Auditoria de TI: Planejamento, Equipe e Controles

Prévia do material em texto

UNIDADE III - AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
III.1 CONCEITOS
ORGANIZAÇÃO DO TRABALHO DA AUDITORIA
Planejamento
Conhecer o ambiente: levantamento de dados do ambiente, fluxos de processamento, recursos humanos, materiais, arquivos, relatórios, telas, etc.
Determinar pontos de controle (processos críticos)
Definir objetivos da auditoria: técnicas, prazos, custos, nível de tecnologia a ser utilizada.
Estabelecer critérios para a análise de risco.
Análise de risco.
Hierarquização dos pontos de controle.
Definição da equipe
Escolher equipe: perfil e histórico profissional, experiência na atividade, conhecimentos específicos, formação acadêmica, línguas estrangeiras, disponibilidade para viagem, etc.
Programar a equipe: gerar programas de trabalho, selecionar procedimentos apropriados, incluir novos procedimentos, classificar trabalho por visita, orçar tempo e registrar o realizado.
Executar trabalho: dividir as tarefas de acordo com a formação, experiência e treinamento dos auditores, efetuarem supervisão para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente.
Revisar papéis: verificar pendências e rever o papel de cada auditor para suprir as falhas encontradas.
Avaliação da equipe: avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superação de fraquezas do auditor, ter um sistema de avaliação de desempenho automatizado.
Documentação do trabalho
Relatório de fraquezas de controle interno
- Deve possuir o objetivo do projeto de auditoria, pontos de controle auditados, conclusão alcançada a cada ponto de controle, alternativas de solução propostas.
Certificado de controle interno
- Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
Relatório de redução de custos
- Explicita as economias financeiras a serem feitas coma a aplicação das recomendações efetuadas. Base para a realização das análises de retorno de investimento e do custo/benefício da auditoria de sistemas.
Manual da auditoria do ambiente auditado
- Armazenam o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toda a documentação anterior já citada.
Pastas contendo a documentação da auditoria de sistemas
- Contem toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reuniões, etc.
Apresentação dos resultados
Objetividade na transmissão dos resultados;
Esclarecimento das discussões realizadas entre a auditoria e os auditados;
Clareza nas recomendações das alternativas de solução;
Coerência da atuação da auditoria;
Apresentação da documentação gerada;
Explicação do conteúdo de cada documento;
Técnicas de auditoria em programas de computador
Correlação de arquivos e análise dos dados;
Análise do fluxo do sistema;
Identificação do arquivo a ser auditado;
Entrevista com o analista / usuário;
Identificação do código/layout do arquivo;
Elaboração do programa para auditoria;
Cópia do arquivo a ser auditado;
Aplicação do programa de auditoria;
Análise dos resultados;
Emissão de relatórios;
10. Documentação;
Simulação de dados;
Elaboração de massa de teste a ser submetida ao programa ou rotina, deve prever as seguintes situações:
Transações com campos inválidos;
Transações com valores no limite;
Transações incompletas;
Transações incompatíveis;
Transações em duplicidade;
Passos:
Compreensão da lógica do programa;
Simulação dos dados (pertinentes ao teste a ser realizado);
Elaboração dos formulários de controle;
Transcrição dos dados para o computador;
Preparação do ambiente de teste;
Processamento do teste;
Avaliação dos resultados;
Emissão de opinião sobre o teste;
III.2 CONTROLES
III.2.1 ORGANIZACIONAIS
Os controles organizacionais são políticas, procedimentos e estrutura organizacional estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades relacionadas à área da Informática, abragendo todos os controles adotados pela gerência em termos administrativos e institucionais.
Os controles organizacionais são os pontos de partida da maioria das auditorias de sistemas, é a partir deles que se pode ter uma idéia das políticas adotadas pela instituição e como os aspectos de segurança são considerados pela alta administração.
É necessário que durante o planejamento da auditoria, o auditor, analise a estrutura adotada pela entidade auditada, bem como seus diversos componentes e o relacionamento do departamento com outros setores da organização, assim de acordo com a estrutura, o auditor deve adaptar os objetivos de controle e os procedimentos a serem adotados e, posteriormente, verificar se os controles organizacionais são adequados.
É muito importante que o auditor determine se as medidas administrativas estabelecidas pelo auditado são suficientes para garantir o controle adequado das atividades do departamento de Informática e se essas atividades satisfazem os objetivos de negócio da organização.
RESPONSABILIDADES ORGANIZACIONAIS
O departamento de Informática deve ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas, desta forma é aconselhável que seja suficientemente importante na estrutura hierárquica para que possa estabelecer seus objetivos estratégicos e ter certa independência dos demais departamentos.
Desta maneira, dependendo do tamanho da organização, pode existir uma gerência para controle de qualidade e uma gerência, ou departamento, responsável por segurança das informações, geralmente com estreitas ligações com o setor de Informática.
As unidades internas do departamento devem ser bem definidas, com níveis de autoridade e responsabilidades, mas também as descrições dos cargos no departamento e as habilidades técnicas necessárias para exercê-las devem ser estabelecidas e documentadas, podendo ser utilizadas, posteriormente, na avaliação de desempenho dos funcionários.
É necessário que o auditor verifique, primeiramente, se existe uma gerência superior de Informática, com influência junto ao comitê executivo da organização. A inexistência dessa gerência, por si só, já pode sinalizar uma falta de prestígio ou de reconhecimento dos serviços prestados pelo departamento de Informática e nesse caso, há maior probabilidade de o departamento não receber os recursos e atenção necessários para atingir seus objetivos e a falta de recursos pode causar maiores riscos de segurança, além da baixa qualidade de sistemas.
A equipe de auditoria deve também verificar se os funcionários do departamento têm conhecimento de suas responsabilidades e seu papel na organização, neste caso é aconselhável que essas definições sejam documentadas formalmente.
POLÍTICAS, PADRÕES E PROCEDIMENTOS.
As políticas, padrões e procedimentos são a base para o planejamento gerencial, o controle e a avaliação das atividades do departamento de Informática.
 A experiência tem demonstrado que pelo menos as políticas e os padrões devem ser estabelecidos pela alta gerência para que sejam considerados na prática pelas gerências intermediarias. 
É importante ter em mente que as políticas definem as diretrizes institucionais e o relacionamento entre os diversos departamentos.
Portanto, é essencial que as políticas, para merecerem a atenção das gerências intermediárias e de todos os funcionários, sejam estabelecidas pelo nível hierárquico superior da organização e divulgada a todos.
 A partir das políticas, são estabelecidos os padrões que, no caso do departamento de Informática, podem ser padrões para aquisição de recursos; projetos, desenvolvimentos, alteração e documentação de sistemas; operação do centro de Informática e prestação de serviçosde Informática.
O passo seguinte é a definição de procedimentos mais detalhados que atendam às políticas e aos padrões preestabelecidos, considerando que os procedimentos descrevem a forma como as atividades deverão ser executadas e, muitas vezes, são definidos pelo departamento de Informática e aprovadas pela alta gerência.
Para o auditor, as políticas delineiam os controles gerenciais da organização e a partir delas, surgem padrões, procedimentos e controles mais específicos, relacionado a um determinado assunto e quanto mais efetivo o cumprimento às políticas da organização, maior a probabilidade de os controles organizacionais serem também eficazes.
