Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA E SEGURANÇA DA INFORMAÇÃO Unidade I CONTROLE INTERNO E AUDITORIA DE SISTEMAS UNIDADE I – CONTROLE INTERNO E AUDITORIA DE SISTEMAS CAPÍTULO I – INTRODUÇÃO À AUDITORIA DE SISTEMAS OBJETIVOS ESPECÍFICOS DO CAPÍTULO No final deste capítulo, o estudante deverá ser capaz de: Compreender o conceito auditoria, sua origem e evolução; Compreender a forma de auditoria na era de informação; Compreender os objetivos de uma auditoria de sistemas; Descrever os tipos de auditoria de sistemas e o perfil de um auditor; 1.1 A AUDITORIA DE SISTEMAS Segundo Gentil (2008), pode-se conceituar auditoria como sendo o ato de examinar as operações, processos, sistemas e responsabilidades de gestão de uma organização com o intuito de verificar o cumprimento das normas, objetivos e metas prefixadas pela mesma. Portanto, a auditoria visa examinar de forma crítica as atividades de uma organização ou outra entidade com o objetivo de avaliar a sua eficiência e eficácia. 1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS Segundo Crepaldi (2006), o termo auditor originou-se no final do século XIII, na Inglaterra, sob o poder do rei que mencionava o termo auditor sempre que se referia ao exame das contas, alegando que se estas não estivessem correctas, iria punir seus responsáveis. Posteriormente, nos Estados Unidos da América, como exemplo, as grandes empresas de transporte ferroviário criaram unidades fiscais chamadas “Travelling Auditors” (Auditores Viajantes), que tinham a função de visitar as estações rodoviárias e assegurar que todo produto da venda de passagens e de fretes de carga estavam sendo arrecadados e contabilizados correctamente. E após a fundação do The Institute of Centro Universitário Christus - Unichristus 2 Internal Auditors (Instituto de Auditores Internos), em Nova York, a auditoria interna passou a ser vista de forma diferente. De um corpo de funcionários de linha, subordinados a contabilidade, aos poucos passou a ter um enfoque de controle administrativo, com a finalidade de avaliar a eficácia e a efetividade dos controles internos. Logo o seu campo de ação funcional estendeu-se para todas as áreas e para manter sua independência, passou a subordinar-se diretamente à alta administração. 1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA 1.4 AUDITORIA NA ERA DA INFORMAÇÃO No decorrer das últimas décadas, o ritmo das mudanças, no mundo, se caracterizou por extraordinária rapidez. Estas mudanças afetaram profundamente as organizações, seja em sua estrutura, cultura ou Ainda de acordo com Crepaldi (2006), a causa da evolução da auditoria, que é decorrente da evolução da contabilidade, foi a do desenvolvimento econômico dos países, do crescimento das empresas e expansão das atividades produtoras, gerando crescente complexidade na administração dos negócios e de práticas financeiras. Por meio destes fatos históricos, verifica-se que o surgimento da auditoria apoiou-se na indispensável necessidade de confirmação, por parte dos utilizadores, sobre a realidade econômica e financeira do patrimônio das empresas investigadas, essencialmente, no surgimento de grandes empresas multigeograficamente distribuídas e simultaneamente ao desenvolvimento econômico que permitiu a participação acionária na formação do capital de muitas empresas, gerando crescente complexidade na administração dos negócios e de práticas financeiras. Porém, como a auditoria provém da contabilidade, ainda é indicado o conjunto de dados históricos que permitem a comparação entre estas duas atividades. Com o conhecimento da evolução dos fatos criadores do trabalho de auditoria, verifica-se que esta se estabeleceu pelo exame científico e sistêmico dos registos, documentos, livros, contas, inspeções, obtenção de informações e confirmações internas e externas, sujeitos as normas apropriadas de procedimentos para investigar a veracidade das demonstrações contábeis e o cumprimento não somente das exigências fiscais como dos princípios e normas de contabilidade e sua aplicação uniforme. Centro Universitário Christus - Unichristus 3 Segundo Velthuis (2007), a partir dos anos 50 a informática se converteu em uma área muito importante na área de auditoria financeira, e permite levar a cabo de forma rápida e precisa, operações que manualmente consumiam demasiados recursos. Notou-se també sistemas de informação, assim surge funcionam corretamente surgiu nova área tecnologias e sistemas de informação. 1.5 OBJETIVOS DE UMA AUDITORIA DE SISTEMAS Nas organizações informatizadas é imprescindível que as tecnologias envolvidas respondam as necessidades da organização, por exemplo os computadores devem estar disponível a qualquer tempo para responder as necessidades dos utilizadores, os sistemas implantados na organização devem fornecer uma segurança, de modo que os utilizadores acessem somente informações que lhes dizem respeito. Segundo Cannon (2008), a auditoria consiste em rever o passado. O comportamento. As organizações passaram por três fases durante o século XX: a era industrial clássica, a era industrial neoclássica e a era da informação. Enquanto nas duas primeiras foram destacadas as tarefas, as pessoas, a tecnologia e o ambiente, na última e atual era, devido às mudanças e transformações, ocorre em um contexto globalizado e dinâmico, em que a competitividade se dá em nível mundial, as relações comerciais ignoram fronteiras e culturas nacionais e a informação imediata faz com que as organizações necessitem ser ágeis, flexíveis e rápidas em suas respostas aos desafios cada vez mais complexos e, ainda, provoca diversidade em relação à composição humana dentro das organizações e incentiva a modificação nas funções das pessoas que nelas trabalham, de forma direta ou indireta. Na atualidade a informação se converte em um dos ativos principais nas empresas, representados por tecnologias e sistemas relacionados com a informação. Podemos afirmar que as empresas investem enormes valores e tempo na aquisição e desenvolvimento de soluções tecnológicas com intuito de flexibilizar a gestão de suas atividades. Daí que os temas relacionados com auditoria informática tenham maior relevância mundial. m que as organizações tornaram-se dependentes de a necessidade de verificar se estes . Nos finais dos anos 60, descobriu-se vários casos de fraude cometidos com ajuda de computador. É neste contexto que denominada Auditoria de Sistemas, cujo objetivo é precisamente verificar o funcionamento correto, eficaz e eficiente das Centro Universitário Christus - Unichristus 4 auditor de SI deve seguir o processo de auditoria definido, estabelecer o critério de auditoria, obter evidências significativas e providenciar uma opinião independente em relação ao controlo interno. A auditoria envolve o uso de várias técnicas de coleta de evidências significativas, e efectua a comparação entre evidências da auditoria e referências de padrões. De acordo com Anaguano (s.d.), a auditoria informática tem os seguintes objetivos: 1. O controle da função sistemica; 2. A análise da eficiência dos sistemas de informação; 3. A revisão da gestão eficaz dos recursos computacionais; 4. A verificação do cumprimento dos padrões e normas. 