Aula 15 - Controles de Auditoria

Prévia do material em texto

1
ProfProfProfProf Ana Paula GarciaAna Paula GarciaAna Paula GarciaAna Paula Garcia
anapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.com
Governança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação
� Tecnologia da Informação
◦ Informática (hardware e software)
◦ Sistemas
◦ Telecomunicações
◦ Processamento de dados
◦ Engenharia de Software
� Auditoria de Tecnologia da Informação
◦ Analisa conjunto de controles gerenciais e de 
procedimentos que afetam todo o ambiente de 
informática e todos os sistemas.
� São verificados:
◦ Padrões e políticas adotados pela organização
◦ Operação sobre sistemas e dados
◦ Disponibilidade e manutenção do ambiente 
computacional
◦ Utilização de recursos computacionais
� São verificados:
◦ Gerência de banco de dados e rede
◦ Segurança das informações
� Física
� Lógica 
� Ambiental
� Continuidade dos serviços de informática
� Políticas, procedimentos e estrutura 
organizacional estabelecidos para definir 
responsabilidades
� Abrangem todos os controles administrativos 
e institucionais
2
� Ponto de partida da maioria das auditores de 
sistemas
� Permitem observar como políticas são 
adotadas e como aspectos de segurança são 
considerados pela alta administração
� O Auditor deve:
◦ Analisar a estrutura adotada pela entidade auditada
◦ Verificar se os controles organizacionais são 
adequados
◦ Se as medidas estabelecidas são suficientes para 
garantir o controle adequado e objetivos do 
negócio
� A responsabilidade de controles 
organizacionais repousa nas seguintes tarefas:
◦ Delineamento das responsabilidades operacionais
◦ Coordenação do orçamento de capital de informática 
◦ Desenvolvimento e implementação das políticas 
globais de informática
◦ Gerenciamento de suprimentos
◦ Desenvolvimento de plano de capacitação
◦ Intermediação com terceiros
� Responsabilidades Organizacionais:
◦ O departamento de informática deve ter uma 
estrutura bem definida
◦ Responsabilidades claramente estabelecidas, 
documentadas e divulgadas
◦ Recomendável ter importância hierárquica e 
participação em objetivos estratégicos
� Responsabilidades Organizacionais:
◦ Pode haver um departamento de segurança da 
informação em organizações maiores
◦ Unidades internas do departamento devem ser 
bem definidas com níveis de responsabilidades
◦ Descrição dos cargos e habilidades técnicas 
necessárias podendo haver métodos de avaliação 
de desempenho.
� O Auditor deve:
◦ Verificar se existe uma gerência superior de 
informática ou segurança junto ao comitê executivo 
da organização
� Riscos de segurança e baixa qualidade dos sistemas
◦ Verificar se funcionários têm conhecimento de suas 
responsabilidades e seu papel na organização
3
� Política sobre documentação:
◦ Recomendável estabelecer padrões de qualidade e 
classificação
◦ Políticas inadequadas podem dificultar a 
manutenção dos sistemas
◦ Importante para auditoria. Por meio dela que se 
obtém muitas informações sobre os sistemas 
auditados ou o ambiente computacional
� Gerência de Recursos Humanos
◦ Casos frequentes de acesso não autorizado, perda 
de dados ou pane nos sistemas devidos a erros, 
omissões, fraudes provocadas por pessoas 
contratadas pela própria organização
◦ Sabem como a organização funciona
� Gerência de Recursos Humanos
◦ Funcionários mal intencionados tem tempo e 
liberdade para obter, ler e copiar informações 
internas ou confidenciais
◦ Área de pessoal deve ter enfoque especial das 
políticas, controles e procedimentos
� Gerência de Recursos Humanos
◦ Plano de Contratação e Desenvolvimento de Pessoal
� Plano para manter equipe tecnicamente preparada
� Antever necessidades futuras de pessoal
� Aspectos psicológicos e comportamentais
◦ Seleção de Pessoal
� Pessoas confiáveis com nível técnico compatível
� Analisar referências, formação, experiência
� Termos de confidencialidade, código de conduta.