Entretanto, é importante que o auditor leve em consideração que cada entidade tem objetivos gerenciais e organizacionais diferentes e, consequentemente, as políticas, os padrões e procedimentos também serão diferentes.
O auditor deve ser flexível e considerar as particularidades de cada entidade para que suas recomendações sejam realmente aplicáveis em cada caso. Recomendações absurdas depõem contra a qualidade da auditoria e o bom nome do auditor.
ESTRATÉGIA DE INFORMÁTICA
O comitê de Informática ou a alta gerência, após inúmeras discussões, formaliza a estratégia de Informática à organização em um documento conhecido como plano diretor de Informática ou estratégia de Informática. 
Esse documento serve como base para qualquer investimento na área de Informática, já que traça os objetivos e projetos futuros da organização.
O maior risco associado à falta ou ineficiência de uma estratégia de Informática é o desenvolvimento de sistemas que não satisfaçam os objetivos de negócio da organização, acarretando perdas econômicas e investimentos sem resultado.
É interessante que a equipe de auditoria tenha conhecimento do plano estratégico da entidade para reunir informações importantes ao planejamento de futuras auditorias. A equipe poderá saber o direcionamento que será dado ao ambiente computacional da entidade nos próximos anos.
Em sua análise, é necessário que o auditor considere o tamanho da organização e a importância da Informática para a continuidade de seus negócios e sua sobrevivência no mercado. 
Com relação ao plano estratégico, o auditor deve analisar o relacionamento entre a estratégia de Informática e a estratégia de negócios da organização e as previsões de mudanças a curto e médio prazo. 
É importante também verificar a forma de divulgação do plano e seu nível de aprovação e por se tratar de um plano estratégico, normalmente deve ser aprovado pela alta gerência.
POLÍTICA SOBRE DOCUMENTAÇÃO
É recomendável que a organização defina uma política sobre documentação, estabelecendo padrões de qualidade e classificação quanto a confidencialidade (documentos secretos, confidenciais, de uso interno, de uso restrito).
A documentação de todos os sistemas computacionais deve ser completa, atualizada e pelo menos uma cópia deve ser mantida em local seguro e a classificação dos documentos pretende restringir o acesso não autorizado a informações cruciais para a organização.
A política de documentação estabelece padrões para edição, formatação, apresentação visual e estrutura básica de documentação e ainda regras para classificação, aprovação e alterações na documentação já existentes.
Sem uma documentação adequada e atualizada, identificar as causa de erros nos aplicativos pode se tornar uma tarefa complexa e demorada. 
Com uma política de documentação correta, pode-se ainda evitar a repetição de erros e práticas não autorizadas pela equipe de desenvolvimento de sistemas.
Para a equipe de segurança e auditoria, a documentação também é muito importante, pois é por meio dela que consegue muitas informações sobre os sistemas auditados ou ambientes computacionais, relevantes para as investigações de segurança, assim a falta de documentação adequada pode dificultar os trabalhos da equipe.
GERÊNCIA DE RECURSOS HUMANOS
As causas mais freqüentes de acesso não autorizado, perda de dados ou pane nos sistemas informatizados são erros, omissões, sabotagem, extorsão ou invasões criminosas provocados por pessoas contratadas pela própria organização, já os acidentes ambientais, as falhas de hardware e software e os invasores externos aparecem em segundo plano.
Os funcionários mal intencionados têm tempo disponível e liberdade de vasculhar as mesas de outros funcionários, ler e copiar documentos e informações internas ou confidenciais. 
Estes funcionários sabem como a organização funciona, quais tipos de informações seriam valiosos para a concorrência, assim a espionagem industrial, por exemplo, costuma utilizar funcionários insatisfeitos como mão-de-obra.
Os ex-funcionários são igualmente interessantes para a concorrência e muitas vezes essas pessoas prejudicam sua antiga instituição de maneira não intencional, simplesmente pelo fato de saberem o que sabem, apesar de não terem mais acesso direto às informações internas, eles conhecem os procedimentos de segurança, a forma de atuação da empresa, seus hábitos e vulnerabilidades.
Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usuários internos, é aconselhável que a organização estabeleça políticas, controles e procedimentos enfocando a área de pessoal. 
As atividades dos funcionários devem ser controladas por meio de procedimentos de operação e supervisão documentados, e políticas adequadas de seleção, treinamento, avaliação de desempenho, segregação de funções e interrupção de contratos de trabalho.
Plano de Contratação e Desenvolvimento de Pessoal
A gerência de Informática deve traçar um plano de contratação e desenvolvimento de pessoal, visando manter uma equipe tecnicamente preparada para atender aos objetivos do departamento, com capacidade para operar o ambiente computacional atual e acompanhar os avanços tecnológicos na área de Informática. É essencial que a gerência anteveja as futuras necessidades do departamento em termos técnicos e quantitativos.
Seleção de Pessoal
As políticas de seleção de pessoal devem ser definidas de tal maneira que a equipe seja composta de pessoas confiáveis, com nível técnico compatível com suas atividades, de preferência, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As políticas podem se aplicadas tanto na contratação temporária de prestadores de serviços ou consultores. Em alguns casos, a contratação de pessoal deve ainda atender a requerimentos legais, tais com exigência de concursos públicos para quadros do governo e apresentação de certificados técnicos emitidos por associações profissionais.
Nas contratações de novos funcionários, normalmente são analisadas suas referências, incluindo empregos anteriores, formação profissional, experiência técnica e ficha criminal. É recomendável instituir um acordo de confidencialidade e códigos de conduta. Os novos contratados devem ter conhecimento de suas responsabilidade e de seu papel na organização. O mesmo cuidado deve ser tomado na contratação de consultores ou prestadores de serviços.
Treinamento
A gerência deve manter seu quadro de profissionais tecnicamente atualizados e aptos a desempenhar suas funções atuais e futuras, de acordo com o plano estratégico de Informática. É importante estimular a troca de experiências e o repasse de conhecimentos adquiridos a outros membros da equipe, dessa forma, a capacitação profissional se multiplica internamente na organização e o conhecimento não fica restrito a uma única pessoa ou grupo.
Avaliação de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidades do cargo ocupado e padrões preestabelecidos. Toda avaliação é intrinsecamente subjetiva, pois, envolve aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa subjetividade, é aconselhável que o processo avaliativo se baseie em critérios mais objetivos, levando em consideraçãoformação profissional, nível de responsabilidade, experiência, treinamento, conduta e consecução de metas.
Rodízio de Cargos e Férias
O rodízio de cargos e a instituição de férias regulares podem atuar como controles preventivos contra fraudes ou atividades não autorizadas. O funcionário, sabendo que outra pessoa pode, de uma hora para outra, exercer suas funções e detectar irregularidades por ele cometidas, ficará menos inclinado a praticar atos não autorizados ou fraudulentos. Essas medidas não são infalíveis, é claro, mas podem reduzir os riscos de atos não autorizados por um longo período de tempo.