1.6 TIPOS DE AUDITORIA Financeira. Trata da veracidade dos estados financeiros. Preparação de informes de acordo com os princípios contábeis; Operacional. Avalia a eficiência, eficácia e economia dos métodos e procedimentos que originam um processo numa organização; Sistemas. Se preocupa com a função sistemica;Fiscal. Se preocupa em observar o cumprimento das leis fiscais; Segundo Cannon (2008), a auditoria interna consiste em auditar sua própria organização para descobrir evidências sobre o que está a ocorrer na organização. Este tipo de auditoria permite acompanhar a forma de efetivação de atividades, com intuito de verificar possíveis erros no funcionamento das tecnologias envolvidas na organização, por exemplo o funcionamento das aplicações e segurança de sistemas. Este autor afirma ainda que auditoria externa envolve clientes ou fornecedores auditando a organização. A finalidade é garantir o nível esperado de desempenho conforme os seus contratos. Este tipo de auditoria não é realizado para detetar anomalias no funcionamento do sistema de informação na organização. Naturalmente, no decorrer do processo de auditoria, o auditor pode encontrar fraudes ou erros, mas o seu objetivo é emitir um parecer. Tendo em conta as áreas de atuação, podemos encontrar os seguintes tipos de auditoria (Anaguano, s.d.): Centro Universitário Christus - Unichristus 5 Administrativa. Analisa o desempenho das funções administrativas; Qualidade. Trata dos métodos, medições e controle de bens e serviços; Social. Revê a contribuição da sociedade bem como a participação em atividades socialmente orientadas. A auditoria de sistemas, por sua vez, é composta pelas seguintes áreas: Auditoria de gestão; Auditoria dos dados; Auditoria de segurança física; Auditoria de segurança lógica; Auditoria das comunicações; Auditoria de segurança na produção. 1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR Uma boa auditoria carece de um auditor com qualificações mínimas para poder audita garantir que esta seja feita de uma forma adequada. Não se pode admitir um auditor sem qualificações necessárias para prestar auditoria, neste caso, auditoria em informática. Segundo Fantinatti (1988) e Cannon (2008), o auditor deve ter objetividade, confidencialidade e raciocínio lógico, bem como o sentimento de independência. Consideremos que a empresa XYZ, usa sistema de informação baseado comunicar-se com outras sucursais em s. Assumindo que a empresa localiza-se em Maputo, províncias de Nampula, Manica e Tete, o auditor deve conhecer no mínimo a forma de comunicação existente, as tecnologias usadas nas aplicações usadas, conhecimento sobre a segurança implamentada na mesma, entre outros. Portanto, perfil e qualificações de um auditor são requisitos indispensáveis para a realização de um processo de auditoria de sistemas, e contribuem para a qualidade da auditoria influenciando desta forma na tomada de decisão dos agentes do nível mais alto da organização. r sistemas de Informação. Num processo de auditoria devemos imparcialidade, em computador, onde esta necessita outras regiões do paí com sucursais nas Centro Universitário Christus - Unichristus 6 EXERCÍCIOS 1.O que é Auditoria Informática? 2. Explique a evolução de Auditoria nos países desenvolvidos. 3. O que motivou a evolução da Auditoria? 4. O que motivou o surgimento da Auditoria Informática? 5.Indique tipos de auditoria que conheces? 6. Indique algumas qualidades de um auditor. Centro Universitário Christus - Unichristus 7 CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA DE SISTEMAS OBJETIVOS ESPECÍFICOS DO CAPÍTULO: No final deste capítulo o estudante será capaz de: Identificar as funções básicas de controle interno de sistemas; Compreender que controle interno e auditoria de sistemas são campos análogos; Compreender o funcionamento e o objetivo da tecnologia COBIT; Descrever a convergência entre a auditoria de SI e COBIT; 2.1 CONTROLE INTERNO DE SISTEMAS A área de informática tornou-se um dos requisitos muito importante na efetivação de tarefas rotineiras nas organizações. Tem-se investido muito na informática devido ao seu impacto na tomada das decisões em todos níveis que constituem uma organização. O ideal é ter um retorno diretamente proporcional com valores gastos na aquisição das tecnologias de informação, que são matéria-prima para o desenvolvimento de sistemas de informação tecnológicos, ou seja, sistemas de informação baseados em computador. O controle interno de sistemas é uma parte da informática que responde as necessidades de cumprimento dos requisitos exigidos sobre o funcionamento das tecnologias envolvidas na organização. É através dela que obtemos o “feedback” sobre a viabilidade de uso das tecnologias de informação nas organizações. O controle interno visa verificar o funcionamento de todas atividades efetuadas nas organizações através do sistema de informação. Este controle avalia a efetivação dos procedimentos e normas estabelecidas pela Direção ou Departamento de Informática. O controle interno tem os seguintes objetivos (Valriberas, 2008): Centro Universitário Christus - Unichristus 8 Controlar e garantir que todas as atividades sejam realizadas de acordo com os procedimentos e normas fixadas e assegurar o cumprimento das normas; Assessoria no conhecimento das normas; Colaborar e apoiar o trabalho de auditoria informática, assim como as auditorias externas; O cumprimento de procedimentos e normas; Controle sobre produção diária; Controle sobre a qualidade e eficiência do desenvolvimento e manutenção de software e de serviços computacionais. Controle de redes de comunicação; Controle sobre o software básico; Controle de sistemas de microinformática; A segurança da informação; Utilizadores, responsabilidades e perfis de uso de ficheiros e bases de dados; Normas de segurança; Licenças e relações contratuais com terceiros Definir, implementar e executar mecanismos e controle para verificar a realização adequada de serviços de informática, no qual devemos considerar que a implementação dos mecanismos de medida e a responsabilidade de realização seja exclusivamente da função de controle interno; Para além dos objetivos descritos acima, é necessário efetuar em diferentes sistemas (central, departamentos, redes, computadores pessoais, etc.) e ambientes computacionais (produção, desenvolvimento ou teste) o controle de diferentes atividades operativas sobre: Centro Universitário Christus - Unichristus 9 Assessorar e transmitir cultura sobre o risco sobre a perda de informação. . Auditoria de sistemas é processo de revogar, agrupar e avaliar evidências para determinar se o sistema informatizado salvaguarda os ativos, mantendo a integridade dos dados, levando a cabo eficazmente os fins da organização e utiliza eficazmente os recursos. Deste modo a auditoria de sistemas sustenta e confirma a execução dos objetivos tradicionais da auditoria: Objetivos de proteção de ativos e integridade de dados; Objetivos de gestão que controlam não