação de ações corretivas por parte dos responsáveis). Posicionamento da Auditoria de Sistemas nas organizações Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo da direção executiva da empresa. Como exemplo, mostramos o seguinte organograma: Perfil do auditor de Sistemas • O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto fugir de seu domínio tal como assuntos legais. • Seu comportamento deve ser condizente com quem tem autoridade no assunto. • E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de operação gerando demissões dos responsáveis). • Da mesma forma que o comportamento adequado, deve ser sua maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de alguém em tão alto posto no organograma da empresa. • Recomendação!!! ➡Nada de Agradinhos. ➡Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar alguma vulnerabilidade encontrada nos sistemas. Equipe De Auditoria Há dois grandes meios de se ter uma equipe de auditoria: Interna: • Na auditoria interna, quando os auditores são colaboradores da empresa, a equipe é treinada conforme objetivos de segurança da empresa. Uma metodologia de auditoria deve ser adquirida ou desenvolvida em casa. Não é um trabalho trivial, mas há recompensas quando a auditoria evita impactos desastrosos (como, por exemplo, perda financeira ou quebra de imagem da empresa) que poderiam ser causados por sistemas ou procedimentos com fa l h a s d e se g u ra n ça , t a i s co mo f r a u d e , contabilização indevida de dados contábeis, indisponibilidade de sistemas, acessos (lógico e/ou físico) indevidos e por aí afora. • O recrutamento e o treinamento de pessoal neste caso podem ser um desafio! Externa: • Na auditoria externa, a empresa contrata uma firma de consultores para procederem à auditoria de alguma área ou sistema específico. Os métodos de condução da auditoria são pertinentes à empresa contratada. Neste caso, há a possibilidade de se perder o controle sobre trabalhos realizados. Cabe ressaltar que independente do tipo de auditoria, interna ou externa, seu custo significa despesa, urna vez que não haverá geração de renda do trabalho realizado. Programa De Desenvolvimento De Carreira De Auditor De Tecnologia Da Informação O treinamento de auditor de tecnologia da informação é dividido em duas partes: O treinamento da categoria que tem pouca ou nenhuma experiência em tecnologia da informação deve incluir: • Conceitos de tecnologia da informação; • Fundamentos de arquitetura de sistemas, Input/ Output, processamento lógico, unidade de memória principal e auxiliar, visando auditoria; • Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações pertinentes, • Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados; • Tabelas de decisão e sua aplicação nas principais linguagens de programação. Observe-se que o auditor devera aprender somente os i tens necessários para atividades do dia a dia; • Introdução aos controles gerais de computadores (operação , aqu is ição , desenvo lv imento e manutenção de sistemas; controles de acesso, hardware, controles organizacionais e suporte técnico); • Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável. O treinamento para aqueles que possuem experiência em tecnologia da informação deve incluir: • Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, hardware, controles organizacionais e suporte técnico). Auditoria de sistemas aplicativos, princípios e práticas de auditoria com ênfase nos c o n t r o l e s g e r e n c i a i s e o r g a n i z a c i o n a i s , monitoramento e emissão de relatórios; • G e r e n c i a m e n t o d e r i s c o s , p r i v a c i d a d e , desenvolvimento e implementação de políticas e estratégias de segurança da informação; • Avaliação dos sistemas on line com relação ao processamento em tempo real, controles de recall e identificação de programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações. Também inclui correção, detecção e manutenção de diários (journaling) das operações; • Transmissãode dados, proteção de informações, segurança associada ao uso dos sistemas, teleprocessamentos, redes internet, intranet e extranet; • Controles de operações, processamento interativo em atividades de negócios e e-commerce; • Iniciação de trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisões necessárias; • Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de backup, emergência e recuperação) de desastres; • Software de auditoria, distinguindo-se os softwares generalistas dos específicos, como apoio dos especialistas em tecnologia da informação para desenvo lver so f twares que a ten tem para metodologias próprias. Biblioteca Técnica O grupo de auditores de sistemas de uma empresa deve ter à sua disposição uma biblioteca técnica para consulta. Não apenas sobre informações pertinentes ao processamento de dados, mas também sobre produtos da empresa para os quais houve uma auditoria prévia. Desta forma, será possível a orientação dos trabalhos dos auditores de acordo com padrões conhecidos na empresa e a manutenção do conhecimento técnico em relação às novas tecnologias. Também devem ser arquivados todos os relatórios de auditorias prévias, com os respectivos papéis de trabalho, pois os mesmos servirão de fonte de consulta em auditorias futuras sobre o mesmo assunto. Auditoria Da Tecnologia Da Informação A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos registros, de acordo com os documentos-fonte (os documentos que geram as transações econômicas, financeiras e contábeis) disponíveis através de quaisquer dados intermediários que possam existir e para os quais são produzidos relatórios para a tomada de decisões gerenciais. Porém, devido à evolução da tecnologia da informação, que interfere nas tecnologias gerenciais, geração a geração, é necessário guardar as informações para que estejam disponíveis para a auditoria, quando solicitadas. Sabe-se que devido à complexidade dos ambientes e expansão dos negócios que atingiram implementações em ambientes de internet, intranet e extranet, há grandes problemas quanto à vulnerabilidade de computadores e casos de fraude. D e p e n d e n d o d a s o fi s t i c a ç ã o d o s i s t e m a computadorizados, podemos ter três tipos de abordagens de auditoria de sistemas. • Abordagem ao redor do computador ➡Muito usada no passado, resume-se no exame dos níveis de anuência associados à aplicação dos controles organizacionais, no que concerne à tecnologia de informação. ➡ Isto significa a auditoria de documentos-fonte com as funções de entrada subjacentes e dominando as funções de saída, que se encontram em formatos de linguagem legível para leigos em Informática. ➡Pouca ou nenhuma atenção é prestada às funções de processamento. O sistema de processamento eletrônico de dados nesta época foi usado para tarefas menores, tais como obtenção de níveis de estoque e sugestões para realimentação, quando fossem reais. ➡As operações simples como isolamento de estoque com pouca movimentação e estoques obsoletos também eram executadas petos computadores, gerando relatórios impressos. • Abordagem através do computador ➡Esta abordagem envolve mais do que a mera confrontação de documentos-fonte com resultados esperados, simulando todas as transações possíveis, através do uso do test data (ferramenta para auditoria, que veremos em aulas futuras). ➡No entanto, este método alerta quando há o manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências documentais razoáveis através de controles de programas construídos junto aos sistemas. ➡Por esta razão, o auditor precisa acompanhai o processamento através e dentro do computador. • Abordagem com o computador ➡A primeira abordagem (ao redor do computador) não é eficiente devido ao fato de que negligencia algumas das qualidades dos controles internos dos sistemas e propícia falta de disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas. ➡A segunda abordagem (através