Segregação de Funções
A segregação de funções tem como objetivo evitar que um indivíduo detenha o controle de todas as fases de um processo qualquer e caia na tentação de praticar alguns atos ilícitos, fraudulentos ou não autorizados. A segregação significa basicamente que os estágios de uma transação ou processos são distribuídos a pessoas diferentes, de forma que uma única pessoa não seja capaz de ter controle do início ao fim. A divisão de responsabilidades, entre grupos ou funcionários distintos dentro do departamento, de certa forma promove o controle mútuo das atividades desempenhadas por cada grupo ou funcionário. Com isso, aumenta a probabilidade de serem detectados erros, omissões e fraudes. 
Dependendo do risco associado, do tamanho da organização e de sua estrutura hierárquica, a segregação de funções pode ser mais, ou menos, rígida, específica ou detalhada. Quanto menor a organização, mais difícil é separar suas funções. Normalmente as atividades que envolvem recursos financeiros são as mais críticas para a organização e, conseqüentemente, as mais controladas. Em geral, essas atividades são distribuídas a vários indivíduos e sujeitas a um controle mais rígido. A supervisão gerencial é imprescindível para que a política de segregação de funções tenha resultados satisfatórios. 
Na época em que começaram a ser feita a auditoria de sistemas, os auditores costumavam verificar apenas se os operadores dos computadores não tinham acesso aos programas e se os programadores não operavam os equipamentos. Isso fazia sentido e era suficiente naquele tempo. Hoje, com a complexidade dos sistemas operacionais modernos e as diferentes plataformas de hardware e software, o auditor deve avaliar a segregação de funções sob outro prisma, já que novas funções foram introduzidas no modelo organizacional do departamento de Informática. 
O acesso aos recursos computacionais e às informações sobre bases de dados, programas, controles internos das aplicações, etc. só deve ser dado a quem realmente necessita desses recursos e informações para desempenhar suas funções. Se todos tiverem o conhecimento e os meios para alteração de dados, por exemplo, basta haver um motivo para que ocorram fraudes contra a organização.
A segregação de funções pretende assegurar que as transações e os processos são autorizados e registrados adequadamente e os recursos (equipamentos, software e informação) estão protegidos. 
Pode também ser uma forma de controle de qualidade e detecção de erros por inabilidade ou incompetência técnica.
Na prática, no entanto, com os constantes cortes de investimentos nas organizações, o quadro de pessoal do departamento de Informática tem sido cada vez mais reduzido. Em algumas organizações, devido à diminuição do quadro, pode ser difícil implementar a segregação de funções. Se o auditor se deparar com um caso semelhante, é aconselhável adaptar sua análise e suas recomendações de acordo com a problemática da organização e buscar outros controles que possam compensar os riscos da falta de segregação de funções.
Interrupção do Contrato de Trabalho
Assim como as políticas de contratação de pessoal, são igualmente importantes às políticas e os procedimentos para lidar com o afastamento, voluntários ou não, de funcionários. Essas políticas devem definir as medidas a serem adotadas no caso do término de um contrato de trabalho, principalmente no que diz respeito ao acesso aos sistemas, dados e recursos patrimoniais da organização. Seu objetivo é a proteção dos recursos computacionais e das informações da organização contra ex-funcionários insatisfeitos. Normalmente, ao interromper o contrato de trabalho, os ex-funcionários são solicitados a devolver crachás de identificação, chaves e quaisquer equipamentos ou material da organização (bips, laptops, calculadoras, microcomputadores, impressoras, livros). Além disso, são desativadas as rotinas de pagamento de pessoal, senhas e privilégios de acesso lógico aos recursos computacionais e informações.
Gerência de Recursos
Os recursos computacionais devem ser gerenciados de tal forma que atendam às necessidades e objetivos da organização com relação à Informática, levando em consideração os aspectos de economicidade, eficiência e eficácia.
Aquisição de Equipamentos e Softwares
É recomendável que o departamento estabeleça um plano de equipamentos e softwares, baseado na análise de desempenho do ambiente atual, na demanda reprimida de serviços de Informática, no planejamento de capacidade e no plano estratégico de Informática. Deve seguir os padrões de contratação adotados na organização, as regras estabelecidas em leis, se forem o caso (obrigatoriedade de processo licitatório, por exemplo), e comparar preços e requisitos técnicos de produtos de fornecedores diferentes. É importante ter em mente que nem sempre o mais barato é o melhor ou o mais adequado para atender às suas necessidades. Os critérios de seleção devem aliar aspectos econômicos, de eficiência, de eficácia, efetividade e qualidade.
Manutenção e Hardware e Software
Para reduzir a possibilidade de ocorrência de falhas e interrupções inesperadas que possam causar impacto no funcionamento normal dos sistemas computacionais, é aconselhável que a manutenção preventiva de hardware ocorra de acordo com os padrões de cada equipamento (normalmente sugeridos pelo próprio fabricante).
Também os pacotes de software devem sofrer manutenções, tais como aplicação de correções (distribuídas pelo fornecedor) (e atualizações de releases ou versões mais seguras e confiáveis).
Outsourcing, Terceirização e Contratação de Consultoria Externa
A terceirização ou prestação de serviços de Informática ocorre quando uma empresa independente presta qualquer tipo de serviço relacionado à Informática para outra organização. Essa prestação de serviços pode envolver alguns ou todos os estágios de processamento e desenvolvimento dos sistemas, e utilização de mão-de-obra especializada, em ambiente computacional de propriedade da empresa contratada ou da organização contratante. Normalmente, os motivos que levam uma organização a optar pela contratação de serviços externos de Informática são custos, problemas de espaço físico para instalação dos equipamentos e quadro reduzido de especialistas em Informática.
O termo outsourcing é usado quando o cliente contrata uma empresa especializada para prover por completo todos os serviços de Informática necessários para a organização. O local, equipamentos, software e pessoal são da empresa contratada. Com o outsourcing, a organização pode concentrar esforços em sua área de negócios e apenas gerenciar os serviços de Informática providos pela empresa contratada.
A organização pode restringir a prestação de serviços de Informática em algumas áreas específicas, contratando a melhor opção no mercado para desempenhar as atividades especializadas. As áreas do departamento de Informática geralmente terceirizadas são manutenção de hardware e software, desenvolvimento de sistemas, operação do centro de processamento de dados (CPD) e suporte técnico a microcomputadores. 
Mesmo quando a organização decide manter um ambiente computacional próprio, pode necessitar de serviços externos providos por consultores especializados para desempenhar atividades bem definidas. Isso ocorre quando o quadro de funcionários do departamentode Informática não está suficientemente capacitado ou treinado para desempenhar tais atividades e a gerência considerou a contratação de consultoria externa uma opção melhor do que o investimento em treinamento de pessoal.
Os trabalhos de auditoria em uma organização que optou pela terceirização de alguns serviços, outsourcing ou contratação de consultoria externa devem enfocar as cláusulas contratuais, as políticas e os procedimentos de segurança de informações de organização. Eventualmente, dependendo do tipo de terceirização, pode ser necessário auditar a própria instalação do prestador de serviços, para verificar os controles aplicados. 
Principais Motivos
Os principais motivos que levam uma organização a decidir pela terceirização, outsourcing ou contratação de consultoria técnica externa são:
Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos, software e manter um quadro técnico de profissionais de Informática).