apenas na proteção de ativos, mas também na eficácia e eficiência; 2.2 CONTROLE INTERNO E AUDITORIA DE SISTEMAS: CAMPOS ANÁLOGOS Controle interno e auditoria informática são campos análogos, visto que há semelhanças, conforme ilustrado na tabela 1. Como pode-se ver, temos a semelhança no pessoal interno, este deve ter experiência em tecnologias de informação, verificação da conformidade com controles internos entre outros. Tabela 1: Comparação entre Controle Interno e Auditoria de Sistemas. Fonte: Valriberas (2008) Rever e julgar o nível de eficácia, utilidade, confiabilidade e segurança de equipes de sistemas de informação. Rever e julgar os controles implantados em sistemas de informação para verificar sua adequação as ordens einstruções da direção, requisitos legais, proteção de confidencialidade e cobertura entre erros e fraudes; Participar em revisões durante e depois do desenho, realização, implementação e exploração de aplicações sistemicas, assim como as fases análogas de realização de mudanças importantes; O auditor é responsável em rever e informar a direção da organização sobre o desenho e o funcionamento do sistema de controle implantado e sobre a finalidade da informação produzida. Podem se estabelecer três grupos de funções a realizar por um auditor de sistemas (Valriberas, 2008): Centro Universitário Christus - Unichristus 10 CONTROLE INTERNO DE SISTEMAS AUDITOR DE SISTEMAS SEMELHANÇAS Pessoal Interno Experiência em tecnologia da informação, verificação da conformidade com controlEs internos, normas e procedimentos estabelecidos pelo departamento de Informática e direção geral da Organização. DIFERENÇAS Análise de controles no dia-a- dia. Informar ao departamento sobre o pessoal interno somente de suas funções sobre o departamento de TI Análise de um tempo determinado Informar a direção geral da organização sobre como o pessoal interno e / ou externo tem coberto em todos os componentes de organização de sistemas de informação 2.3 COBIT (Control Objectives for Information and Related Technology) aplicadas para um controle de sistemas de informação deve ba- A filosofia de uma metodologia baseada em Sistemas, consiste em gerir recursos de tecnologias de informação, a fim de fornecer informações pertinentes que a organização precisa. COBIT é um modelo/conjunto estruturado de boas práticas e metodologias para sua aplicação, cujo objetivo é facilitar a Governança de Tecnologias de Informação (TI). É um modelo de controle, que visa atender as necessidades de TI, e garantir a integridade de informação e sistemas de informação, ajudando a diminuir os riscos do negócio. Metodologia é o conjunto de métodos e técnicas determinado fim. Dependendo da sua utilização pode gerar resultados positivos para organização. O sear-se numa metodologia. Centro Universitário Christus - Unichristus 11 Segundo Troitino e Sanches (2008), COBIT aponta e sustenta a Governança de TI, proporcionando uma marca de referência que assegura que: A tecnologia de informação está aliada com o negócio, contribuindo ao mesmo tempo para a maximização dos benefícios; Os recursos de TI (humanos e técnicos) são usados de forma responsável; Os riscos de TI são geridos e dirigidos adequadamente. Outra característica interessante de COBIT é a sua estruturação ou esquema de apresentação. Está estruturado com critérios práticos em uma ordem lógica e racional do mais alto nível ao menor nível na gestão e direção de TI. Figura 1. Os quatros domínios de COBIT. Fonte: Fagundes (2011) O COBIT (versão 4.0) está estruturado em 34 objetivos de controlede alto nível para os processos de TI, que estão agrupados em 4 domínios de atividades típicas do governo de TI (o que qualquer governancia de TI deverá incluir para ser realista e eficiente). Centro Universitário Christus - Unichristus 12 Os quatros domínios de atividades são seguintes: Domínio Característica Planeamento e Organização (PO) Cobre aspectos estratégicos e táticos organizacionais; Identifica a melhor forma através da qual a TI possa contribuir para o alcance dos objetivos do negócio; A realização da visão estratégica precisa ser planeada, comunicada e gerido por diferentes perspectivas; Este domínio preocupa- questões de gestão como: • estrategicamente alinhados? A empresa está maximizando o uso de seus recursos? • As pessoas compreendem os objetivos da TI? • Os ris geridos de forma apropriada? • A negócios? Aquisição e Implementação (AI) • Para realizar a estratégia da TI, soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, como também implementadas e integradas ao processo do negócio; • Modificações e manutenção de sistemas existentes são cobertas neste domínio, para que continuem alinhados aos objetivos do negócio. • Este domínio preocupa-se com questões de gestão como: • Os novos projetos estão aptos à prover as soluções que o negócio requer no prazo e sem falhas? Os novos sistemas implementados estão operando apropriadamente quando implementados? Prestação e Suporte (DS) Focado na prestação dos serviços se com A TI e o negócio estão cos são compreendidos e qualidade dos sistemas está de acordo com a necessidade dos Centro Universitário Christus - Unichristus 13 requeridos, incluindo: Prestação de serviços, gestão de segurança e continuidade do negócio, suporte aos utilizadores, e gestão de dados e estruturas operacionais. • Este domínio preocupa-se com questões de gestão como: Os serviços de TI estão sendo -de- integridade, confidencialidade e disponibilidade dos dados está de acordo? Monitoramento e Avaliação (ME) Os processos de TI precisam ser sua qualidade e conformidade com os requisitos de controlo. Este desempenho, monitoramento de controles internos, conformidade com as normas e provimento de governança em TI. Este domínio preocupa-se com questões da gestão como: A TI está preparada para identificar os problemas em tempo útil? A gestão assegura que os controles internos decorram normalmente? COBIT inclui outros elementos a considerar que estão relacionados com os requisitos de negócio com os respectivos serviços e recursos de TI: Requisitos de negócio com respeito a TI: efetividade, eficácia, eficiência, integridade, disponibilidade e confiabiliade; Recursos de TI afetados: Aplicações, informação, infra-estrutura e pessoas; Áreas centrais para o Governo de TI: alinhamento estratégico; gestão de recursos; gestão de risco e medição de rendimento; prioridades do negócio? Os custos entregues de acordo com as da TI estão otimizados? A mão obra está apta a utilizar os sistemas produtivamente e com segurança? A regularmente testados para garantir domínio trata da gestão de Centro Universitário Christus - Unichristus 14 Objectivos de controle de detalhe: enumeração de objetivos de detalhe com suas explicações sobre seu propósito e alcance, por objetivo de alto nível; Diretrizes de gestão: guia sobre as inter-relações com outros domínios e objetivos de controlede alto nível apontando tanto a relação de recepção (input) de outros objetivos de controle exclusivos externos ao esquema COBIT, como na saída (output) para outros; Responsabilidade por distintos níveis de direção e gerência: incluem tanto alta gerência, como a unidade de negócio para a auditoria de TI; Quadro de objetivos e métricas aplicadas: objetivos e métricas aplicadas para o objetivo do controle de que se trata, e os indicadores para a respectiva medição; Modelo de maturidade: critérios para considerar em cada nível. 