do computador), preferida em relação à primeira, pode também produzir registros incompletos. ➡Ao invés de efetuar uma verificação de equilíbrio com as ferramentas, ela tende a negligenciar os procedimentos manuais, deixando incompleta a maioria das tarefas normalmente efetuadas manualmente. ➡Corno consequência, as firmas de auditoria e os pesquisadores da área contábil propuseram um meio de auditar as tecnologias de informação com a maior perfeição possível, utilizando a abordagem com o computador completamente assistida. ➡Veja o documento do saiba mais para ver quais objetivos são alcançados dessa forma. Padrões e Código de Ética para a Auditoria de Sistemas de Informação Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos estados Unidos, os padrões são: Responsabilidade, autoridade e prestação de contas ➡A responsabilidade, a autoridade e a prestação de contas sobre a função de auditor de tecnologia de i n f o r m a ç ã o d e v e m s e r a p r o p r i a d a m e n t e documentadas em uma carta proposta ou de aderência ao escopo. Independência profissional ➡Em todas as questões relativas à auditoria, o auditor de tecnologia da informação deve ser independente, seja em atitude ou aparência. ➡No relacionamento organizacional, a função de auditor de tecnologia da informação deve ser suficientemente independente da área sob auditoria para permitir uma conclusão objetiva da auditoria. Ética profissional e padrões ➡O auditor de tecnologia da informação deve aderir ao código de ética da Associação de Controle e Auditoria de Tecnologia da Informação, atentando para o cumprimento do zelo profissional. ➡O devido zelo profissional e a observância dos padrões profissionais de auditoria devem ser exercidos em todos os aspectos do trabalho do auditor de tecnologia da informação. Competência ➡O auditor de tecnologia da informação, no uso de suas habilidades e conhecimentos, deve ser competente tecnicamente, possuindo habilidades e conhecimentos necessários para a execução do trabalho do auditor. ➡O auditor de tecnologia da informação ainda deve manter a competência técnica através de constante aprimoramento profissional por via educação continuada. Planejamento ➡O auditor de tecnologia da informação deve planejar suas tarefas para direcionar os objetivos da auditoria e seguir os padrões profissionais de auditoria aplicáreis. Sua equipe deve ser supervisionada apropriadamente para assegurar que os objetivos de auditor ia sejam alcançados e os padrões profissionais de auditoria aplicáreis sejam respeitados. ➡Outrossim, durante o curso da auditoria, o auditor de tecnologia da informação deve obter evidências suficientes do trabalho realizado, sendo estas evidências confiáveis, relevantes e proveitosas para alcançar efetivamente os objetivos da auditoria. ➡Os pontos e as conclusões da auditoria devem ser fundamentados por meio de análise e interpretação apropriadas destas evidências. Emissão do relatório ➡O auditor de tecnologia da informação deve prover um relatório, em forma apropriada, para os destinatários, por ocasião da conclusão do trabalho de auditoria. ➡O relatório deve apresentar escopo, objetivos, período de abrangência, natureza e extensão do trabalho executado. ➡Deve identificar a organização, os usuários desejáveis e quaisquer restrições à sua circulação.➡Ainda, neste relatório, devem-se incluir as observações, conclusões, recomendações e quaisquer ressalvas ou conceitos que o auditor possua a respeito da auditoria. ➡O auditor não altera nada no objeto de auditoria (sistema, área auditada, CPD). Apenas constata vulnerabilidade e fraquezas, informa oficialmente e recomenda ações de acerto, mas NUNCA soluções. ➡Estas são de responsabilidade dos auditados. Atividades de follow-up ➡O auditor de tecnologia da informação deve requisitar e avaliar informações apropriadas sobre o ponto, as conclusões e as recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil, conforme informado petos auditados. Código De Ética Profissional (ISACA) A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros da ISACA devem: 1. Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento. 2. Exercer suas funções com objetividade e zelo profissional de acordo com os padrões profissionais e melhores práticas. 3. Servir aos interesses dos stakeholders de forma legal e honesta, com alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão. 4. Manter privacidade e confidencialidade das informações obtidas, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas. 5. Manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem razoável habilidade. 6. Informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos. 7. Apoiar a conscientização profissional dos stakehoiders para auxiliar a sua compreensão dos sistemas de informação, segurança e controle. Nesta aula, você: - - - • Conheceu o que é Auditoria de Sistemas; • Distinguiu o papel e o perfil do auditor de sistemas; • Identificou tipos de auditorias da Tecnologia da Informação (TI); • Entendeu o comportamento e a ética de um auditor de sistemas. AUDITORIA DE SISTEMAS CCT0181_EX_A1 1a Questão (Ref.: 201102392172) Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar: alterações de cronograma ações corretivas respostas de risco replanejamento retrabalho 2a Questão (Ref.: 201102392124) Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: confiabilidade credibilidade confidencialidade consistência integridade 3a Questão (Ref.: 201102544287) Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Presidência Executiva Diretoria Financeira Diretoria de Informática Diretoria Administrativa Diretoria Executiva 4a Questão (Ref.: 201102392188) A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: os auditores não tem horário fixo para exercer suas atividades ela diz para os gerentes como consertar as falhas encontradas os salários dos auditores são compatíveis com os dos diretores esta posição demonstra o status e o poder que a Auditoria possui ela necessita de autonomia para executar suas atividades 5a Questão (Ref.: 201102392122) Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem interna ao computador abordagem através do computador abordagem externa ao computador abordagem ao redor do computador abordagem com o computador 6a Questão (Ref.: 201102392180) Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: o controle sobre trabalhos realizados é mais seguro a equipe será treinada conforme objetivos de segurança da empresa o treinamento dos auditores é responsabilidade da área de recursos humanos o custo é distribuído pelos auditados a metodologia utilizada é da empresa de auditoria externa Auditoria De Sistemas 1 Aula 1 1 Auditoria De Sistemas De Informação 1 Abordagem Inicial 1 Posicionamento da Auditoria de Sistemas nas organizações 3 Perfil do auditor de Sistemas 4 Equipe De Auditoria 5 Interna: 5 Externa: 6 Programa De Desenvolvimento De Carreira De Auditor De Tecnologia Da Informação 6 Biblioteca Técnica 9 Auditoria Da Tecnologia Da Informação 9 Padrões e Código de Ética para a Auditoria de Sistemas de Informação 12 Responsabilidade, autoridade e prestação de contas 12 Independência profissional 12 Ética profissional e padrões 13 Competência 13 Planejamento 13 Emissão do relatório 14 Atividades de follow-up 15 Código De Ética Profissional (ISACA) 15 CCT0181_EX_A1 16 ______________________________________ Aula 2 Planos De Contingência Gerenciar Mudanças Ou Surpresas? Nesta aula, você irá: 1. Conhecer o que é um plano de contingência; 2. Identificar ameaças e desenvolver suas respostas de risco; 3. Desenvolver uma matriz de risco; 4. Tomar ciência de processos/sistemas críticos de uma área/empresa. Gerenciando Mudanças Para quem observou a tragédia ocorrida em 11 de setembro de 2001 em Nova York, foi possível perceber que, poucos minutos após a explosão do segundo edifício, o trânsito na ilha estava liberado apenas para ambulâncias e o