Restrições de fluxo de caixa (a compra de equipamentos pode envolver quantias muito altas, acima das possibilidades da organização, por outro lado o pagamento pela prestação de serviços terceirizados pode ser bem inferior).
Mão-de-obra especializada (a organização pode necessitar de serviços de um especialista apenas por um determinado período de tempo. Manter esse especialista em sua folha de pagamento pode ser mais oneroso, considerando que seus serviços sejam utilizados ocasionalmente). 
Resolução de problemas (quando um prestador de serviços é contatado, assume todas as responsabilidades de entregar o serviço dentro do prazo e de acordo com os padrões e preços predefinidos. Caso ocorram problemas, a responsabilidade de solucioná-los é inteiramente do prestador de serviços. A organização apenas cobra o cumprimento do contrato sem se envolver na resolução dos problemas).
Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos por prestadores de serviços são entregues em prazos menores, devido às exigências contatuais e à sua maior experiência prática na área). 
Riscos Envolvidos
A contratação de serviços externos sempre envolve alguns riscos. É importante que a equipe de auditoria revise o contrato e certifique-se de que a gerência detém controle adequado sobre o serviço propriamente dito e sobre informação institucional manipulada por pessoas externas à organização. Independentemente de o processamento ser efetuado nas instalações da organização ou da firma prestadora de serviços, o auditor deve ter acesso a todas as informações de controle. Em alguns casos, para que o auditor possa atuar na firma prestadora de serviços, é necessária a inclusão de cláusula específica no contrato de prestação de serviços.
Entre outros aspectos, a organização deve se assegurar de que os controles de segurança praticados pelo prestador de serviços são compatíveis com os padrões e os procedimentos adotados internamente. Para reduzir esse risco, são recomendadas cláusulas contratuais que responsabilizem o contratado a garantir a segurança dos dados de seu cliente.
Outro risco que vale a pena ser lembrado é a possibilidade de a organização, com o passar dos anos, tornar-se dependente do prestador de serviços, a tal ponto de comprometer seus negócios caso o prestador de serviços interrompa suas atividades ou faça exigências descabidas pra dar continuidade a seu trabalho. Além disso, a experiência adquirida pelo prestador de serviços nos sistemas da organização dificulta a troca de prestador de serviços ao término do contrato. Podem se passar meses até que um novo contratado assuma as mesmas atividades com qualidade equivalente. Para reduzir esse risco, devem ser incluídas cláusulas contratuais que definam o repasse de informações e documentação do prestador de serviços para o cliente ou para um novo contratado. 
É essencial que a organização ainda tome o cuidado de incluir cláusulas contratuais que permitam alterações nos sistemas ou outros serviços, de acordo com as novas diretrizes traçadas pela organização. Essas cláusulas são especialmente importantes no caso de entidades do setor público, onde as mudanças das chefias de Governo implicam em mudanças de metas e estratégias das instituições governamentais. 
Com a contratação de serviços técnicos externos corre-se o risco de perder ou diminuir a experiência e a habilidade técnicas de seus próprios profissionais. Isso acaba reduzindo também a capacidade de o cliente lidar com problemas técnicos futuros ou negociar os aspectos especializados com o prestador de serviços, por desconhecimento dos termos técnicos e de novas tecnologias. 
Além disso, a contratação de técnicos fora do quadro do departamento de Informática pode originar ressentimentos na equipe interna, por ter sido considerada incapaz para executar as mesmas atividades. Pode surgir um clima de descontentamento, queda de produtividade ou boicote dos profissionais do quadro com relação aos prestadores de serviços, dando origem a um ambiente propício para atos não autorizados, fraudes, erros, omissões e sabotagem.
Por experiência prática, pode-se dizer que uma vez terceirizados os serviços de Informática, dificilmente a organização retornará essa atividade. A probabilidade de continuarem sendo terceirizados é muito maior. Portanto, é uma decisão relativamente definitiva a ser tomada com todo o cuidado, face à quantidade de riscos envolvidos.
Contratos
Toda prestação de serviços deve ser formalizada por um contrato. É imprescindível que esse contrato seja revisado pelo departamento jurídico da organização e apresentado ao auditor, quando solicitado. A organização, na definição do contrato, deve atentar para os seguintes detalhes:
Custos básicos e taxas adicionais – o contrato deve apresentar claramente todos os custos envolvidos.
Direitos de ambas as partes ao término do contrato – especialmente importante quando a organização não detém conhecimento suficiente para executar os mesmos serviços sem contar com o prestador de serviços.
Possíveis indenizações, no caso de perdas provocadas por uma das partes – quebra de segurança de acesso a informações confidenciais, violação de direitos de copyright ou de propriedade intelectual, etc.
Direito de propriedade sobre os dados – é essencial que fique bem claro no contrato que os dados pertencem à organização e não ao prestador de serviços.
Direitos de propriedade intelectual – devem ser estabelecidos quem terá direitos sobre o software desenvolvido ou mantido pelo prestador de serviços.
Repasse de informações técnicas e documentação – cláusula particularmente importante quando há troca de prestador de serviços ou extinção do contrato. 
Possibilidade de alterações – quanto mais longo o contrato, maior a probabilidade de os sistemas precisarem de alterações. É necessário que o contrato estabeleça quando, como e que tipo de alterações serão aceitas.
Padrões de segurança – devem ser especificados que o prestador de serviços é obrigado a se adequar aos padrões de segurança definidos pela organização.
Padrões de qualidade – o contrato deve descrever os padrões de qualidade esperados pela organização (tempo de resposta, disponibilidade dos serviços, documentação padronizada, tempo de processamento, prazo de entrega de sistemas desenvolvidos, suporte técnico, etc.).
Riscos Inerentes ao Controle Organizacional Inadequado
A alta gerência tem a responsabilidade de salvaguardar os recursos que compõem o patrimônio da organização. Para tanto, é necessário estabelecer políticas que assegurem os controles organizacionais adequado, compatíveis com os riscos envolvidos.
Os riscos mais comuns são a violação da segurança de aceso a recursos computacionais e dados, implicando em fraudes, erros, perda de dados e roubo de equipamentos; e o planejamento inadequado do crescimento computacional, podendo acarretar desperdício de investimento ao subutilizar os recursos de Informática ou, por outro lado, sobrecarregar o sistema atual degradandoou tornando indisponíveis os serviços computacionais oferecidos aos usuários. Uma equipe insatisfeita ou ressentida com a gerência, capaz de sabotar o sistema computacional, ou uma equipe ineficiente que não cumpre com suas responsabilidades (falha causada por políticas de seleção de pessoal e treinamento inadequado), podem aumentar o risco de ocorrência de erros e fraudes. A perda de dados e informações sobre os dados e aplicativos manipulados por prestadores de serviços são outros riscos freqüentes. 
Lista de Verificações - Controles organizacionais:
Estabelecer e divulgar um plano estratégico de Informática compatível com as estratégias de negócios da instituição, o qual deve ser periodicamente traduzido em planos operacionais que estabeleçam metas claras de curto prazo.
Estabelecer, documentar e divulgar, a todos os funcionários, as políticas de Informática e os padrões a serem adotados na instituição.
