Auditoria de Sistemas: Abordagens, Padrões e Planos

Prévia do material em texto

Auditoria de Sistemas
João Paulo Brognoni Casati
Aula 2
*
Conteúdo da Aula
Abordagens de auditoria de sistemas 
Padrões e código de ética 
Planos de contingência
*
*
Abordagens de Auditoria de Sistemas
As diferentes abordagens consideram o uso do computador.
Existem 3 tipos de abordagens:
Ao redor do computador
Através do computador
Com o computador
*
*
Abordagens de Auditoria de Sistemas
Abordagem ao redor do computador:
Considerada mais antiga
Uso de rotinas manuais
Não exige muito conhecimento de TI
Aplicável a sistemas de menor complexidade e tamanho
*
*
Abordagens de Auditoria de Sistemas
Abordagem ao redor do computador:
Vantagens:
Baixo custo
Não exige muito conhecimento em TI
Desvantagens:
Falta de padronização
Dificuldade de avaliação de resultados
*
*
Abordagens de Auditoria de Sistemas
Abordagem através do computador:
O computador é utilizado como ferramenta
Melhoria da abordagem anterior
Pode-se verificar constantemente áreas que necessitam de monitoria constante
Requisição de documentos-fonte de diversas maneiras diferentes
*
*
Abordagens de Auditoria de Sistemas
Abordagem através do computador:
Vantagens
Maior confiabilidade nas medidas
Realização de testes mais completos
Desvantagens
Aumento de custo
Perdas se a programação for incorreta
*
*
Abordagens de Auditoria de Sistemas
Abordagem com o computador:
Busca a maior perfeição possível no processo de auditoria
Completamente assistida por computador
Busca resolver os problemas das abordagens anteriores
*
*
Abordagens de Auditoria de Sistemas
Abordagem com o computador:
Objetivos:
Uso do computador para efetuar cálculos
Fazer compilação dos resultados automatizados e manuais
Ordenação e seleção de registros
Desenvolvimento de programas específicos
*
*
Padrões e código de ética
Visam apresentar regras para o exercício da profissão, reduzindo a falta de padronização dos termos.
*
*
Padrões e código de ética
Padrões definidos (EUA):
Responsabilidade, autoridade e prestação de contas
Independência profissional
Ética profissional e padrões
Competência
Planejamento
Emissão de relatório
Atividades de follow-up
*
*
Padrões e código de ética
Código de ética (ISACA):
Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informação e encorajar seu cumprimento
exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas
*
*
Padrões e código de ética
Código de ética (ISACA):
servir aos interesses dos stakeholders de forma legal e honesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão
manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informações não devem ser utilizadas em benefício próprio ou compartilhadas com pessoas não autorizadas
*
*
Padrões e código de ética
Código de ética (ISACA):
manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente
informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos desde que em seu alcance
*
*
Padrões e código de ética
Código de ética (ISACA):
manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente
*
*
Planos de Contingência
Contingência
Evento que pode ou não acontecer
Exemplos:
Incêndio
Queima de equipamento
Queda de energia elétrica
Funcionário doente
*
*
Planos de Contingência
Plano de Contingência
Sequência de ações a serem seguidas na ocorrência de uma emergência
Não contempla apenas serviços de informática:
Segurança de pessoas, danos ambientais, danos à imagem da organização, etc.
*
*
Planos de Contingência
Objetivos do Plano de Contingência
Reduzir os danos causados por uma contingência
Manter o negócio em funcionamento
Agilizar a recuperação dos serviços
Reduzir custos de recuperação
*
*
Planos de Contingência
Ameaça
Evento ou atitude indesejável que traz danos à organização
Roubo
Incêndio
Vírus
Queda de energia
*
*
Planos de Contingência
Recursos que podem ser danificados
Físico: sala de computadores
Software: vírus de computador
Hardware: queima de equipamento
Informação: roubo de dados
Pessoas: vírus biológico
*
*
Planos de Contingência
Ameaça Concretizada = Ataque
Ataques causam Impactos
Plano de contingência reduz Impacto
*
*
Planos de Contingência
Processo de recuperação de desastres
*
*
Planos de Contingência
Algumas possíveis perdas:
Perda de Confidencialidade
Roubo de Informações
Perda de Integridade
Alteração na Informação
Perda de Disponibilidade
Negação de Serviço
*
*
Planos de Contingência
Planos de Contingência são caros!
Identificação das Áreas Críticas
Escore de risco
*
*
Planos de Contingência
Escore de Risco:
*
*
Planos de Contingência
Escore de Risco:
*
*
Planos de Contingência
Escore de Risco:
*
*
Planos de Contingência
Tipos de plano de contingência:
Plano de Emergência
Plano de Backup
Plano de Recuperação
*
*
Planos de Contingência
Plano de Emergência
Prevê possibilidade de desastres
Provê meios de detecção antecipada
Provê segurança física
Contém as respostas de risco
Ações a serem tomadas
*
*
Planos de Contingência
Plano de Backup
Backup de arquivos e dados
Continuidade dos serviços
Biblioteca externa de dados disponível
Acordo com terceiros
Reciprocidade
*
*
Planos de Contingência
Plano de Recuperação
Atividades executadas para:
SAIR do estado de emergência
*
Auditoria de Sistemas
João Paulo Brognoni Casati
Atividade 2
*
*
Atividade 1
O que é uma contingência?
Algo que pode ou não acontecer.
*
*
Atividade 2
O que é usado para definir as áreas críticas da organização?
Cálculo do Escore de Risco
Ou
Matriz de Risco
*
*
Atividade 3
Quais são os tipos de planos de contingência?
Plano de Emergência
Plano de Backup
Plano de Recuperação
*
*
Atividade 4
Cite três vantagens do uso da abordagem com o computador.
1 - Executa cálculos utilizando o computador;
2 - Ordenação e seleção de registros;
3 - Possibilita a criação de programas específicos.