corpo de bombeiros. Vocês pararam para pensar como eles conseguiram se organizar tão rapidamente? Posso jurar que havia um plano de contingência da prefeitura da cidade de Nova York para a evacuação das ruas, permitindo apenas o trânsito de ambulâncias e do corpo de bombeiros. Bastou que fosse decretado estado de emergência para trânsito nas ruas, que todas as pessoas envolvidas na organização para deixar as ruas livres atuassem como havia sido previamente planejado (só complementando o exemplo, na construção das duas torres gêmeas foi pensada a hipótese de choque aéreo, considerando um impacto com tanque cheio do maior avião existente na época). Isto é um plano de contingência: uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço. Estas ações são definidas antes que os riscos ocorram. Na tranquilidade, podemos imaginar as consequências e o que será necessário fazer para restabelecermos a ordem. Teremos calma e tempo para contactarmos fornecedores, treinarmos pessoas a evacuarem locais e definirmos locais alternativos para trabalharmos na eventualidade de não podermos acessar nossos escritórios. Normalmente, as catástrofes têm baixa frequência de ocorrência, altos riscos de incerteza, mas, se ocorrem, suas consequências podem ser devastadoras. Um plano de contingência é necessário para: ➡Reduzir a suscetibilidade a danos (identificando previamente os riscos que poderão ocorrer em nossos sistemas/negócios, podemos dificultarsua ocorrência de modo a minimizar seus impactos. Entretanto, não podemos impedi-los); ➡Aperfeiçoar a habi l idade em sobreviver à descontinuidade de rotinas (estando preparados para a eventualidade da ocorrência de uma ameaça, saberemos como agir, caso ela ocorra. Em situações de emergência, trabalhamos apenas com os sistemas ou processos críticos, ou seja, aqueles sem os quais a empresa não sobrevive); ➡Reduzir a descontinuidade de rotinas (tendo alternativas para sobreviver em situações precárias de trabalho, realizando os trabalhos críticos); ➡Reduzir custos de recuperação (pensando antes no que poderá acontecer, tomamos medidas que envolvam melhor custo benefício para sobreviver em situações de emergência). Áreas De Negócios Responsáveis peta continuidade da operação de suas áreas (mesmo na eventualidade de o acordo de nível de serviço não ser cumprido); Desenvolvem seus planos, para todas as funções e níveis (junto com o pessoal de Sistemas, quando for pertinente); Cada área deve incluir os planos das áreas interdependentes (cada área possui o plano de contingência das áreas com quem possui interface. Atentar ao fato que os planos devem ser distintos); Coordenação das atividades (alguém deve gerenciar a confecção dos planos de contingência da empresa a fim de se evitar situações não gerenciáveis por incompatibilidade de estratégia e múltiplas requisições de mesmos recursos). Riscos E Ameaças Vamos ver algumas definições, conforme Claudia Dias em aSegurança e Auditoria da Tecnologia da Informação", cap. 2: Ameaça • Evento ou atitude indesejável (roubo, incêndio, vírus, fraude,...) que potencialmente remove, desabilita ou destrói um recurso. É quando algo ou alguém viola a confidencialidade, integridade, disponibilidade, etc. • As ameaças podem ser acidentais (falha de hardware, desastres naturais, etc.) ou deliberadas (roubo, fraude, invasão, etc.). • As ameaças deliberadas podem ser passivas (não alteram a informação) ou ativas (alteram a informação). Exemplos de ameaças: ➡ vazamento de informação (voluntár ia ou involuntária), ➡ violação de integridade (há alteração dos dados, comprometendo a consistência dos dados), ➡ indisponibilidade de serviços de informática (usuário não consegue acessar o sistema como quando acontece troca de senha por invasão de hacker. Neste caso também há violação de integridade!), ➡ mascaramento (uma pessoa se passa por outra), ➡ ameaças programadas (códigos que se alojam no sistema com intuito de comprometer sua segurança como no caso de vírus), ➡ sequestro, roubo, incêndio, deslizamento, inundação. Recurso • Um componente físico, hardware, software, informação. Pode ser humano também. Vulnerabilidade • Fraqueza que pode ser explorada por uma ameaça. Está associada à probabilidade de ocorrência (chance de). Ataque • Ameaça concretizada. Impacto • Resultado de um ataque. Pode ser direto (envolve perdas financeiras) ou indireto (não envolve diretamente perdas financeiras, mas situações como descumprimento da lei, perda de reputação e credibilidade, conflito com acionistas e clientes, etc). Risco • Medida da exposição a qual o sistema está sujeito. Envolve: ameaças, vulnerabilidades impactos. Sistemas / Áreas/Funções Críticas Quando pretendemos fazer um plano de contingência, devemos identificar as funções (se estivermos fazendo o plano de contingência de um sistema), os sistemas (se estivermos fazendo um plano de contingência para o CPD) ou as áreas (se estivermos trabalhando com um departamento) críticas, como já vimos na aula de hoje. A elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Muitas vezes temos que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão, não fazemos o plano de contingência da totalidade das funções do objeto do plano de contingência. Se estivermos fazendo um plano para um determinado sistema como, por exemplo, o Sistema de Contas Correntes de uma agência bancária, o qual tem que identificar o que é crítico no sistema ou nâo, pensamos: na hipótese de o servidor cair, o que NÀO pode deixar de ser feito? Os depósitos poderão ser feitos manualmente: o caixa recebe o depósito e manualmente o registra, fornecendo um recibo ao cliente. Quando o sistema voltar a funcionar, algum funcionário entrará com os depósitos no sistema. Já o saque não pode ser feito, pois o caixa não saberá com exatidão o saldo do cliente. Então, temos que fazer uma contingência para a função saque. Matriz De Risco ➡Ao se pensar em fazer um plano de contingência, devemos, inicialmente, levantar os riscos envolvidos. ➡Esse trabalho deverá ser feito por uma equipe composta de pessoas relacionadas ao objeto da contingência (sistema, área, CPD). ➡U m a b o a f e r r a m e n t a p a r a i s s o é o BRAINSTORMING. (Brainstorming ou tempestade de ideias é uma reunião onde as pessoas opinam, sem muito pensar e usando a criatividade, para achar a solução para algum problema). ➡Cabe aqui a observação de que o risco não é um erro! ➡Devemos partir do pressuposto que os sistemas e processos da empresa funcionam adequadamente. ➡Uma transação processada para um cliente diferente do que o que deveria ser é erro de sistema e não um risco. Já uma queda de luz é um risco. ➡Costumo diferenciar os dois perguntando: depende de mim ou do meu pessoal? Se sim, é erro, senão, é risco. ➡Temos ameaças que possuem uma mínima chance de ocorrência (terremoto no Rio de Janeiro). Entretanto, se ela ocorrer, seu efeito é desastroso. Temos também as ameaças que ocorrem frequentemente, porém, com baixo impacto para a empresa (worms). ➡Para que possamos identificar os riscos para os quais iremos desenvolver o plano de contingência, devemos priorizá-los. ➡Para isso usamos uma matriz de risco onde são considerados o impacto que ela poderá causar na empresa e a probabilidade de ocorrência de uma ameaça, caso ocorra. ➡O método mais usual de se obter essa matriz é através de ponderação. ➡Damos pesos aos critérios (probabilidade e impacto) e observamos o comportamento de cada risco em relação aos critérios. No final, conseguimos o escore de risco que decidirá para quais riscos iremos fazer o plano de contingência. ➡Não há regra fixa para definir os pesos e usarei o que está no livro da Claudia Dias, “Segurança e Auditoria da Tecnologia da Informação", cap. 2: Impacto Normalmente os impactos são analisados sob dois aspectos: curto e longo prazo, em função do tempo em que o impacto, causado por uma ameaça, permanece afetando os negócios da empresa. Podemos classificá-los em uma escala de 0 a 5, por exemplo: 0.Impacto irrelevante 1.Efeito pouco significativo, sem afetar a maioria dos processos de negócio da empresa. 