Atender às obrigações legais e contratuais, em relação a aspectos administrativos e de segurança.
Definir as responsabilidades de cada unidade organizacional e seus cargos hierárquicos para que os serviços de Informática possam ser prestados adequadamente. 
Instituir política de contratação e treinamento de pessoal.
Monitorar e avaliar o desempenho dos funcionários.
Evitar a centralização excessiva de poderes e atividades.
Instituir segregação de funções.
Estabelecer procedimentos de controle de trabalho de funcionários.
Na contratação de serviços terceirizados, estabelecer critérios rígidos para seleção, treinamento, controle de acesso a informações corporativas, controle de atividades e aceitação de produtos.
Estabelecer claramente em contrato os direitos e os deveres do prestador de serviço, os padrões de qualidade e de segurança a serem seguidos.
Definir uma política sobre documentação, estabelecendo padrões de qualidade e classificação quanto a confidencialidade.
Manter documentação atualizada dos sistemas, aplicativos e equipamentos utilizados.
Elaborar manuais de instrução para o desempenho das atividades no departamento de Informática. 
Elaborar plano de aquisição de equipamentos baseado na análise de desempenho dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos imprescindíveis para a continuidade dos negócios da instituição.
Obedecer aos prazos recomendados de manutenção preventiva dos equipamentos e aplicar as correções necessárias nos pacotes de software.
Estabelecer acordos de nível de serviço quanto à disponibilidade dos recursos computacionais e seu desempenho em condições normais e emergenciais. 
Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais como segurança de informações, controles de acesso, planejamento de contingências e continuidade de serviços.
III.2.2 CONTROLES DE MUDANÇAS
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, é quase certo que será necessário, de tempos em tempos, atualizar a plataforma de hardware, a versão do sistema operacional ou incorporar melhorias no código das aplicações desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanças ou detectar fraudes durante a fase de transição, é importante controlar o processo de mudanças. Todas as alterações devem ser autorizadas, documentadas, testadas e implementadas de forma controlada. Para tanto, as organizações devem definir um procedimento padrão de mudanças, o qual norteará todo o processo. É imprescindível garantir que a mudança não comprometa a funcionalidade do sistema além dos limites previamente definidos. 
O que Pode Provocar uma Mudança?
Raramente um ambiente computacional se mantém inalterado por um longo período de tempo. As mudanças tecnológicas, muitas vezes, são as responsáveis por mudanças mais radicais, como troca de equipamentos, metodologia de trabalho ou sistema operacional. A seguir serão apresentados alguns fatores que levam a uma mudança no ambiente de Informática. 
Atualização tecnológica do parque computacional.
Maior demanda por capacidade de processamento ou de armazenamento (troca ou atualização de hardware – computador, discos, memória) identificada pela gerência de planejamento de capacidade e desempenho.
Manutenções periódicas (troca de componentes de hardware, troca de versão de software, aplicação de correções).
Identificação de problemas com o sistema a partir dos constantes registros feitos pelo help-desk.
Insatisfação dos usuários com aspectos do sistema, tais como: telas de interface pouco amigáveis, navegação confusa entre as diversas telas, baixo tempo de resposta, constante indisponibilidade, dados incorretos nos relatórios gerados, etc.
Identificação de vulnerabilidades do sistema em termos de segurança.
Operação ineficiente ou complicada – uma mudança poderá facilitar o trabalho dos operadores, administradores de bancos de dados, gerente de rede, atendentes do help-desk, etc.
Mudança dos objetivos do sistema, incluindo alterações na legislação ou norma a que o sistema atende.
Procedimentos de Controle de Mudanças
Os procedimentos de controle de mudanças podem variar de uma organização a outra e dependem do tipo de mudança envolvida. Abaixo será apresentado um exemplo de possíveis procedimentos relacionados com mudanças em aplicativos. 
Uma solicitação de mudança é feita por um ou mais usuários.
É feito um registro da solicitação, análise de sua factibilidade e dos possíveis impactos que a mudança pode acarretar no sistema e em outros sistemas relacionados.
Uma especificação da alteração de programa é feita e submetida à aprovação gerencial.
Em um ambiente de teste, o programador efetua alterações ou desenvolve um novo sistema.
São definidos procedimentos de retorno.
As modificações são testadas em um ambiente controlado de desenvolvimento.
Durante o teste, é verificado se as modificações seguem os padrões de programação e documentação da organização.
É feita uma simulação no ambiente de produção, fora do horário normal de funcionamento.
São feitos acertos em função dos resultados dos testes.
Depois de todos esses passos e de sua documentação, o programa está pronto para ser colocado em produção. 
Os controles sobre a modificação de programas aplicativos ajudam a garantir que somente modificações autorizadas sejam implementadas.
Sem um controle apropriado, existe o risco de que características de segurança sejam omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos ou ameaças programadas sejam introduzidos. Por exemplo, um programador pode modificar o código de um programa para burlar os controles e obter acesso a dados confidenciais; a versão errada de um programa pode ser implantada, ocasionando processamentos errados ou desatualizados; ou ainda um vírus pode ser introduzido, prejudicando o processamento. 
Mudanças de Emergência
De tempos em tempos ocorrem problemas com os sistemas em produção, ou com os equipamentos de Informática, que precisam ser sondados o mais rápido possível. Nesses casos, é necessário executar mudanças de emergência. Essas mudanças não podem aguardar o procedimento normal de controle de mudanças e devem ser implementadas o quanto antes. 
Mesmo sendo uma emergência, é recomendável que a organização se planeje para esse tipo de situação e seja capaz de controlá-la. Provavelmente muitos passos do procedimento normal não serão seguidos de imediato, como documentação, por exemplo. Porém, assim que a situação emergencial estiver resolvida, deve ser retomado o processo normal de controle, complementando o que já foi feito durante a emergência. 
Controle de Versão
Os procedimentos de controle de versão são importantes porque garantem que todos os usuários utilizam a versão correta do pacote de software ou aplicativo. A utilização indiscriminada de versões diferentes de software pode acarretar problemas sérios, já que as transações são processadas de formadiferente, a partir de dados diferentes e gerando resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e confiabilidade. 
A versão atual de software ou aplicativo pode ser colocada em uma biblioteca de programas, distribuída ou acessada por todos da organização. Essa biblioteca deterá informações sobre as alterações feitas e um histórico de versões.
Riscos Associados a Controles de Mudanças Inadequados
Os principais riscos associados a controles de mudanças inadequados são:
Uso de software ou hardware não autorizado, gerando incompatibilidade nos sistemas e dados. 
Processamento e relatórios incorretos, levando, por exemplo, a decisões gerenciais de negócios totalmente equivocadas, pagamentos errôneos ou registro incorreto de transações.
Insatisfação do usuário, acarretando perda de produtividade, entrada de dados incorretos, etc.
Dificuldades de manutenção por falta de documentação adequada. 
Mudanças acidentais ou deliberadas, sem devida autorização, causando, por exemplo, erros de processamento e liberação de informações confidenciais a usuários não autorizados. 
Mudanças de emergência não controladas, acarretando perda de dados e corrupção de arquivos. 