2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT Analisar os riscos dentro do alcance e objetivo da auditoria em questão; Identificar o modelo e controles que supostamente mitigam os riscos identificados; Realizar testes sobre os controles e impacto de diferenças de controle; Obter suas conclusões e emitir seu relatório e opinião independente, indicando fundamentalmente os riscos para o negócio. Pretende-se nesta seção descrever a convergência entre auditoria de sistemas de informação e a metodologia COBIT. O auditor de SI deve atuar de forma a implementar COBIT, como em qualquer outra auditoria. Para Troitino e Sanches (2008),auditor de SI não se limitará em contestar a um questionário, mas: Centro Universitário Christus - Unichristus 15 Podemos destacar convergência entre auditoria informática e COBIT, por exemplo, as normas de auditoria de TI seguintes são totalmente aplicáveis dentro do contexto COBIT: S1 - estatuto de auditoria; S2 - independência; S3 - ética profissional e normas aplicadas; S4 - competência profissional; S5 - planificação; S6 - realização de trabalho de auditoria (supervisão, evidência e documentação) S7 - relatórios; S8 - atividades de seguimento; S9 - irregularidades e atos legais. S10 - Governo de TI; S11 - Uso de avaliação de riscos com a planificação de auditoria; S12 - materialidade S12 - uso de trabalhos de “experts” S13 - evidência de auditoria. EXERCÍCIOS 1. Qual é o objetivo da auditoria interna? 2. O que é risco em sistemas de informação? 3. O que é segurança lógica? 4. Quais são os princípios da auditoria, tanto externa como interna? 5. O que você compreende por COBIT? Centro Universitário Christus - Unichristus 16 CAPÍTULO III – SISTEMA DE CONTROLE INTERNO E SISTEMAS OBJETIVOS ESPECÍFICOS DO CAPÍTULO No final deste capítulo o estudante deverá ser capaz de: Compreender conceitos e tipos de sistemas de controle interno; Compreender os mecanismos de implementação de um sistema de controle interno computacional; Descrever o processo de aquisição, exploração, qualidade e controle de sistemas de informação; 3.1 DEFINIÇÃO E TIPOS DE CONTROLES INTERNOS Os controlos de prevenção Estes controles, também conhecidos por controles dissuasores, têm como finalidade o estabelecimento de condições que permitam a diminuição da ocorrência de causas de erros estabelecendo, dessa forma, as condições necessárias para a não ocorrência de erros. Podemos definir o controle interno como sendo qualquer atividade realizada manualmente ou automaticamente para prevenir, corrigir erros irregulares que podem afetar o funcionamento de um sistema para atingir seus objetivos. Controlos internos que utilizam campo de informática continuam evoluindo, na medida que os sistemas de informação evoluem. A evolução de tecnologias de suporte físico e de software está modificando a maneira significativa nos procedimentos que se aplicam no controle de processos de aplicações e gestão de sistemas de informação. Para garantir qualidade de sistemas requer mecanismos completos de controle, a maioria dos quais são automáticos, muitos dependem da combinação de elementos de software e procedimentos. Historicamente, os objetivos de controle informático são classificados em seguintes categorias (Troitino e Sanches, 2008): Centro Universitário Christus - Unichristus 17 Os controles de correção Estes controles ajudam a investigar quais as causas de erros e, dessa forma, permitem que sejam aplicadas medidas corretivas a essas causas. Os controles de detecção Estes controles tem como principal objetivo a detecção rápida das causas de risco e de erros. São frequentemente considerados os de maior importância para o auditor. Nestes controles de detecção podemos evidenciar os controles de supervisão. 3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLE INTERNO COMPUTACIONAL Configuração de aplicações: processos transacionais, sistemas de gestão de base de dados e configuração de processos distribuídos; Produtos e ferramentas: software para desenvolvimento de programas, software de gestão de bibliotecas e para operações automáticas; Segurança de computadores: identificar e verificar utilizadores, controle de acesso, registro de informação, integridade de sistema, controle de supervisões. Torna-se importante conhecer toda organização de recursos de tecnologia de informação, sistemas de informações baseados em computador, estrutura da rede e respectiva segurança. Este conhecimento é fundamental para implementar o sistema de controle interno. Segundo Troitino e Sanches (2008), para conhecer a configuração do sistema é necessário documentar os detalhes de rede, assim como os distintos níveis de controle e elementos relacionados: Configuração da rede: esquema da rede, descrição da configuração de hardware de comunicações, descrição de software que se utiliza como acesso das telecomunicações, controle de rede, situação geral dos computadores que suportam aplicações críticas e considerações relativas da segurança de rede; Configuração de computador base: configuração do suporte físico, configuração de sistema operacional software com partições, bibliotecas de programas e conjunto de dados; Centro Universitário Christus - Unichristus 18 Para a implementação de um sistema de controle interno computacional deve- se definir (Piattini e del Peso, 2001): Gestão de sistemas de informação: Um sistema de informação é composto por todos os componentes que recolhem, manipulam e disseminam dados ou informação. Neste caso, podemos encontrar hardware, software, pessoas, redes de computadores, e os dados propriamente ditos. Num sistema de informação são realizadas tarefas como introdução de dados, processamento dos dados em informação, armazenamento de ambos, e a produção de resultados, como relatórios de gestão. Diante dessa situação, é preciso conhecer políticas, diretrizes e normas técnicas que servem de base para desenho e implementação dos sistemas de informação e de outros correspondentes. Administração de sistemas: Administração de sistema é uma área específica de administração de um sistema de informação tecnológico. Neste caso podemos encontrar as seguintes atividades de administração; administração de utilizadores, administração de sistema de arquivo, administração de software, administração de serviços, entre outros. Segurança: A segurança de sistemas é composta de medidas de prevenção contra ataques internos e externos, passando pela engenharia social e chegando inclusive a ações práticas por intermédio de softwares e hardwares. A segurança inclui as três classes de controle fundamental implementado em software de sistema: integridade do sistema, confiabilidade (controle de acesso) e disponibilidade. Gestão de mudança: separação de testes e a produção a nível de software, controle