2.Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras. 3.Perdas financeiras de maior vulto e perda de clientes para a concorrência. 4.Efeitos desastrosos, porém sem comprometer a sobrevivência da empresa. 5.Efeitos desastrosos, comprometendo a sobrevivência da empresa. Probabilidade De Ocorrência De Uma Ameaça De forma análoga, os pesos das probabilidades de ocorrência de uma ameaça podem ser distribuídos em escala de 0 a 5 conforme: 0 Ameaça completamente improvável de ocorrer. 1 Probabilidade de a ameaça ocorrer menos de uma vez por ano. 2 Probabilidade de a ameaça ocorrer pelo menos uma vez por ano. 3 Probabilidade de a ameaça ocorrer pelo menos uma vez por mês. 4 Probabilidade de a ameaça ocorrer pelo menos uma vez por semana. 5 Probabilidade de a ameaça ocorrerdiariamente. Pelo exemplo observamos que a pior ameaça é o ataque de vírus, seguida de falta de luz. Supondo que estabelecemos o escore mínimo para desenvolvimento de respostas de risco em 10, só serão desenvolvidas ações de contingência para as ameaças falta de luz e ataque de vírus. Para todos os riscos faremos os controles que tentem: Eliminar o risco Reduzir o risco a um nível aceitável Limitar o dano, reduzindo o impacto Compensar o dano por meio de seguros Atenção Ameaças que envolvem risco de vida devem ser consideradas de alto escore, independente da probabilidade de ocorrência da mesma. Planos De Contingência Um plano de contingência subdivide-se em três planos, a saber: Plano de Emergência Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. Principais objetivos: • Prever as possibilidades de desastres (naturais ou provocados) • Prover meios necessários para detectar antecipadamente e eliminar/frear o dano • Prover segurança física: fogo, fumaça,água, intrusos • Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco • Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco • Ações a serem seguidas (checklist), na eventualidade da ocorrência de uma ameaça. • Manter de stand by o pessoal envolvido. EXEMPLO: INCÊNDIO A. Quem decide e quando o local a ser evacuado B. Quais as proteções para pessoas e recursos C. Extintor de incêndio diferente para cada caso D. Quem chama os bombeiros, quem desliga a eletricidade E. Local alternativo para trabalhar até a recuperação da TI F. Participação dos integrantes da Comissão Interna de Prevenção de Acidentes (CIPA) G. O plano de emergência, após testado e aprovado, será utilizado na eventual ocorrência de uma ameaça. H. O plano de emergência deverá seguir um calendário de teste para que possa se manter atualizado. Plano de Backup Cuja função é prover recursos de continuidade (para serviços críticos). • O objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. • Provê: Backup de arquivos Processamento alternativo Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos Atualização da biblioteca externa Um lugar afastado do local principal de trabalho onde são guardados todos os recursos que possam ser necessários para a operação do negócio em caso de emergência. Acordos com terceiros através de acordos de reciprocidade São acordos feitos entre duas empresas que possuam o mesmo t ipo de equipamento ou área de trabalho equivalente. Quando uma das empresas não puder usar o seu equipamento, usará o do “parceiro”, em turnos de trabalho diferentes. Atenção especial: 1. Interrupções que causarão maiores perdas 2. Tempo máximo possível para indisponibilidade 3. R e c u r s o s e a m b i e n t e s alternativos disponíveis 4. Treinamento da equipe 5. Teste do Plano (calendário) 6. Avaliação dos resultados 7. Atualização do Plano 8. Divulgação (parcial sempre que possível) Plano de Recuperação Provê a capacidade de restauração permanente das atividades da área de negócio/CPD. São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. A elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Temos que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão, a recomendação é não fazer o plano de contingência da totalidade das funções. Nesta aula, você: • Conheceu o que é um plano de contingência; • Tornou-se apto a identificar ameaças e a desenvolver suas respostas de risco; • Aprendeu como desenvolver uma matriz de risco; • Tomou ciência de processos/sistemas críticos de uma área/empresa. AUDITORIA DE SISTEMAS CCT0181_EX_A2 1a Questão (Ref.: 201102398014) Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados. IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. Indique a opção que contenha todas as afirmações verdadeiras. I e III II e IV III e IV II e III I e II 2a Questão (Ref.: 201102392234) Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: sujeitos a aprovação da crítica do cliente essenciais para manter a continuidade do serviço que não devem ser descontinuados por terem caducado definidos pelo usuário como sendo os mais complexos prioritários para serem refeitos 3a Questão (Ref.: 201102392398) As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: visibilidade do cliente, volume médio diário de transações processadas e idade do sistema custo do sistema, número de requisitos funcionais e visibilidade do cliente volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas custo do sistema, nível de documentação existente e complexidade dos cálculos capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais 4a Questão (Ref.: 201102573899) Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I. Falha no dispositivo de gravação de disco II. Falta de suprimento para impressão de contra- cheques III. Totalização no relatório de estoque incorreto IV. Queda de energia eletrica R,E,R,E E,R,E,R R,E,E,R E,R,R,E R,R,E,E 5a Questão (Ref.: 201102573922) Assinale a opção verdadeira: Respostas de risco são atividades que devem ser evitadas para não gerar riscos ações a serem seguidas na eventualidade da ocorrência de uma ameaça relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria 6a Questão (Ref.: 201102909437) plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursosnecessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 1c. 2b, 3a 1c, 2a, 3b 1a, 2b, 3c 1b,2a,3c 1b, 2c, 3a ______________________________________ 21 Aula 2 21 Planos De Contingência 21 Gerenciar Mudanças Ou Surpresas? 21 Gerenciando Mudanças 21 Áreas De Negócios 23 Riscos E Ameaças 24 Ameaça 24 Recurso 25 Vulnerabilidade 25 Impacto 25 Risco 26 Sistemas / Áreas/Funções Críticas 26 Matriz De Risco 27 Impacto 28 Probabilidade De Ocorrência De Uma Ameaça 29 Planos De Contingência 31 CCT0181_EX_A2 35 _______________________________________ Aula 3 Realizando Uma Auditoria Nesta aula, você irá: 1. Conhecer as fases de uma auditoria; 2. Saber como planejar uma auditoria; 3. Aprender como conduzir a execução de uma auditoria; 4. Saber como comunicar as falhas encontradas para os auditados; 5. E n t e n d e r a i m p o r t â n c i a d o f o l l o w - u p (acompanhamento). Realizando Auditoria ❑ O dia a dia da auditoria de sistemas. ❑ Fases de uma auditoria de sistemas. A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos, regras, normas ou padrões. Pode ser dividida em três fases: planejamento, execução e relatório. Planejamento Tendo ou não uma equipe de auditores internos, as empresas devem fazer auditorias periódicas no seu data center ou CPD, mas não fazem auditoria de todos os seus sistemas. É necessário escolher quais os sistemas que são passíveis de serem auditados e, normalmente, a escolha é pelo seu escore de risco. Para o cálculo do risco de um sistema podemos considerar os seguintes itens: 1. Custo do sistema; 2. Valor diário das transações em real, a ser processado ou gerenciado pelo sistema durante um dia médio; 3. Volume diário de transações processadas em média, por dia; 4. Visibilidade do