	Lista de Verificações - Controle de mudanças:
Documentar todas as modificações e implementá-las apenas se aprovadas pela gerência.
Avaliar o impacto das mudanças antes de implementá-las e o efeito da sua não implementação.
Definir os recursos necessários para implementar a alteração e os recursos futuros necessários para sua manutenção.
Testar exaustivamente os programas antes de colocá-los em produção.
Preparar um plano de restauração da situação anterior, caso algo dê errado na implantação da mudança.
Estabelecer procedimentos para alterações de emergência.
Após os testes e a aprovação, impedir qualquer nova alteração. Se esta for necessária, deve ser submetida a novos testes e aprovação.
Planejar a mudança de forma a minimizar o impacto no processamento normal dos sistemas e serviços prestados aos usuários. 
Comunicar com antecedência aos usuários sobre a programação de mudanças que possam alterar o processamento normal dos sistemas por eles utilizados.
Manter e analisar periodicamente log das atividades de mudanças.
Manter controle das versões dos softwares utilizados.
Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais como controles organizacionais, segurança de informações, controles de acesso, planejamento de contingências e continuidade de serviços, etc.
III.2.3 OPERAÇÃO DE SISTEMAS
A operação dos sistemas está relacionada com aspectos de infra-estrutura de hardware e software. Seu objetivo é liberar os usuários de atividades repetitivas e das responsabilidades de garantir a disponibilidade dos sistemas e seu funcionamento adequado. 
A equipe de operação requer certos procedimentos ou instruções específicas para processar cada aplicativo, além de procedimentos gerais relacionados com o ambiente operacional em que esses aplicativos são executados. É aconselhável que o auditor reveja tanto os procedimentos gerais quanto o específico de cada aplicação. 
Mudanças na Operação de Sistemas em Função das Novas Tecnologias
A maioria das organizações está sofrendo transformações tecnológicas que acarretam mudanças significativas na operação dos sistemas, inclusive redução de pessoal. Além disso, muitas delas, com vários centros de processamento, estão optando pelo processamento e controle remoto das operações a partir de uma única localidade, já que a tecnologia de rede de comunicação já possibilita essa facilidade. 
Os softwares de automação já substituem algumas atividades dos operadores, como a colocação de cartuchos de fita nas unidades ou ativação de rotinas a partir de certas condições de processamento ou de tempo. Esses softwares eliminaram, em grande parte, os riscos de erros e fraudes na operação. No entanto, os operadores ainda são necessários para checar à correta ativação dessas rotinas automáticas. 
A impressão de relatórios, antes feita somente na sala do computador, hoje, com o processamento distribuído, é efetuada nos departamentos dos usuários. Não há a necessidade de distribuição de relatórios aos usuários solicitantes. Mesmo em organizações que optaram pela impressão centralizada, a intervenção dos operadores é menor, graças a inovações tecnológicas no hardware e no software de controle de impressão. 
Na antiga organização de processamento de dados, a área de operações era a principal preocupação da auditoria. O operador tinha controle quase que total do processamento de dados e aplicações, podendo burlar controles de acesso, adulterar seqüências de processamento de programas ou inserir dados incorretos. Apesar de algumas dessas atividades não autorizadas ainda serem possíveis, os controles sobre a atuação dos operadores é maior, já que várias de suas atividades hoje são automatizadas e, conseqüentemente, mais fáceis de serem controladas pela gerência. 
Em função dessas mudanças, alguns procedimentos de auditoria tradicionais parecem arcaicos nos dias de hoje. É importante que o auditor adapte seu objetivo de auditoria e procedimentos de acordo com o ambiente computacional a ser auditado. 
Funções Tradicionais de Operação de Sistemas Operação na Sala do Computador
Os operadores são responsáveis pela operação dos equipamentos, computadores e periféricos, monitorando seu funcionamento e respondendo a mensagens por eles geradas. Em centros de processamento de pequeno porte, são responsáveis ainda pela operação da rede de telecomunicações. Os operadores, por princípio, não podem introduzir dados no sistema ou alterar programas e arquivos. Sua função limita-se ao processamento dos sistemas em produção, devidamente desenvolvidos pelos programadores e aprovados pela gerência.
É recomendável que todas as atividades dos operadores sejam registradas em logs para que posteriormente possam ser auditadas. Com esses logs são muito extensos e pouco amigáveis já existem pacotes de software que analisam os logs e geram relatórios mais sintéticos para auxiliar na identificação de atividades de processamento inadequadas ou não autorizadas, tais como: alteração de parâmetros de segurança durante a carga inicial do programa (IPL – initial program load ou boot dos sistemas); violações de segurança registradas pelo software de controle de acesso; uso não autorizado de programas utilitários; abends (abnormal ends) de programa; instalação não autorizada de novos softwares ou processamento fora do horário normal de expediente. 
Escalonamento do Serviço
Os serviços em produção são introduzidos no computador pelo escalonamento de serviços. Esses serviços podem ser um processo ou seqüência de processos batch e arquivos preparados para serem rodados durante a noite ou em segundo plano (background). Em ambientes de grande porte, a linguagem JCL (job control language) contém os parâmetros necessários para o processamento de jobs (serviços), os quais são introduzidos pelos operadores. Hoje em dia já existem pacotes de software mais sofisticados que, a partir de parâmetros preestabelecidos, despacham automaticamente os serviços, sem a intervenção do operador. O escalonamento de serviços, automático ou não, é o método padrão de entrada de serviços na fila de processamento do computador. Esse método deve ser previamente aprovado pela gerência. 
É importante que o auditor confirme se existe um método de escalonamento previamente estabelecido e aprovado, se esse método é controlado por senha para prevenir acesso ou alterações não autorizadas e se há um método emergencial para submissão de jobs, devidamente autorizado e aprovado pela gerência.
Gerência de Desempenho e Planejamento de Capacidade
É comum, em departamento de Informática maiores, haver uma seção de controle sobre os arquivos e jobs processados, responsável pela supervisão do desempenho e tempode resposta, por exemplo. Seu objetivo é monitorar o desempenho atual e realizar tuning (sintonia) do sistema, isto é, realizar pequenas modificações capazes de melhorar o desempenho atual. 
Em geral, essa mesma gerência executa o planejamento de capacidade. Esse planejamento leva em conta o desempenho atual e a demanda reprimida para elaborar estimativas de uso futuro de capacidade de CPU – Central Processing Unit -, armazenamento em disco e carga da rede. Seu objetivo é garantir que os sistemas computacionais continuem a apresentar um nível satisfatório de desempenho e atendam às novas demandas dos usuários. 
Atendimento ao Usuário e Gerência de Problemas
O serviço de atendimento ao usuário é a interface entre usuários e departamento de Informática. Todos os departamentos de Informática normalmente têm uma seção como essa, pois é, o ponto de contato com seus clientes. Todos os problemas e dúvidas dos usuários são encaminhados a esse serviço, o qual é responsável por registrar todos os problemas, resolver os mais simples e encaminhar os mais complicados para o especialista mais capacitado dentro do departamento de Informática. Esse serviço é chamado pelos usuários quando existe um problema com uma impressora, erros nos relatórios, terminais ou microcomputadores fora do ar ou quando alguém esquece a senha. 