e procedimentos de migração de programas de software aprovado e testado. Centro Universitário Christus - Unichristus 19 Figura 2. Implementação de política e cultura de segurança. Fonte: Piattini e del Peso Controle interno computacional: deve-se definir os diferentes controles periódicos a realizar em cada uma da funções de informática, de acordo ao nível de risco de uma delas, desenhar conforme aos objetivos de negócio e dentro do marco legal aplicável. Na figura 3 está ilustrado detalhadamente o funcionamento do controle interno da informação. (2001). A implementação de uma política e cultura sobre segurança requer que se realize por fases, como podemos ver na figura 2. Cada fase desempenha um papel importante: Direção de negócio ou direção de sistemas de Informação: deve-se definir a política e/ou diretrizes para os sistemas de informação com base nas exigências do negócio, que poderá ser interno ou externo. Direção de informação: deve-se definir as normas de funcionamento em nível computacional e cada uma das funções de informática mediante a criação e publicação de procedimentos e padrões, metodologias e normas, aplicáveis a todas áreas de informática. Centro Universitário Christus - Unichristus 20 Figura 3. Funcionamento de controle interno computacional. Fonte: Piattini e del Pesoseu cumprimento e validez (Piattini e del Peso, 2001): 1. Controles gerais organizacionais Políticas: devem servir de base para o planejamento, controle e avaliação pela direção de informática. Planejamento: Plano estratégico de informação, realizado pelos órgãos de alta direção da empresa onde se define os processos corporativos e se considera o uso das diversas tecnologias de informação, assim como as ameaças e oportunidades de seu uso. Plano geral de segurança (física e lógica), garante a confiabilidade, integridade e disponibilidade da informação. (2001) Auditor computacinal interno/externo: deve-se rever os diferentes controles internos definidos em cada uma das funções computacionais e o cumprimento de normas internas e externas, de acordo com o nível de risco, conforme os objetivos definidos pela direção de negócio e direção de informática. Importa descrever controles internos importantes para sistemas de informação, agrupados por seções funcionais, e que o controlo interno computacional e a auditoria de sistemas deveriam verificar para determinar o Centro Universitário Christus - Unichristus 21 Plano de emergência anti-desastre, garante a disponibilidade dos sistemas. Padrões: que regula a aquisição de recursos, a decisão, desenvolvimento, modificação e exploração de sistemas; Procedimentos: que descreve a forma e as responsabilidades de execução para regular as relações entre o departamento de informática e os departamentos de utilizadores; Organizar o departamento de informática em nível suficientemente superior na estrutura organizativa para assegurar sua independência dos departamentos de utilizadores. Descrição das funções e responsabilidades dentro dos departamentos como uma clara separação entre as mesmas. Políticas do pessoal: seleção, plano de formação, plano de vocações, avaliação e proteção; Assegurar que a direção reveja todos os relatórios de controle e resumir as exceções que ocorrem; 2. Controle de desenvolvimento, aquisição e manutenção de sistemas de informação Para permitir alcançar a eficiência do sistema, economia, integridade dos dados, protecão dos recursos e cumprimento das leis e padrões. Metodologia de ciclo de vida de desenvolvimento de sistemas: sua implementação poderá garantir a alta direção a alcançar os objetivos definidos para o sistema. Estes são alguns controles que devem existir na metodologia: Designar oficialmente a figura de controle da informação e de auditoria. Assegurar que exista uma política de classificação da informação para saber dentro da organização que pessoas estão autorizadas a acessar determinadas informações; Centro Universitário Christus - Unichristus 22 A alta direção deve publicar uma norma sobre o uso de metodologia de ciclo de vida de desenvolvimento de sistemas e rever esta metodologia periodicamente; A metodologia deve estabelecer os papeis e responsabilidades das áreas distintas do departamento de informática e dos utilizadores, assim como a composição e responsabilidade da equipe do projeto; Procedimentos para a definição e documentação de especificações de: desenho, de entrada, de saída de arquivos, de processos, de programas, de controle de segurança, de pastas de auditoria. Plano de validação, verificação e testes. Padrões de testes de programas e teste de sistemas; Plano de conversão; testes de aceitação final; Os procedimentos de aquisição de software deverão seguir as políticas de aquisição da organização e esses produtos deverão ser aprovados e revistos antes de uso; A contratação de serviços de programação deve ser justificada mediante uma petição escrita de um director de projeto; Deverão preparar-se manuais de operações e manutenção como parte de todo projeto de desenvolvimento, modificação de sistemas de informação, assim como manuais de utilizadores. Quando se seleciona uma alternativa deve realizar-se o plano diretor do projecto. Neste plano deverá existir uma metodologia de controle de custo; Deve estabelecer um estudo de viabilidade de tecnologia em que se formulam formas alternativas de alcançar os objetivos do projeto, acompanhado de uma análise de custo-benefício de cada alternativa; As especificações do novo sistema devem ser definidas pelos utilizadores e documentadas e aprovadas antes de começar o processo de desenvolvimento; Centro Universitário Christus - Unichristus 23 Exploração e manutenção: o estabelecimento de controles assegurará que os dados sejam tratados de forma congruente e exata e que apenas será modificado o conteúdo de sistema, mediante a autorização adequada. A seguir apresentamos alguns controles que devem ser implementados: o Procedimento de controle de exploração; o Procedimentos para realizar um seguimento e controle de mudanças de sistema de informação. 3. Exploração de sistema de informação Controle para usar, de maneira efetiva, os recursos de computadores: Procedimentos de seleção de software de sistema, de instalação, de manutenção, de segurança e controle de mudanças. Segurança Física e Lógica: o Definir um grupo de segurança de informação, sendo uma das funções de administração e gestão de software de segurança, rever periodicamente os relatórios de ataques e atividades de segurança para identificar e resolver incidentes; o Controle físico para assegurar o acesso das instalações do departamento de informática. o Sistema de contabilidade para assinatura de utilizadores dos custos associados com a exploração de sistema de informação; Planificação e gestão de recursos: definir o orçamento operacional do departamento, plano de aquisição de equipamentos e gestão da capacidade da equipe; o Calendário de carga de trabalho; o Programação do pessoal; o Manutenção preventiva do material; o Gestão de problemas e mudanças; o Procedimentos de faturação de utilizadores; o Sistemas de gestão de bibliotecas e suporte. Centro Universitário Christus - Unichristus 24 o As pessoas externas à organização deverão ser acompanhadas por um membro da organização quando tiver a intenção de visitar as instalações. o Instalação de medidas de proteção contra incêndios. o Formação em procedimentos de segurança e evacuação de edifícios. o Normas que regulam o acesso dos recursos informáticos. o Existência de um plano de contingência para “backup” de recursos de computadores e para recuperação dos serviços depois de uma interrupção dos mesmos. 