� Gerência de Recursos Humanos
◦ Treinamento
� Constantes avanços tecnológicos
� Plano de treinamento compatível com necessidades
� Estimular troca de experiências
� Gerência de Recursos Humanos
◦ Avaliação de desempenho
� Funcionários regularmente avaliados
� Critérios objetivos (experiência, conduta, metas)
◦ Rodízio de cargos e férias
� Preventivos contra fraudes
4
� Gerência de Recursos Computacionais
◦ Aquisição de equipamentos e software
� Plano de aquisição com base no desempenho do 
ambiente atual e demanda reprimida
� Seguir padrões adotados e leis
� Aspectos econômicos, eficiência, qualidade
� Gerência de Recursos Computacionais
◦ Manutenção de hardware e software
◦ Manutenções preventivas para evitar falhas e 
interrupções inesperadas
◦ Atualizações dos fabricantes
� Consultoria externa
◦ Pode envolver alguns ou todos estágios do 
processo
◦ Motivado por custos, espaço físico e quadro 
reduzido de especialistas
◦ Auditoria envolve análise de contratos, políticas e 
procedimentos de segurança
◦ Pode ser necessário auditar o prestador de serviço
� Periodicamente é necessário atualizar 
plataforma de hardware, sistema operacional 
ou incorporar melhorias nas aplicações
� Controlar este processo para minimizar o 
risco de erros e fraudes
� Organizações devem ter procedimento de 
mudanças
� O que pode provocar uma mudança?
◦ Atualização tecnológica do parque computacional
◦ Demanda por mais processamento ou 
armazenamento
◦ Manutenções periódicas
◦ Identificação de problemas nos sistemas
� O que pode provocar uma mudança?
◦ Insatisfação dos usuários
◦ Identificação de vulnerabilidades
◦ Operação ineficiente
◦ Mudança dos objetivos do sistema
5
� Procedimentos de Controles de Mudanças
� Exemplo
1. Solicitação é feita pelos usuários
2. Registro e análise da solicitação
3. Especificação da alteração a ser feita para aprovação
4. Alteração é feita em ambiente de teste (desenvolvimento)
5. Modificações são testadas com verificação dos padrões
6. Simulação no ambiente de produção
7. Acertos são feitos
8. Programa é colocado em produção
� Mudanças de Emergência
◦ Problemas sanados o mais rápido possível
◦ Não podem aguardar o procedimento normal
◦ Plano para esse tipo de situação
� Controles de versão
◦ Garantem utilização da versão correta
◦ Uso de versões diferentes compromete 
confiabilidade dos dados
◦ Uso de biblioteca de programas
� Relacionados com aspectos de infra-estrutura
� Garantir a disponibilidade dos sistemas
� Procedimentos específicos para cada 
aplicação
� Procedimentos gerais para o ambiente 
operacional
� Funções de operações de sistemas
◦ Escalonamento de serviços
� Procedimentos aprovados pela gerência
� Auditor deve verificar se esse controle é seguro
◦ Gerência de desempenho e planejamento de 
capacidade
� Supervisão do desempenho
� Planejamento para demandas futuras
� Funções de operações de sistemas
◦ Atendimento a usuários
� Problemas registrados e resolvidos
� Procedimentos padronizados
� Auditor deve verificar se serviço funciona 
adequadamente
◦ Gerência de meios magnéticos
� Auditoria deve verificar se discos são confiáveis e 
arquivos seguros e acessados somente por pessoal 
autorizado
� Funções de operações de sistemas
◦ Gerência de controle de acesso
� Identificar quem tem acesso privilegiado e se acesso é 
justificado
� Atividades registradas em logs
� Manutenção de hardware
◦ Auditor pode querer analisar a efetividade destas 
manutenções
6
� Software de banco de dados
◦ Instalação – validar se processo seguiu 
