Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 ProfProfProfProf Ana Paula GarciaAna Paula GarciaAna Paula GarciaAna Paula Garcia anapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.com Governança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação � Tecnologia da Informação ◦ Informática (hardware e software) ◦ Sistemas ◦ Telecomunicações ◦ Processamento de dados ◦ Engenharia de Software � Auditoria de Tecnologia da Informação ◦ Analisa conjunto de controles gerenciais e de procedimentos que afetam todo o ambiente de informática e todos os sistemas. � São verificados: ◦ Padrões e políticas adotados pela organização ◦ Operação sobre sistemas e dados ◦ Disponibilidade e manutenção do ambiente computacional ◦ Utilização de recursos computacionais � São verificados: ◦ Gerência de banco de dados e rede ◦ Segurança das informações � Física � Lógica � Ambiental � Continuidade dos serviços de informática � Políticas, procedimentos e estrutura organizacional estabelecidos para definir responsabilidades � Abrangem todos os controles administrativos e institucionais 2 � Ponto de partida da maioria das auditores de sistemas � Permitem observar como políticas são adotadas e como aspectos de segurança são considerados pela alta administração � O Auditor deve: ◦ Analisar a estrutura adotada pela entidade auditada ◦ Verificar se os controles organizacionais são adequados ◦ Se as medidas estabelecidas são suficientes para garantir o controle adequado e objetivos do negócio � A responsabilidade de controles organizacionais repousa nas seguintes tarefas: ◦ Delineamento das responsabilidades operacionais ◦ Coordenação do orçamento de capital de informática ◦ Desenvolvimento e implementação das políticas globais de informática ◦ Gerenciamento de suprimentos ◦ Desenvolvimento de plano de capacitação ◦ Intermediação com terceiros � Responsabilidades Organizacionais: ◦ O departamento de informática deve ter uma estrutura bem definida ◦ Responsabilidades claramente estabelecidas, documentadas e divulgadas ◦ Recomendável ter importância hierárquica e participação em objetivos estratégicos � Responsabilidades Organizacionais: ◦ Pode haver um departamento de segurança da informação em organizações maiores ◦ Unidades internas do departamento devem ser bem definidas com níveis de responsabilidades ◦ Descrição dos cargos e habilidades técnicas necessárias podendo haver métodos de avaliação de desempenho. � O Auditor deve: ◦ Verificar se existe uma gerência superior de informática ou segurança junto ao comitê executivo da organização � Riscos de segurança e baixa qualidade dos sistemas ◦ Verificar se funcionários têm conhecimento de suas responsabilidades e seu papel na organização 3 � Política sobre documentação: ◦ Recomendável estabelecer padrões de qualidade e classificação ◦ Políticas inadequadas podem dificultar a manutenção dos sistemas ◦ Importante para auditoria. Por meio dela que se obtém muitas informações sobre os sistemas auditados ou o ambiente computacional � Gerência de Recursos Humanos ◦ Casos frequentes de acesso não autorizado, perda de dados ou pane nos sistemas devidos a erros, omissões, fraudes provocadas por pessoas contratadas pela própria organização ◦ Sabem como a organização funciona � Gerência de Recursos Humanos ◦ Funcionários mal intencionados tem tempo e liberdade para obter, ler e copiar informações internas ou confidenciais ◦ Área de pessoal deve ter enfoque especial das políticas, controles e procedimentos � Gerência de Recursos Humanos ◦ Plano de Contratação e Desenvolvimento de Pessoal � Plano para manter equipe tecnicamente preparada � Antever necessidades futuras de pessoal � Aspectos psicológicos e comportamentais ◦ Seleção de Pessoal � Pessoas confiáveis com nível técnico compatível � Analisar referências, formação, experiência � Termos de confidencialidade, código de conduta. � Gerência de Recursos Humanos ◦ Treinamento � Constantes avanços tecnológicos � Plano de treinamento compatível com necessidades � Estimular troca de experiências � Gerência de Recursos Humanos ◦ Avaliação de desempenho � Funcionários regularmente avaliados � Critérios objetivos (experiência, conduta, metas) ◦ Rodízio de cargos e férias � Preventivos contra fraudes 4 � Gerência de Recursos Computacionais ◦ Aquisição de equipamentos e software � Plano de aquisição com base no desempenho do ambiente atual e demanda reprimida � Seguir padrões adotados e leis � Aspectos econômicos, eficiência, qualidade � Gerência de Recursos Computacionais ◦ Manutenção de hardware e software ◦ Manutenções preventivas para evitar falhas e interrupções inesperadas ◦ Atualizações dos fabricantes � Consultoria externa ◦ Pode envolver alguns ou todos estágios do processo ◦ Motivado por custos, espaço físico e quadro reduzido de especialistas ◦ Auditoria envolve análise de contratos, políticas e procedimentos de segurança ◦ Pode ser necessário auditar o prestador de serviço � Periodicamente é necessário atualizar plataforma de hardware, sistema operacional ou incorporar melhorias nas aplicações � Controlar este processo para minimizar o risco de erros e fraudes � Organizações devem ter procedimento de mudanças � O que pode provocar uma mudança? ◦ Atualização tecnológica do parque computacional ◦ Demanda por mais processamento ou armazenamento ◦ Manutenções periódicas ◦ Identificação de problemas nos sistemas � O que pode provocar uma mudança? ◦ Insatisfação dos usuários ◦ Identificação de vulnerabilidades ◦ Operação ineficiente ◦ Mudança dos objetivos do sistema 5 � Procedimentos de Controles de Mudanças � Exemplo 1. Solicitação é feita pelos usuários 2. Registro e análise da solicitação 3. Especificação da alteração a ser feita para aprovação 4. Alteração é feita em ambiente de teste (desenvolvimento) 5. Modificações são testadas com verificação dos padrões 6. Simulação no ambiente de produção 7. Acertos são feitos 8. Programa é colocado em produção � Mudanças de Emergência ◦ Problemas sanados o mais rápido possível ◦ Não podem aguardar o procedimento normal ◦ Plano para esse tipo de situação � Controles de versão ◦ Garantem utilização da versão correta ◦ Uso de versões diferentes compromete confiabilidade dos dados ◦ Uso de biblioteca de programas � Relacionados com aspectos de infra-estrutura � Garantir a disponibilidade dos sistemas � Procedimentos específicos para cada aplicação � Procedimentos gerais para o ambiente operacional � Funções de operações de sistemas ◦ Escalonamento de serviços � Procedimentos aprovados pela gerência � Auditor deve verificar se esse controle é seguro ◦ Gerência de desempenho e planejamento de capacidade � Supervisão do desempenho � Planejamento para demandas futuras � Funções de operações de sistemas ◦ Atendimento a usuários � Problemas registrados e resolvidos � Procedimentos padronizados � Auditor deve verificar se serviço funciona adequadamente ◦ Gerência de meios magnéticos � Auditoria deve verificar se discos são confiáveis e arquivos seguros e acessados somente por pessoal autorizado � Funções de operações de sistemas ◦ Gerência de controle de acesso � Identificar quem tem acesso privilegiado e se acesso é justificado � Atividades registradas em logs � Manutenção de hardware ◦ Auditor pode querer analisar a efetividade destas manutenções 6 � Software de banco de dados ◦ Instalação – validar se processo seguiu recomendações do fornecedor ◦ Configuração – comparar parâmetros ◦ Manutenção e documentação – verificar se procedimentos são adequados � Disponibilidade◦ Bases de dados são importantes e devem estar acessíveis � Backup ◦ Backup diário (ideal, mas pode comprometer desempenho) ◦ Política viável � Integridade ◦ Restrição à atualização simultânea ◦ Estabelecimento de índices para estruturas de dados ◦ Mecanismos de verificação de integridade e correção � Confidencialidade ◦ Controles que permitam aos usuários acesso apenas aos dados para execução de suas funções � Procedimentos que minimizam a ocorrência de ameaças em ambientes de BD ◦ Criação da função administrador de dados ◦ Segurança física dos terminais ◦ Normas para uso de senhas � Controles específicos ◦ Conformidade com legislação ◦ Pirataria ◦ Controles de acesso físico e lógico ◦ Proteção contra vírus � Software anti-vírus � Uso de software aprovado � Backups � Acesso a internet � Auditor deve identificar ◦ Inventário de micros, sua localização física, usuários, softwares, ... ◦ Política de microinformática da organização, indicadores de gerenciamento dos trabalhos, posicionamento na hierarquia, etc ... � Constatação da veracidade do inventário de características dos micros � Aplicação de estatística para estratificação do universo de micros, caracterizando: ◦ Tempo médio de utilização ◦ Natureza de seu uso (planilhas, correio, editor de texto, desenvolvimento) ◦ Características de segurança física e lógica ◦ Nível de apoio dado aos usuários 7 � Envio de questionário preliminar para efeito de viabilidade da estratificação � Caracterização do universo de micros em termos de ◦ Micros independentes ◦ Rede de micros ◦ Micros multiusuários � Objetivos de avaliação dos planos de contingência ◦ Há planos desenvolvidos que contemplam todas as necessidades de contingência? ◦ A equipe de contingência está preparada para eventualidades? ◦ Os planos são testados periodicamente? ◦ Os backups são atualizados? Podem ser recuperados com pouca ou nenhuma dificuldade? � Auditor precisa de bons conhecimentos de computação e análise de sistemas. � Auditoria durante desenvolvimento exige metodologia que garanta independência dos trabalhos do auditor � Auditor deve conhecer ◦ Metodologia de desenvolvimento de sistemas computadorizados com suas etapas, técnicas, formulários ◦ Metodologia que delineie a forma de participação do auditor na elaboração do sistema em computador � Entendimento da metodologia através da leitura de seus manuais � Identificar ◦ encadeamento lógico das etapas ◦ produtos gerados ◦ responsabilidade por cada etapa ◦ documentação exigida � Avaliar adequacidade dos pontos de controle � Emitir opinião, debater com equipe � Entendimento das especificações � Identificar ◦ Projeto lógico e físico ◦ Implementação, prototipagem e testes ◦ Treinamento para institucionalização ◦ Documentação geral do projeto 8 � Objetivos dos indicadores ◦ Atendem ao planejamento e ao controle da auditoria de sistemas ◦ Servem de referência para a organização da qualidade dos trabalhos de auditoria realizados ◦ São estabelecidos segundo alta diretoria � Avaliação permite caracterizar ◦ Produtividade dos trabalhos realizados ◦ Eficácia dos resultados das auditorias � 1) Enumere 03 itens que são verificados em uma auditoria de TI. � 2) Por que a política de documentação é tão importante para o processo de auditoria? � 3) O que são controles de auditoria e por que são importantes?
Compartilhar