4. Controle de aplicações As questões mais importantes em controle de dados são: o Controle de entrada de dados: procedimentos de conversão de entrada, validação e correção de dados. o Controle de tratamento de dados para assegurar que não se faça muita modificação ou exclusão não autorizada dos mesmos mediante processos não autorizados. o Controle de saída de dados: sobre o quadro e reconciliação de saídas, procedimentos de distribuição das saídas e de gestão de erros nas saídas. 5. Controle específico de certas tecnologias Controle de sistemas de gestão de base de dados: Cada aplicação deve levar controle incorporado para garantir a entrada, atualização, validação e manutenção completa de dados exatos. o Controle de acesso restringindo os computadores mediante a designação de um identificador de utilizador com palavra-chave intransmissível. Centro Universitário Christus - Unichristus 25 o O software de gestão de base de dados para prever o acesso a estruturade controle sobre dados partilhados deve instalar-se e manter-se de modo tal que assegure a integridade de software, as base de dados e as instruções de controle; o Devem ser definidas as responsabilidades sobre o planejamento, organização, adoção de controle de ativos de dados e decidir um administrador de banco de dados. o Garantir que existam procedimentos para a descrição e mudanças de dados assim como para a manutenção do dicionário de dados. o Controle sobre o acesso a dados e concorrência. Controle da informação distribuído e rede: o Planos adequados de implementação, conversão e teste de aceitação para a rede. o Existência de um grupo de controle de rede. o Controle para assegurar a compatibilidade de conjunto de dados entre aplicações quando a rede é distribuída. o Procedimentos que definem as medidas e controle de segurança a serem usados em rede. o Que se identifique todos os conjuntos de dados sensíveis da rede e que se tenha determinado as especificações para sua segurança. o Existência de inventário de todos ativos de rede. o Procedimentos de “backup” de hardware e de software de rede. o Existência de manutenção preventiva de todos ativos. o Controle para minimizar falhas, recuperação do ambiente de banco de dados, o ponto de saída e minimizar o tempo necessário para a recuperação. Centro Universitário Christus - Unichristus 26 o Que exista controle que verifique que todas as mensagens de saída sejam validadasde forma rotineira para assegurar que contêm direções de destino válidos. o Controle de segurança lógica: controle de acesso da rede, estabelecimento de perfís de utilizador. o Procedimentos de criptografia de informática sensíveis que se transmitem através da rede. o Procedimentos automáticos para resolver fechamentos do sistema. o Monitorização para medir a eficiência da rede. o Desenhar “layout” físico e as medidas de segurança das linhas de comunicação local dentro da organização. o Detetar a correta ou má recepção de mensagens. o Identificar as mensagens por uma chave individual de utilizador, por terminal e pelo número de sucessão de mensagens. o Assegurar que haja procedimentos de recuperação e reinício. o Assegurar que existam trilhas de auditoria que podem se usar na reconstrução de arquivos de dados e de transações dos diversos terminais. Deve existir a capacidade de rastrear os dados entre o terminal e utilizador. o Considerar circuitos de comutação que usam rotas alternativas para diferentes destinos da mesma mensagem; isso oferece uma forma de segurança em caso de alguém interceptar a mensagem. o Rever os contratos de manutenção e o tempo médio do serviço acordado com o provedor com objeto de obter um valor de controle constante. Centro Universitário Christus - Unichristus 27 o Controle sobre computadores pessoais e rede local: Políticas de aquisição e utilização. Normas e procedimentos de desenvolvimento e aquisição de software de aplicações. Procedimentos de controle de software de contrato de baixa licença. Controle de acesso a redes, mediante palavra-chave. Revisão periódica de uso de computadores pessoais. o Políticas que contemplam a seleção, aquisição e instalação de rede local. o Procedimentos de segurança física e lógica. o Inventário atualizado de todas aplicações; o Política referente a organização de equipamento e utilização de disco rígido de, assim como para a nomenclatura dos arquivos que contém, criação de subdirectórios por utilizador, assim como criação de subdirectórios públicos que tenha todas aplicações em uso para os distintos utilizadores; o Implementar ferramentas de gestão da rede com o fim de valorizar seu rendimento, planificação e controle; o Procedimento de controle de transferência de ficheiros e controle de acesso para equipamentos com possibilidade de comunicação. Políticas que obrigam o Departamento que realce a gestão e suporte técnico da rede. Controle para evitar modificar a configuração de uma rede. Recolher informação detalhada sobre meios existentes: arquitetura (CPU, Discos, Memória, Streamers, Terminais, etc.), conectividade (LAN), software (sistema operacional, utilitários, linguagens, aplicações, etc), serviços suportados. Centro Universitário Christus - Unichristus 28 a desconexão dos equipamentos quando não se faz o uso deles. o Adotar os procedimentos de controle e gestão adequados para integridade, privacidade, confiabilidade e segurança de informação contida na rede local. Contratos de manutenção (tanto preventivo como corretivo ou detectivo) Os computadores deverão estar conectados a equipamentos estabilizadores (UPS - Uninterruptible Power Supply). Proteção contra incêndios, inundações ou electricidade. Controle de acesso físico dos recursos de microinformática: chaves de PC. Áreas restringidas, localização de impressoras (locais e de rede). Prevenção de roubos de dispositivos. Autorização para deslocamento de equipamentos. Acesso físico fora do horário normal; Controle de acesso físico a dados e aplicações: armazenamento de discos com cópias de backup de informação. Procedimentos de destruição de dados e relatórios confidenciais, identificação de discos, inventário completo de discos armazenados, armazenamento de documentação; o Quando existe conexão PC-HOST, verificar se opera sub controle, para evitar a carga/extração de dados de forma não autorizadas; Quando a ação de manutenção requer a ação de terceiros a saída dos equipamentos dos limites da oficina deverá ser mediante procedimentos para evitar a divulgação de informação confidencial. Manter um registo documental das ações de manutenção