cliente (é o número ou importância dos clientes afetados pelo sistema, entendendo-se como importância o retorno que o cliente oferece e/ ou o número de usuários finais do sistema); 5. Impacto em outros sistemas (interfaces); 6. Extensão do sistema (é o número de unidades operacionais que o sistema servirá); 7. Capacitação dos profissionais de desenvolvimento e usuários. Excetuando-se o último item, quanto maior for o valor de cada item, maior o risco. Para medir o risco de cada sistema podemos usar o método da ponderação. Para tanto, definimos pesos para os itens. Verificamos a situação de cada sistema em relação a esses itens, atribuindo uma nota (de O a 10) para cada item. Multiplicamos o peso pela nota e somamos essas multiplicações. Temos o escore de risco do sistema. A empresa determina que serão auditados os sistemas de escore considerado alto (para isso deverá determinar faixas de escore). Poderíamos, por exemplo, ter um formulário como o abaixo, para a pontuação do risco: Se o escore de risco for maior que 500, o sistema está indicado para auditoria. Uma vez tendo um sistema sido escolhido para ser auditado, o auditor necessita ter conhecimento sobre a área, o produto e o ambiente para o qual o sistema dará suporte operacional. Conhecendo o ambiente computacional e do negócio, o auditor terá noção da complexidade do sistema e poderá estabelecer recursos e conhecimentos técnicos necessários para a equipe de auditores. Este conhecimento pode ser adquirido através de cursos, manuais, visitas técnicas ou qualquer outro meio que permita ao auditor entender sobre a área, o produto e o ambiente ao qual pertence o sistema que irá auditar. Após esta fase de iniciação, o passo seguinte é decidir quais controles internos, quais processos e controles de negócio devem estar presentes no sistema, em forma sistêmica ou manual, bem como quais ferramentas de auditoria serão utilizadas e quais recursos serão necessários. Controles Internos Podem ser considerados controles internos: C01 – Integridade de Dados /Processos/Dados e Processos • Acuidade dos dados • Completude dos dados • Prontidão dos dados • Autorização de dados • Confidencialidade dos dados • Detecção-Correção de erros de telecomunicações Controle de mudança de sistema/programa Controles de arquivos/tabelas de dados Reconciliação • Comparação de dados no sistema Reporte / comunicação Renovações C02 – Segurança do Sistema • Segurança de acesso ao sistema • Segurança da rede • Segurança das telecomunicações • Segurança do banco de dados • Segurança física • Encriptação de dados • Assinatura digital • Controles de bibliotecas de sistemas/aplicações • Controle de bibliotecas de produção, de desenvolvimento e teste • Supervisão de rede C03 – Legibilidade operacional • Restart/recovery • Backup • Plano de contingência • Procedimentos dos usuários • Instruções operacionais • Treinamento • Documentação • Considerações de desempenho/capacitação C04 – Conformidade Legal • Políticas empresariais • Padrões e normas empresariais • Decretos e emissões de agencias regulatórias Contratual • Seguro C05 – Guarda de registros (rastreamento) • Trilha gerencial/de evento • Retenção de dados/arquivos • Trilha de auditoria (trilha de auditoria: conjunto de rotinas e arquivos de controle que permitem a reconstrução de dados ou procedimentos) C06 – Guarda de ativos • Custódia C07 – Programas de sistemas • Monitoramento de teleprocessamento • Sistemas Operacionais • Sistema de gerenciamento de banco de dados • Utilitários, etc C08 – Organização / Administração • Segregação de funções (para evitar conflito de interesses. São pessoas distintas dando continuidade a um procedimento. Por exemplo, quem testa é alguém diferente de quem codifica um programa) • Organização do projeto C09 – Processo de desenvolvimento • Definição do projeto • Análise de requisitos • Controle de projeto • Participação do usuário • Requisição de proposta • Seleção de vendedores • Desenho do sistema • Programação/ código • Teste de unidade e/ou sistema • Conversão • Treinamento • Teste de aceitação • Execução do projeto piloto ou paralelo C10 – CPD / Data center • Segurança física • Segurança no geral • Procedimentos das bibliotecas • Suprimento sensível • Controle de mudança de sistema/programa • Bibliotecas externas • Hot-sites, instalações externas C11 – Contrato de serviços de sistemas/ ordens de serviço C12 – Procedimentos e padrões (se a empresa tiver) Processos Identificar se os processos existem e se estão coerentes com os padrões da empresa. P.01 - Plano do Negócio P.02 - Aprovação do Projeto P.03 - Definição / viabilidade P.04 - Plano de implementação P.05 - Analise detalhada - desenho do sistema P.06 - Requisição de aprovação P.07 - Seleção de parcerias/fornecedores P.08 - Desenho do sistema P.09 - Plano de teste de desenvolvimento P.10 - Plano de conversão/instalação P.11 - Plano de teste P.12 - Programação/teste P.13 - Teste de aceitação P.14 - Manual do usuário P.15 - Manual de operação P.16 - Relatório de aceitação de teste P.17 - Conversão P.18 - Aceite do usuário Controles de negócio São controles específicos para cada projeto, conforme o produto para o qual o sistema dará suporte operacional. Por exempto se estivermos auditando um sistema de administração de cartão de crédito, o sistema deverá estar preparado com processamento e rotinas manuais para: • Cartão clonado • Cartão extraviado • Extrato de pagamento extraviado • Cliente tentar comprar acima de seu limite de crédito, etc. Toda auditoria deve ser tratada como um projeto e, para tanto, deverá ter um cronograma e um orçamento. Ocronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado, atém da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle por dia, mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de mesma pertinência para serem verificados ao mesmo tempo. Além das atividades pertinentes à auditoria em si: • contatos, • revisão de documentação, • documentação, • preparação de fluxos de sistemas, • testes, • execução de walkthroughs (representação gráfica de todo o ambiente computacional sob auditoria), • planejamento, • análise de risco, • avaliação de ponto de controle, • confecção de observações, • viagem de projeto, • familiarização com o projeto), devemos considerar atividades não específicas de auditoria (viagens, treinamento de auditoria, ausência, atividades administrativas, interface com auditoria externa, reuniões outras que não as do projeto) para efeito de determinação dos prazos. O orçamento é baseado nas atividades identificadas para a condução da auditoria em questão. Execução Tendo terminado o planejamento da auditoria, o auditor deverá informar à área auditada que o sistema foi eleito para auditoria. Deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e da área usuária, onde a Auditoria informará que o sistema foi selecionado para auditoria. Informará também o que será investigado na auditoria (as preocupações da auditoria, que são traduzidas nos controles internos, processos e controles de negócio), o tempo estimado do trabalho, a provável data de emissão do relatório fina. A Auditoria pedirá a colaboração das áreas de Sistemas e usuária para que solicitem aos seus funcionários que colaborem com os auditores, fornecendo-lhes o que for pedido. Começa então o trabalho de campo, onde os auditores irão verificar a existência dos controles internos, processos e controles de negócios. Serão feitos testes, as documentações serão analisadas, entrevistas serão realizadas com o pessoal das áreas envolvidas. Este trabalho deve ser todo documentado, pois será a evidência do trabalho da auditoria! Todo o trabalho da auditoria é registrado em papeis de trabalho, que são arquivados por auditoria, ou seja, por projeto de auditoria. Os contatos telefônicos ou pessoais, as observações visuais, as reuniões, as visitas técnicas, os testes, as solicitações, enfim, todo