Do ponto de vista de controle, a gerência de atendimento ao usuário é uma seção importante, pois é o ponto de partida para a verificação de problemas ocorridos com os sistemas informatizados e com o ambiente de Informática como um todo. Devem existir procedimentos padronizados de registro de problemas, desde a reclamação do usuário até a sua solução. Os registros de problemas geralmente contêm data da ocorrência, nome ou identificação do usuário reclamante, descrição da falha e da resolução, as possíveis causas e o responsável por sua resolução. O registro das soluções visa facilitar a resolução de problemas futuros, similares aos já ocorridos.
É recomendável que o auditor verifique se o serviço de atendimento ao usuário funciona adequadamente e analise os relatórios de problemas em busca de indícios de irregularidades ou erros freqüentes de processamento.
Gerência de Meios Magnéticos ou Fitoteca
Embora a maior parte dos dados esteja armazenada, nos dias de hoje, em discos de alta capacidade diretamente conectados ao computador ou em disquetes e CD-ROMs gerenciados pelos usuários, ainda existem fitas, em rolo ou cartucho, a serem armazenadas em local centralizado e seguro. A fitoteca pode armazenar fitas de uso freqüente ou fitas backup da instalação, sendo aconselhável haver um registro de todas as fitas armazenadas e procedimentos para sua gerência. Os departamentos de Informática de grandes corporações, por manipularem grandes quantidades de fitas, utilizam normalmente um pacote de software gerenciador de meios magnéticos, o qual mantém um registro de todos os meios removíveis, os arquivos neles contidos e o local físico em que estão armazenados. Em algumas organizações são utilizados robôs para manipulação de meios magnéticos, eliminando, assim, qualquer intervenção de operador. 
Independentemente do método utilizado, o auditor deve verificar se os registros são confiáveis e se os arquivos estão fisicamente seguros, sendo acessados apenas por pessoal autorizado. Devem ainda existir procedimentos adequados para transporte dos meios magnéticos, backup e inutilização de seu conteúdo ao serem descartados. 
Gerência de Controle de Acesso
Mesmo com as mudanças tecnológicas, ainda existem operadores com acessos privilegiados para executar tarefas de manutenção de sistemas, por exemplo. O controle de acesso como um todo é um ponto importantíssimo a ser verificado pelo auditor. Muitas vezes merece até uma auditoria especial. É necessário que o auditor identifique, no caso dos operadores, quem tem acesso privilegiado e considere se esse acesso é justificado e limitado apenas àqueles que realmente necessitam dele. As atividades executadas pelos operadores devem ser registradas em logs para que posteriormente possam ser auditadas. 
Gerência de Backup e Recuperação
Em geral existe, no departamento de Informática, uma gerência de backup periódico de dados, arquivos e sistemas. Em conjunto com a gerência de fitoteca, é responsável pelos procedimentos de backup e restauração dos sistemas após uma eventualidade. 
Manutenção de Hardware
A maioria dos equipamentos de Informática e de controle ambiental, como ar condicionado e sistemas de combate a incêndios, necessita de manutenção preventiva periódica para reduzir o risco de falhas inesperadas em seu funcionamento. Normalmente esse serviço é provido pelo próprio fornecedor do equipamento ou por firmas especializado contratadas para esse fim. No caso de microcomputadores e estações de trabalho, não é comum realizar-se manutenção preventiva. 
O auditor, se achar conveniente, pode examinar os contratos de manutenção, seus cronogramas e os relatórios de problemas registrados pelo help-desk com relação a falhas de hardware. Dessa forma, pode estimar se o serviço de manutenção está sendo adequado.
Manutenção Remota de Software
Algumas organizações permitem que sua equipe técnica acesse os softwares de suas inúmeras instalações via linha discada para efetuar manutenções necessárias, geralmente fora do horário normal de expediente. Essa manutenção, algumas vezes, estende-se até os fornecedores de hardware e software, os quais mantêm uma central de atendimento aos seus clientes e realizam, remotamente, atualizações em seus produtos. 
O acesso remoto, apesar de ter como objetivo a manutenção de hardware e software, não deixa de ser uma porta aberta para acessos indesejados, uma fragilidade da segurança dos sistemas. É essencial que todas as atividades realizadas remotamente sejam registradas e revisadas pela equipe de segurança da organização. Por outro lado, se devidamente controlado, por meio de senhas, perfis de acesso e outros artifícios de segurança, o acesso via linha discada para manutenções pode melhorar significativamente a continuidade dos serviços, já que os problemas de produção podem ser resolvidos mais rapidamente. 
Gerência de Rede
Essa gerência tem a responsabilidade de garantir que a rede de comunicação opere normalmente e de fornecer aos usuários acesso à rede de acordo com o nível de serviço previamente estabelecido. Em geral, há uma equipe de operadores especialmente treinados para realizar as operações de rede, dados a complexidade dessa atividade. 
Acordos de Nível de Serviço
As organizações com uma boa administração dos serviços de Informática geralmente fazem acordos de nível de serviço entre o departamento de Informática e os departamentos de usuários. Usuários e departamento de Informática estabelecem níveis de serviço em termos de quantidade, qualidade e disponibilidade de sistemas. Cabe ao auditor verificar se o acordo de nível de serviço é cumprido e se os usuários estão satisfeitos com os serviços prestados pelo departamento de Informática. 
Os acordos nada mais são do que contratos de prestação de serviços internos que descrevem os serviços a serem prestados, o horário de funcionamento e a disponibilidade do serviço (percentual de disponibilidade, tempo de recuperação após a ocorrência de uma falha e tempo entre falhas), as medidas de desempenho e de segurança, incluindo plano de contingências. Os acordos podem ainda conter detalhes sobre o serviço de atendimento ao usuário. 
Documentação dos Procedimentos de Operação
Para garantir a operação correta e segura de todos os sistemas computacionais, a organização deve possuir procedimentos de operação documentados de forma clara e simples. É importante que essa documentação contenha informações, como procedimentos de inicialização, manipulação dos arquivos de dados, escalonamento de serviços, tratamento de erros, backup e recuperação dos sistemas. Normalmente contém procedimentos de segurança, de limpezae conservação do ambiente onde se encontram os equipamentos e números de telefone dos técnicos de suporte aos sistemas (equipe interna ou dos fornecedores de hardware e software).
Tradicionalmente a documentação não é feita de forma adequada ou não é atualizada como deveria ser. Em geral as pessoas não gostam de documentar, por considerarem essa atividade repetitiva, desgastante e sem importância. O auditor deve recomendar que se faça uma documentação adequada, tanto dos procedimentos de operação quanto de todos os aspectos envolvendo os sistemas da organização. Por meio da documentação pode-se auditar com maior facilidade. Além disso, a documentação pode ser uma ótima fonte de informações para recém-contratados e para a manutenção dos sistemas. 
Política de Contratação e Treinamento de Operadores
A contratação de operadores deve seguir os critérios apresentados anteriormente, no que diz respeito à política de pessoal. A equipe de operações deve ter habilidades, experiência e treinamento suficientes para executar seu trabalho adequadamente.