realizadas, incluindo a descrição do problema e a solução do mesmo. Centro Universitário Christus - Unichristus 29 Em computadores em que se processam aplicações de dados sensíveis deve-se instalar protetores de oscilação de linha elétrica e sistemas de alimentação ininterrupta. Implementar na rede local, produtos de segurança assim como ferramentas e utilitários de segurança. Identificação adequada de utilizadores quanto a seguintes operações: modificações, troca de password, exploração de logs de sistema. Controlar as conexões remotas (in/out): Modems e Gateways; 6. Controle de qualidade Metodologia de desenvolvimento de sistemas: a direção de informática da entidade deve definir e implementar normas para o desenvolvimento de sistemas e adotar uma metodologia de desenvolvimento de sistemas para administrar e gerir esse processo com base ao tipo de sistemas de cada entidade; Esquema de garantia de qualidade da direção de Tecnologia que deve adotar uma norma que estabeleça um esquema de garantia de qualidade que se refira tanto as atividades de desenvolvimento de projetos, como as demais atividades para garantir qualidade (como revisões, auditorias, inspeções, etc.) que deverá ser realizada para procedimentos habituais em distintas funções de informática; Existência de um plano geral de qualidade baseado em plano de entidade a longo prazo e o plano a longo prazo de tecnologia. Este plano geral de qualidade deve promover a filosofia de melhorar continuamente e deve dar respostas a perguntas básicas como “o que”, “quem” e “como”; Controle para evitar a introdução de um sistema operativo através de disquete que poderá levar vulnerabilidade do sistema de segurança estabelecida. Procedimentos para a instalação ou modificação de softwaree assegurar que a direção esteja ciente do risco de vírus de computador e outros softwares maliciosos, assim como fraude por modificações não autorizadas de software e danos; Centro Universitário Christus - Unichristus 30 Atualização da metodologia de desenvolvimento de sistemas respeitando a troca de tecnologia; Coordenação e comunicação: a direção de Informática deve estabelecer um procedimento para assegurar esta coordenação e comunicação com utilizadores da organização e informática. Este processo deve fazer-se mediante métodos estruturados, utilizando a metodologia de desenvolvimento de sistemas para assegurar a obtenção de soluções de informática de qualidade que cumprem as necessidades da organização; Normas respeitando o teste do sistema: a metodologia de desenvolvimento de sistemas da entidade deve incorporar normas que se referem aos requisitos de teste de sistemas, documentação e retenção de material, para provar a maneira global do funcionamento de cada sistema colocado na produção; Testes pilotos em paralelo: a metodologia de desenvolvimento de sistemas da entidade deve definir as circunstâncias nas quais serão efetuados testes pilotos ou em paralelo de programas e sistema; Documentação de teste do sistema: a metodologia de desenvolvimento de sistemas da entidade deve estabelecer, Normas de documentação de programas: existência de normas de documentação de programas as quais devem ser comunicadas e impostas ao pessoal pertinente. A metodologia deve assegurar que a documentação criada durante o desenvolvimento do sistema ou projeto respeite as normas; Normas de teste de programas: a metodologia de desenvolvimento de sistemas da organização deve incorporar normas que se referem aos requisitos de testes de programas, documentação e retenção de material, para provar cada uma das unidades de software a ser colocada em produção; Relações com provedores de desenvolvimento de sistemas: existência de um processo que assegure boas relações laborais com provedores que desenvolvem sistemas para entidade. Este processo deve fazer com que o utilizador e o provedor do sistema acordem critérios de aceitação e administração de mudanças e problemas durante o desenvolvimento, funções de utilizador, ferramentas, software, normas e procedimentos; Centro Universitário Christus - Unichristus 31 como parte de cada desenvolvimento, implementação ou modificação, que se documentam os resultados de testes de sistema; Avaliação do cumprimento de garantia de qualidade das normas de desenvolvimento. EXERCÍCIOS 1. Quais são as categorias de controle? 2. Quais são os componentes para a implementação de uma política de segurança? 3. Liste os controles internos importantes para os sistemas de informação. 4. Defina o ambiente de rede. Centro Universitário Christus - Unichristus 32 CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO OBJETIVOS ESPECÍFICOS DO CAPÍTULO: No final deste capítulo o estudante será capaz de: Compreender o processo de implementação de sistemas de gestão de TICs (SGSI) Compreender o processo de certificação de SGSI DO (Execução): implementação dos processos. Act (Ação): Agir de acordo com o avaliado e de acordo com os relatórios, eventualmente determinar e confecionar novos planos de ação, de forma a melhorar a qualidade, eficiência e eficácia, aprimorando a execução e corrigindo eventuais falhas. O PDCA pode considerar-se como um autêntico motor e o conhecimento das TICs : vai desde a segurança de sistemas de informação, passando pela auditoria de software, para a qualidade dos serviços de TIC. Check (Verificação): monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando-os com o planejamento, objetivos, especificações e estado desejado, consolidando as informações, eventualmente confecionando relatórios. Plan (Planejamento): planificação de objectivos e processos necessários para alcançar os resultados de acordo com políticas da empresa. O planejamento dos sistemas de gestão pretende concentrar-se em análise dos mesmos, começando pela perspectiva de gestão de conhecimento. O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento, que tem por princípio tornar mais claros e ágeis os processos envolvidos na execução da gestão, onde cabe distinguir os seguintes passos: O planejamento dos sistemas de gestão pretende concentrar-se em análise dos mesmos, começando pela perspectiva de gestão de conhecimento. O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento, que tem por princípio tornar mais claros e ágeis os processos envolvidos na execução da gestão, onde cabe distinguir os seguintes passos: Centro Universitário Christus - Unichristus 33 4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs O processo de implementação do SGSI possui as fases de um PDCA, como podemos observar figura 4.1, seguindo os pontos da norma ISO 27001:2007. É de especial ênfase na análise e gestão de riscos e alocação de controlo que minimizam riscos utilizando uma das metodologias de análise de risco que existem no mercado, e aplicando os controles que são adequados da ISO 27002. Figura 4. Implementação de Sistema de Gestão de TICS (ISO 27001). Centro Universitário Christus - Unichristus 34 4.2 AUDITORIA INTERNA Auditoria interna de SGSI se define como sendo uma revisão independente de SGSI. Esta independência supõe obviamente a exigência de que a pessoa que leva