o movimento do trabalho de campo deve se registrado em formulários apropriados para cada situação e codificado conforme o caso. Exemplo: Criar um formulário para anotar os contatos realizados com os auditados, onde serão registrados o sistema, a data, hora de início e término, local, tipo de contato (telefone, reunião, observação, etc), assunto, pessoas envolvidas e o assunto falado. O conteúdo registrado pode ser pequeno ou grande, dependendo do que for abordado. Desta forma, o auditor poderá rastrear todo e qualquer assunto discutido durante a auditoria. A cada formulário, dar um número precedido de uma identificação que corresponda ao papel de trabalho, a nota de contato. Esta nota de contato fica arquivada na Auditoria e não é distribuída a ninguém. Se o evento for uma reunião, onde ficarão registrados os assuntos discutidos, então preparamos outro papel de trabalho, uma ata de reunião. Esta sim é distribuída aos presentes na reunião e a quem mais o assunto possa interessar. Ao identificar uma fraqueza, o auditor deverá informar imediatamente ao auditado, verbalmente, sobre o fato. Discutirá com ele e solicitará que a acerte. Nesta pequena conversa, ficarão esclarecidas dúvidas sobre a pertinência da fraqueza. Nunca, sob qualquer hipótese, o auditor dará a solução para o acerto da fraqueza! Isto é competência da área de Sistemas! O auditor apenas identifica a fraqueza e a informa, recomendando solução. Após o informe verbal, o auditor emite um comunicado de falha, com os riscos que ela poderá trazer ao sistema, ao negócio e à empresa e recomenda o acerto da mesma. Solicita, neste formulário, que o auditado diga se concorda ou não com a falha encontrada e, em caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá informar por escrito e justificar sua discordância. O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de solução da falha) e segue seu trabalho de campo. Na data prevista de acerto de uma falha, o auditor deverá verificar pessoalmente, com evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi consertada. Em caso negat ivo, emite outra comunicação de falha e segue no procedimento. Ao término do trabalho de campo, quando todos os controles internos, processos e controles de negócios foram verificados, o auditor se prepara para a emissão do relatório. Emissão E Divulgação De Relatórios O relatório de auditoria será emitido baseado no trabalho de campo realizado. A "nota" do relatório será dada conforme as comunicações de falhas emitidas e não resolvidas até o momento da emissão do relatório. O rascunho do relatório, sem a nota, é discutido com os auditados antes da sua emissão oficial. O objetivo é esclarecer que todos os pontos abordados no relatório foram trabalhados com os auditados e não há nenhuma surpresa no relatório. Somente após esta reunião é que a Auditoria emite o relatório, endereçado ao diretor da área de Sistemas, com cópia para a direção da área usuária do sistema. Quem assina o relatório de auditoria é o auditor responsável e o diretor da Auditoria, devido à importância que um relatório de auditoria representa. A apresentação do relatório deve ser impecável! Papel de ótima qualidade, capa e sem erros de Português! Teremos uma aula específica sobre este assunto mais para o final do curso. Follow-up Já vimos nesta aula que o acompanhamento das falhas encontradas em uma auditoria é importante para assegurarmos que os sistemas são seguros. Claro que o auditado pode não consertá-la. Mas isto terá um preço que a direção da empresa cobrará! A Auditoria deve acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do relatório. A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do CPD, se for o caso. Nesta aula, você: • Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e follow-up dos acertos das falhas encontradas na auditoria; • Aprendeu a planejar uma auditoria; • Aprendeu como conduzir a execução de uma auditoria; • Aprendeu como comunicar as falhas encontradas para os auditados; • E n t e n d e u a i m p o r t â n c i a d o f o l l o w - u p (acompanhamento) dos acertos das falhas encontradas na auditoria. AUDITORIA DE SISTEMAS CCT0181_EX_A3 1a Questão (Ref.: 201102392261) Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: integridade de dados conformidade legibilidade operacional segurança do sistema processo de desenvolvimento 2a Questão (Ref.: 201102531468) Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza- lo para ser auditado, devemos considerar: O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outrossistemas O custo do sistema, o local físico do CPD e o número de arquivos do sistema seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações 3a Questão (Ref.: 201102392259) Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: segurança do sistema processo de desenvolvimento guarda de ativos conformidade integridade de dados 4a Questão (Ref.: 201102901854) Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: ponto de auditoria documentação ponto de integração ponto de partida ponto de controle 5a Questão (Ref.: 201102544995) Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. classificação da informação / programas política de segurança / procedimentos política de segurança / acionistas majoritários estrutura organizacional / grau de maturidade política de segurança / programas 6a Questão (Ref.: 201102392387) Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de: planejamento controle 4execução levantamento priorização de sistemas a serem auditados _______________________________________ 40 Aula 3 40 Realizando Uma Auditoria 40 Realizando Auditoria 40 Planejamento 41 Controles Internos 44 C01 – Integridade de Dados /Processos/Dados e Processos 44 C02 – Segurança do Sistema 44 C03 – Legibilidade operacional 44 C04 – Conformidade Legal 45 C05 – Guarda de registros (rastreamento) 45 C06 – Guarda de ativos 45 C07 – Programas de sistemas 45 C08 – Organização / Administração 45 C09 – Processo de desenvolvimento 46 C10 – CPD / Data center 46 C11 – Contrato de serviços de sistemas/ ordens de serviço 47 C12 – Procedimentos e padrões (se a empresa tiver) 47 Processos 47 Controles de negócio 48 Execução 49 Emissão E Divulgação De Relatórios 53 Follow-up 54 CCT0181_EX_A3 55 _______________________________________ Aula 4 Ferramentas E Algumas Técnicas De Auditoria Nesta aula, você será capaz de: 1. Conhecer algumas ferramentas de auditoria; 2. Aprender o que são hash total, header e trailler label; 3. Aprender como preparar programas especializados para auditoria; 4. Ser apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). Fases de uma Auditoria de Sistemas Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. Quando estamos em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Já para sistemas em operação, além de vermos se tais pontos de controle foram implementados, devemos testá-los. Saber quantos registros serão testados é algo a ser definido, considerando-se os pontos de controle. Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação: 1. Softwares generalistas; 2. Softwares especializados; 3. Softwares utilitários. Softwares Generalistas São constituídos de um conjunto de programas em ambiente batch (ambiente batch: processamento offline do sistema, ou seja, o oposto do processamento real time, quando a base de dados é atualizada na hora em que a transação online é inserida no sistema.), que pode processar várias funções de auditoria e simulação paralela (técnica que veremos na próxima aula), no formato desejado. Normalmente são sistemas comprados prontos, que carecem de personalização conforme necessidade dos auditores. Como funções, podemos citar extração de dados de amostra, testes, geração de dados estatísticos para análise, sumarização, gravação de arquivos auxiliares, detecção de duplicidade, sequência incorreta, totais inválidos entre outras. VANTAGENS • O software pode processar vários arquivos ao mesmo tempo; • Pode processar vários tipos de arquivos, com formatos distintos; • Pode fazer integração sistêmica com vários tipos de softwares e hardwares; O auditor não precisa ser especialista em informática para desenvolver aplicativos para testar seus dados. DESVANTAGENS • As aplicações não podem ser feitas online já que gravam diversos arquivos para serem analisados em separado; • Não provê cálculos específicos para sistemas específicos (como cartão de crédito, por exemplo). Podemos citar como softwares generalistas: a) ACL (Audit Command language): É um software para extração e análise de dados desenvolvido no Canadá (www.acl.com); b) IDEA (Interactive Data Extraction & Analysis): Software para extração e análise de dados também desenvolvido no Canadá; c) Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA (www.audimation.com); d) Galileo: É um software integrado de gestão de auditoria. Inclui gestão de risco de auditoria, documentação e emissão de relatórios para auditoria interna; e) Pentana: Software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria. f) SE Audit (Gestão de Auditorias): Software que realiza o gerenciamento de todas as etapas do processo de auditoria, desde o planejamento e aprovação, até o monitoramento, seja ela interna de fornecedores, e/ ou de organismos certificadores. O SE Audit é um sistema 100% web, multiusuário e multidepartamental, que incorpora ferramentas de: organização, classificação e pesquisa (www.softexpert.com.br); g) Snort: É uma ferramenta NIDS (Network Intrusion Detection System), "open-source" bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão. Outro ponto forte desta ferramenta é o fato de ser leve, pequena, fazer escaneamento do micro e verificar anomalias dentro de toda a rede à qual seu computador pertence. A utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos, e então fornece argumento para as decisões dos administradores. Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados (www.snort.com.br/default.asp); h) Nessus: É uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Foi um aplicativo open-source, hoje continua sendo de uso gratuito, mas o código fonte passou a ser fechado para evitar a concorrência predatória de outras empresas. Existem versões do Nessus para diversos sistemas, incluindo Linux, Windows, FreeBSD e MacOS X. Ao usar a versão Windows, é recomendável que você utilize o Windows 2003 ou outra versão server do sistema (www.nessus.org); i) Nmap (Network Mapper): É uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcionemuito bem contra hosts individuais. Determina quais hosts estão disponíveis na rede, quais serviços os hosts oferecem, quais sistemas operacionais eles estão executando e que tipos de filtro de pacotes/firewalls estão em uso. Normalmente é utilizado para auditorias de segurança, mas muitos administradores de sistemas e rede consideram-no útil para tarefas rotineiras como: • inventário de rede; • gerenciamento de serviços de atualização agendados; • monitoramento de host ou disponibilidade de serviço. (http://insecure.org/nmap); j) CobiT Guia para gestão de tecnologia da informação recomendado pelo ISACF (Information Systems Audit and Control Foundation (www.isaca.org). O CobiT inclui recursos tais como: • sumário executivo, • um framework, • controle de objetivos, • mapas de auditoria, • um conjunto de ferramentas de implementação e • um guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de tecnologia da informação que ajudam a otimizar os investimentos de tecnologia da informação e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de tecnologia da informação adotadas nas eme312presas. Softwares Especializados Em Auditoria São programas desenvolvidos pelos auditores (ou sob sua encomenda) a fim de testar particularidades de sistemas auditados que possuem características incomuns como, por exempto, sistema de leasing, crédito imobiliário, câmbio, etc. VANTAGENS Inclusão de testes de controles internos específicos tais como dígito verificador, controle de lote, personalizando o que se quer testar. Inclusão de hash total (hash totat: campos de controle colocados nos header* ou trailler labels** a fim de assegurar a integridade dos dados. Pode ser um algoritmo sem sentido funcional como, por exemplo, somar dia e mês de nascimento dos clientes atualizados na base de dados). *header tabe[: Registro de controle. É o primeiro registro do arquivo, contendo dados de controle tais como nome do arquivo, data de movimento, número de registros gravados, número de registros tidos, número de registros com erro, versão do arquivo, etc. **trailler labet: Registro de controle. E o último registro do arquivo e contem campos de controle tais como no header labet. DESVANTAGENS Necessita que o auditor esteja familiarizado com o desenvolvimento de tecnologia da informação; Há custos de desenvolvimento de programas. Softwares Utilitários São programas utilitários para funções básicas de processamento como somar determinados campos de um arquivo, classificar o arquivo, listar determinados campos de registros de um arquivo. Normalmente os sistemas operacionais ou os bancos de dados possuem um certo número desses programas que não são específicos de auditoria, podendo (e sendo) utilizados para debug e testes de sistemas. VANTAGENS • São fáceis de serem aprendidos; I • São fáceis de serem utilizados. DESVANTAGENS • Executam apenas funções padrões. Nem todas as auditorias de sistemas requerem as mesmas técnicas. Tudo dependerá do escopo da auditoria (o conjunto de controles internos, processos e controles de negócios) do sistema a ser auditado. Há técnicas que quase sempre serão utilizadas e veremos algumas delas agora. Estas técnicas estão descritas em Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. Attas, capítulo 3. Programa De Computador Para Auditoria. São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores). Algumas funções que podem ser incluídas em programas para auditoria: Tabulação de campos ➡somatório de datas de vencimento de títulos, gerando hash total que deverá ser confrontado com o campo correspondente no header ou trailler label; ➡somatório de campos quantitativos para efeito de confrontação ou acompanhamento de acumulados, inclusive controle de lote. Contagem de campos/registros ➡apuração de totais por tipo de registro ou campo. Análise do conteúdo de campos/registros ➡verificação da existência de campos ou registros em um arquivo; ➡correlação entre campos de um arquivo para verificação da coerência e validade desses campos; ➡cruzamento horizontal entre campos em um registro com vistas à integridade do registro. Correlação de arquivos ➡confronto de campos entre registros com vistas à garantia de ambos os arquivos. Estatísticas dos campos dos arquivos ➡apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e/ou campos de um arquivo para efetuarmos análises do comportamento desse universo. As análises a serem feitas pelo programa de computador para auditoria podem ser: Verificar se cada campo de cada registro está preenchido. Caso contrário, listar, exibir o campo em tela ou gravar em arquivo de saída; Listar código do item e código da localização física dos itens para efeito de verificação física, segundo critérios: • não movimento há mais de um ano; • quantidade em estoque menor que ponto de ressuprimento; • quantidade em estoque zero ou negativa; • valor total do item em estoque duas vezes maior que valor médio do item em estoque; Enquadramento do item segundo tabela de números aleatórios; Somar data da última movimentação de cada item em estoque e verificar se o total cruza com o total correspondente gravado no registro trailler; Multiplicar, a cada registro de item, o campo quantidade em estoque pelo campo valor unitário do item e verificar se é igual ao campo valor total do item em estoque (este é um exemplo de controle cruzado). (controle cruzado: chegar ao mesmo resultado por mais de um meio). Esses programas normalmente são rodados nos computadores da Auditoria. Em linhas gerais, o auditor pode testar um sistema de duas maneiras: 1. constrói os programas e roda com massa de dados real. 2. prepara a massa de dados e roda com programas de produção. Para tanto, necessita que, em determinada data, os arquivos do sistema em produção a serem auditados sejam copiados para o seu ambiente de auditoria, a fim de que o auditor possa realizar os testes e confrontar os resultados dos mesmos com os da produção. Questionários Para Auditoria Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle e espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta negativa, o auditor deverá agir no sentido de solicitar acertos. Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de campo. Para auditorias em CPD´s, podemos ter questionários voltados para pontos de controle cujas perguntas guardarão características intrínsecas referentes à: Segurança de rede de computadores S e g u r a n ç a f í s i c a d o s e q u i p a m e n t o s computacionais; Segurança lógica e confidencialidade dos programas e informações que trafegam nos canais de comunicação. Segurança do centro de computação Controle de acesso físico e lógico às instalações de processamento de dados; Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e sabotagens, situações de greve,etc. Eficiência no uso de recursos computacionais Tempo médio de resposta em terminal; Tempo de uso dos equipamentos a cada dia; Quantidade existente de rotinas catalogadas Eficácia de sistemas aplicativos Quantidade de informações geradas pelo computador e consumidas pelos usuários; Prazo de atendimento de novos sistemas, aos usuários; Tempo médio de solução dos problemas dos usuários da rede de computação, provida pelo help-desk. A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado ao ser questionado sobre algum ponto de controle... Visita in loco É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle. Normalmente esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista semiestruturada e questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos. A visita deve ser marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas do auditor e/ou fornecer o que lhe for pedido. Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de trabalho. Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e, posteriormente, por escrito. Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos procedimentos de uso, incluindo segurança física. Também são verificados: • Inventário de volumes de arquivos magnéticos (discos, fitas, CD´s) armazenados na fitoteca, com respectivo período de retenção anotado em cada volume; • Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários contínuos, formulários pré-impressos, etiquetas gomadas, etc); • Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de Serviço, arquivos magnéticos, schedule de produção, distribuição de relatórios; • Acompanhamento das rotinas de back-up e atualização da biblioteca externa. Entrevista As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de controle. Este roteiro servirá como guia para o auditor. A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando, portanto, flexibilidade é sempre bem- vinda! As entrevistas de campo podem ser de dois tipos: • Estruturada: aquela que utiliza formulários na coleta de dados; • Não estruturada: aquela que não utiliza formulários na coleta de dados. A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser aud i tado ou quando não há p roced imento documentado para esse processo. Entrevista Pergunte às pessoas o que elas fazem, quais informações recebem e passam adiante. Muitas vezes um auditor pouco experiente faz extensas análises da documentação envolvida no processo e pouca ou nenhuma entrada das pessoas que executam as tarefas. Sempre que possível, devemos utilizar perguntas abertas (aquelas em que o entrevistado fala l ivremente), que exigem que o auditado dê informações voluntariamente, como: • Quais as suas responsabilidades com relação a requisições? – ou – • Quê acontece com este formulário depois de preenchido? A escolha das perguntas é muito importante, principalmente para administrarmos bem o tempo. Considerando-se que uma auditoria não deve ultrapassar o limite de uma hora e meia, o auditado não deve ser dirigido para áreas irrelevantes. A observação geral das atividades dentro da área sob exame é uma parte importantíssima de uma auditoria. O auditor deve sempre cruzar informações para confirmar que as evidências se ligam completamente, de acordo com o procedimento e o fluxo dos processos. Desenvolvimento de uma entrevista, segundo o artigo Técnicas de entrevistas do TCU O plano para a entrevista é um guia a ser utilizado pela equipe de auditoria de modo flexível. As perguntas e a linha de questionamento devem ser elaboradas de forma a extrair o máximo de informação relevante no tempo disponível, devendo ser ajustadas, ao longo da entrevista, em função das respostas e das reações não verbais do entrevistado. De qualquer maneira, o clima de cordialidade e cooperação deve ser mantido, e a entrevista deve ser conduzida como uma conversação, não como um interrogatório. Durante a conversação, os membros da equipe de auditoria devem evitar o monopólio da palavra, ouvindo o entrevistado com atenção e evitando interrompê-lo, a menos que isso seja necessário e possa ser feito de maneira educada. A equipe deve lembrar que ouvir com atenção requer esforço e concentração. Da mesma forma, a equipe de auditoria deve manter- se atenta aos objetivos da entrevista, evitando distrair- se ou concentrar-se em outras perguntas, bem como coibindo qualquer desvio do assunto em discussão por parte do entrevistado. Contudo, caso esse desvio ocorra, a equipe deverá avaliar a relevância das novas informações, decidindo se convém prosseguir ou retornar ao assunto original. Seja como for, conversar sobre assuntos irrelevantes toma tempo e deve ser desestimulado. Os membros da equipe não devem se apressar em tecer comentários com o objetivo de evitar o silêncio. Algumas vezes, o período de silêncio pode ser usado para encorajar o auditado a complementar a sua idéia inicial. De qualquer forma, a equipe deve procurar controlar esses períodos, preservando a efetividade da entrevista. Para que a entrevista seja bem sucedida, os membros da equipe de auditoria devem demonstrar tranquilidade e domínio mínimo do assunto tratado, devendo-se evitar perguntas complexas, demonstrações de excesso de conhec imen to ou a t i t udes de superioridade, de maneira a não inibir o entrevistado. É extremamente importante que a equipe de auditoria permaneça atenta à compreensão que o entrevistado teve de cada pergunta feita, inquirindo-o, quando necessário, sobre qualquer dúvida que tenha surgido, com o objetivo de esclarecer o significado e a importância da questão a ser respondida. Os membros da equipe de auditoria devem mostrar interesse pela opinião do entrevistado, sem demonstrar, entretanto, qualquer rejeição ou apoio às suas manifestações, permanecendo, assim, neutros em relação às respostas do entrevistado. A equipe de auditoria deve observar com atenção se as respostas refletem a experiência, o conhecimento e as idéias do entrevistado, devendo ser capaz de distinguir fatos de opiniões. Para obter a confirmação de determinada resposta, os membros da equipe podem valer- se de perguntas do tipo: “Então, o que o(a) Sr.(a) está dizendo é ...“.Também convém atentar para as generalizações sem garantias e para os jargões técnicos usados para confundir os membros da equipe. Algumas declarações podem ser inconsistentes com os dados já obtidos no trabalho de auditoria ou mesmo com os conhecimentos dos membros da equipe sobre o assunto tratado, assim como outros fatos alegados
Compartilhar