recomendações do fornecedor
◦ Configuração – comparar parâmetros
◦ Manutenção e documentação – verificar se 
procedimentos são adequados
� Disponibilidade◦ Bases de dados são importantes e devem estar 
acessíveis
� Backup
◦ Backup diário (ideal, mas pode comprometer 
desempenho)
◦ Política viável
� Integridade
◦ Restrição à atualização simultânea
◦ Estabelecimento de índices para estruturas de 
dados
◦ Mecanismos de verificação de integridade e 
correção
� Confidencialidade
◦ Controles que permitam aos usuários acesso 
apenas aos dados para execução de suas funções
� Procedimentos que minimizam a ocorrência 
de ameaças em ambientes de BD
◦ Criação da função administrador de dados
◦ Segurança física dos terminais
◦ Normas para uso de senhas
� Controles específicos
◦ Conformidade com legislação
◦ Pirataria
◦ Controles de acesso físico e lógico
◦ Proteção contra vírus
� Software anti-vírus
� Uso de software aprovado
� Backups
� Acesso a internet
� Auditor deve identificar
◦ Inventário de micros, sua localização física, 
usuários, softwares, ...
◦ Política de microinformática da organização, 
indicadores de gerenciamento dos trabalhos, 
posicionamento na hierarquia, etc ...
� Constatação da veracidade do inventário de 
características dos micros
� Aplicação de estatística para estratificação do 
universo de micros, caracterizando:
◦ Tempo médio de utilização
◦ Natureza de seu uso (planilhas, correio, editor de 
texto, desenvolvimento)
◦ Características de segurança física e lógica
◦ Nível de apoio dado aos usuários
7
� Envio de questionário preliminar para efeito 
de viabilidade da estratificação
� Caracterização do universo de micros em 
termos de
◦ Micros independentes
◦ Rede de micros
◦ Micros multiusuários
� Objetivos de avaliação dos planos de 
contingência
◦ Há planos desenvolvidos que contemplam todas as 
necessidades de contingência?
◦ A equipe de contingência está preparada para 
eventualidades?
◦ Os planos são testados periodicamente?
◦ Os backups são atualizados? Podem ser 
recuperados com pouca ou nenhuma dificuldade?
� Auditor precisa de bons conhecimentos de 
computação e análise de sistemas.
� Auditoria durante desenvolvimento exige 
metodologia que garanta independência dos 
trabalhos do auditor
� Auditor deve conhecer 
◦ Metodologia de desenvolvimento de sistemas 
computadorizados com suas etapas, técnicas, 
formulários
◦ Metodologia que delineie a forma de participação do 
auditor na elaboração do sistema em computador
� Entendimento da metodologia através da 
leitura de seus manuais
� Identificar
◦ encadeamento lógico das etapas
◦ produtos gerados
◦ responsabilidade por cada etapa
◦ documentação exigida
� Avaliar adequacidade dos pontos de controle
� Emitir opinião, debater com equipe
� Entendimento das especificações
� Identificar
◦ Projeto lógico e físico
◦ Implementação, prototipagem e testes
◦ Treinamento para institucionalização
◦ Documentação geral do projeto
8
� Objetivos dos indicadores
◦ Atendem ao planejamento e ao controle da 
auditoria de sistemas
◦ Servem de referência para a organização da 
qualidade dos trabalhos de auditoria realizados
◦ São estabelecidos segundo alta diretoria
� Avaliação permite caracterizar
◦ Produtividade dos trabalhos realizados
◦ Eficácia dos resultados das auditorias
� 1) Enumere 03 itens que são verificados em 
uma auditoria de TI.
� 2) Por que a política de documentação é tão 
importante para o processo de auditoria?
� 3) O que são controles de auditoria e por que 
são importantes?