a cabo a auditoria interna não pode estar vinculada em forma alguma na implementação de Gestão de SGSI. 4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO DAS TICs Figura 5. Modelo de certificação de SIGSI. Fonte: Troitino e Sanches (2008). O resultado dessa auditoria será refletido em um relatório de auditoria inicial. Em caso de não existir conformidade de importância, a certificação poderia ser suspensa ou pendente para retificação. Em caso de se detectar inconformidades menores, se emitirá uma certificação com reservas, com as retificações pendentes, cujas retificações deverão ser constatadas pelo auditor no seguimento da auditoria. Uma vez feita a certificação, o organismo certificador levará a Se pode considerar o processo de certificação como sendo o reconhecimento formal por parte de um órgão independente de um determinado sistema de gestão, como podemos ver na Figura 5. Na certificação de um sistema de gestão das TICs podemos notar que, as empresas que adotam a certificação, mantêm seus sistemas de gestão com uma maior dedicação no ciclo de melhoria contínua e sua busca por alcançar a excelência. Centro Universitário Christus - Unichristus 35 cabo anualmente auditorias de seguimento para determinar se o seu sistema de gestão das TICs segue as normas. EXERCÍCIOS 1. Explique o conceito de Deming, e descreva as suas fases. 2. O que se entende por processo de certificação e como é que as empresas que possuem certificação devem se comportar? Centro Universitário Christus - Unichristus 36 QUADRO RESUMO Auditoria O ato de examinar as operações, processos, sistemas e responsabilidades de gestão de uma organização com o intuito de verificar o cumprimento das normas, objetivos e metas prefixadas pela mesma Auditoria de sistemas Objetivos da auditoria de sistemas 4. O controle da função sistemica; 5. A análise da eficiência dos sistemas de informação; 6. A revisãoda gestão eficaz dos recursos computacionais; 7. A verificação do cumprimento dos padrões e normas Tipos de auditoria Financeira. Operacional. Sistemas. Fiscal Administrativa. Qualidade. Social. Tipos de auditoria Auditoria dos dados; Auditoria de segurança lógica; Auditoria das comunicações; Auditoria de segurança na produção. Objetividade, imparcialidade, confidencialidade raciocínio logico bem como o sentimento de independência Controle interno de informática É uma parte da informática que responde as necessidades de cumprimento dos requisitos exigidos sobre o funcionamento das tecnologias envolvidas na organização COBIT É um modelo/conjunto estruturado de boas práticas e metodologias para sua aplicação, cujo objetivo é facilitar a Governança de Tecnologias de Informação (TI). É um modelo de controlr, que visa atender as necessidades de É uma área da auditoria que visa examinar o andamento das atividades ligadas com tecnologias de informação e comunicação envolvidas na organização. Torna-se necessário valorizar a auditoria de sistemas, uma vez que muitas organizações investem valores elevados em tecnologias de informação e comunicação Auditoria de gestão; Auditoria de segurança física; Perfil e qualificações do auditor Centro Universitário Christus - Unichristus 37 TI, e garantir a integridade de informação e sistemas de informação, ajudando a diminuir os riscos do negócio Controle interno Qualquer actividade realizada manualmente ou automaticamente para prevenir, corrigir erros irregulares que podem afectar o funcionamento de um sistema para atingir seus objectivos. Ciclo de Deming É um ciclo de melhoramento, que tem por princípio tornar mais claros e ágeis os processos envolvidos na execução da gestão, onde cabe distinguir os seguintes passos: Plan (Planejamento): planejar os objectivos e processos necessários para alcançar os resultados de acordo com políticas da empresa. DO (Execução) Check (Verificação): monitorar e avaliar resultados, confrontando-os com o planejado, obje consolidando as informações, eventualmente confeccionando relatórios. Act (Ação): iado e de acordo com os relatórios, eventualmente ção, de forma a melhorar a qualidade, eficiência e eficácia, aprimorando a execução e corrigindo . : implementação dos processos. periodicamente os resultados, avaliar processos e tivos, especificações e estado desejado, Agir de acordo com o aval determinar e confeccionar novos planos de a eventuais falhas Centro Universitário Christus - Unichristus 38 BIBLIOGRAFIA Anaguano (s.d.) Auditoria Informática. Cannon, D. L. (2008) CISA – Certified Information Systems Auditor Study Guide, 2nd edition. Wiley Publishing, Inc. FFIEC (2004). Information Security. Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade Tiradentes. Piattini, M. G, e Peso, E. (2001) Auditoria Informática Un enfoque Prático. Madrid: Alfaomega. Troitiño, M. T., Sánchez C. M. F. (2008) “Auditoría de SI vs. Información. México: Alfaomega Grupo Editor. Valriberas, G. S. (2008) “Control Interno y Auditoría de Sistemas de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.) Auditoría de Tecnologías y Sistemas de Información. México: Alfaomega Grupo Editor. Velthuis, M. P., Navaro, E.P., Peso, M (2008) Auditoria de Tecnologias y Sistemas de Informacion. México: Alfaomega Grupo Editor. Referências on-line: ques.jsp&cod=8157 em-informatica, acedido a 12.10.2011. Crepaldi, S. A. (2006) “Contabilidade - Auditoria: Origem, evolução e desenvolvimento da auditoria” in Revista Contábil e Contabilidade, disponível em http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDesta , acedido a 20.10.2011. Fagundes, E. M. (2011) COBIT (Control Objectives for Information and related Technology), disponível em http://www.efagundes.com/artigos/cobit.htm, acedido a 14.10.2011. Fantinatti, J. M. (1988) Auditoria em Informática – Metodologia e Prática, disponível em http://joaomarcosfantinatti.wordpress.com/category/auditoria- Normas de buenas prácticas” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.) Auditoría de Tecnologías y Sistemas de Centro Universitário Christus - Unichristus 39 AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA DA INFORMAÇÃO Teste da 1ª Unidade Leia atentamente as questões apresentadas neste teste. Resolva-o em folha de papel e entregue para o professor. O valor de cada questão está entre parênteses. 1. Quais são os tipos de auditoria que você conhece? ( 0.5) 2. Quais são os objetivos da auditoria externa? E de auditoria interna? (0.5) 3. Como é que podemos medir o funcionamento da informática numa organização? (1.0) 4. Quais são os objetivos de controle interno? (1.0) 5. Diferencie os conceitos Auditoria e Auditoria de Sistemas? (1.5) 6. Fale da importância de COBIT na auditoria de sistemas. (1.5) 7. Explique em que medida pode se tornar mais claros e ágeis os processos envolvidos na execução da gestão de sistemas de informação. (1.5) 8. Descreva em suas palavras a convergência entre COBIT e auditoria de sistemas. (1.5) 9. Como é que se classificam os objetivos de controle. (1.0) NOME: __________________________________________________________ NOTA _________________ Centro Universitário Christus - Unichristus 40
Compartilhar