Riscos Inerentes a Controles de Operação Inadequados
A falta ou ineficiência dos controles de operação pode acarretar problemas, como perda ou corrupção de aplicativos e dados, resultante de uso incorreto ou não autorizado de utilitários de sistema; funcionamentos incorretos de aplicativos, gerando informações errôneas; sobrecarga do sistema ou falta de espaço de armazenamento, impossibilitando a execução de novas transações ou serviços; insatisfação dos usuários com o departamento de Informática por não serem auxiliados adequadamente pelo serviço de atendimento ao usuário; falta de backup e planejamento de contingência, aumentando os riscos de indisponibilidade dos sistemas por um longo período de tempo.
	Lista de Verificações - Controles de operação de sistemas:
Distribuir adequadamente a carga de trabalho entre os operadores, levando em consideração os períodos de pico e a natureza de cada atividade de operação.
Supervisionar as atividades de operação dos sistemas.
Analisar o desempenho dos sistemas, visando o planejamento de capacidade mais adequado às necessidades dos usuários.
Implementar uma gerência de problemas, de forma que os problemas reportados pelos usuários e identificados pela equipe de Informática possam ser registrados, analisados e corrigidos adequadamente.
Instituir uma equipe de help-desk para auxiliar os usuários na utilização dos recursos computacionais e registrar os problemas por eles identificados.
Manter um histórico dos problemas ocorridos e suas respectivas soluções, com objetivo de facilitar a resolução de problemas futuros.
Estabelecer procedimentos de controle de acesso a arquivos e programas em dispositivos de armazenamento de dados (discos, fitas e cartuchos), terminais e estações de trabalho.
Estabelecer uma rotina de backup e recuperação dos sistemas, aplicativos e dados.
Produzir e manter atualizados manuais de operação de sistemas, aplicativos e equipamentos.
Estabelecer mecanismos para minimizar os impactos provocados por falhas de hardware ou software.
Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais como controles organizacionais, segurança de informações, controles de acesso, planejamento de contingências e continuidade de serviços, etc.
III.2.4 MICROINFORMÁTICA
Controles sobre microcomputadores
Geralmente em um ambiente com microcomputadores há um menor controle físico e ambiental sobre os equipamentos. Normalmente o ambiente de microcomputadores não é controlado, já que os equipamentos são instalados em salas comuns, na maioria das vezes com livre acesso a qualquer pessoa. Dependendo do grau de confidencialidade e criticidade dos dados e aplicativos processados nesse ambiente, a falta de controle físico e ambiental pode ser um problema significativo ou não. Com isso, é essencial que a equipe de segurança e auditoria tenha em mente outros tipos de riscos, vulnerabilidades e controles a serem avaliados.
Riscos e Controles Específicos
A maioria dos problemas e riscos associados à computação em microcomputadores surge da falta de controle desse ambiente. Geralmente os usuários agem da forma como acham melhor.
Há certa dificuldade de conscientizar os usuários quanto à importância da segurança das informações e das políticas, padrões e práticas de trabalho a serem adotadas.
Controles Organizacionais
Quando não houver um departamento de Informática formalmente estabelecido, é importante que o auditor determine quem tem acesso aos sistemas em microcomputador e como essas pessoas os utilizam. A documentação é um item importante, devendo incluir os procedimentos operacionais para processamento dos sistemas, backup e recuperação. A documentação deve ser suficiente para permitir que alguém, com poucos conhecimentos a respeito das aplicações especificas, possa processá-las sem problemas e efetuar operações básicas de backup e recuperação.
Conformidade com a Legislação
A organização deve estabelecer políticas para garantir que seus usuários estejam conscientes da legislação, obedeçam às normas e não pratiquem a pirataria de software. 
Pirataria
A pirataria deve ser uma prática condenada na instituição, não só por ser ilegal e antiética, mas também porque pode ser arriscado utilizar um software sem ter certeza de sua fonte.
É recomendável que o auditor verifique se todos os softwares utilizados foram realmente contratados pela organização. A equipe de segurança e auditoria pode utilizar ferramentas de software para auxiliar na tarefa de verificação das licenças de software contidas nos discos rígidos.
Controles de Acesso Físico e Lógico
O acesso físico a computadores de mesa é normalmente menos controlado do que nos ambientes de computadores de grande porte, onde tradicionalmente o acesso é restrito por portas trancadas, fechaduras com segredo, vigilância constante ou circuitos internos de TV. É recomendável que os usuários de micro sejam encorajados a utilizar senhas, criptografia, proteção automática de tela, pacotes de segurança e, se possível, armazenem os dados confidenciais em um servidor de arquivos.
Continuidade de Serviços
A gerência de segurança e auditoria pode recomendar o uso de um servidor de arquivos para armazenamento de dados ao invés do disco rígido local. Normalmente o servidor de arquivos é administrado pelo departamento de Informática e possui procedimentos de backup periódico de seu conteúdo. Recomendar o uso de estabilizadores e fontes de energia ininterrupta. Verificar os logs para monitorar mensagens de erro e falhas do sistema.
Proteção Contra Vírus de Computador
Existem diversos controles que a organização pode usar para reduzir o risco de infecção por vírus. Alguns são de natureza técnica; outros, administrativos.
Uso de Disquetes e Arquivos via Internet
Todos os disquetes externos e arquivos da Internet de vem ser submetidos ao antivírus possa antes de ser carregados. Disquetes contendo arquivos compactados devem ser descompactados para que o antivírus possa cumprir sua finalidade.
Uso de Software Aprovado pela Gerência
 A organização deve estabelecer uma política que controle o conteúdo de seus microcomputadores, permitindo apenas softwares aprovados pela gerência. Com isso, pode-se reduzir o risco de difusão de vírus anexados a aplicativos de fontes desconhecidas. Para garantir o cumprimento da política, a gerência deve realizar auditorias regulares nos computadores dos usuários, utilizando, se for o caso, sistemas de gerência de rede que permitam acesso e supervisão remota dos microcomputadores conectados à rede.
É aconselhável manter uma certa padronização de produtos, com o objetivo de facilitar o treinamento dos usuários e as manutenções de software que se fizerem necessárias.
Procedimentos de Emergência
No caso de todas as medidas preventivas falharem, a organização deve ter um plano deemergência preparado para lidar com situações de ataque de vírus.
	Lista de Verificações Controles sobre microcomputadores:
Manter um inventário dos equipamentos de microInformática.
Instituir controles de entrada e saída de peças e equipamentos, com o objetivo de evitar ou minimizar a perda ou roubo de equipamentos.
Instruir os usuários de laptops para não armazenarem nesses equipamentos senhas que possibilitem acesso a sistemas internos ou informações confidenciais não criptografadas.
Manter, se possível, padronização de produtos de hardware e software.
Utilizar apenas softwares contratados.
Utilizar estabilizadores de energia ou equipamentos similares de proteção aos microcomputadores.
Manter registro das licenças de software, identificando em que máquinas estão sendo processadas.
Cadastrar os pacotes de software em demonstração em registros separados no inventário, para que possam ser tomadas as providencias necessárias para sua contratação ou sua eliminação da máquina ao término do período de demonstração.
Cadastrar os pacotes de software adquiridos sem ônus (freeware) em registros separados no inventário.
Permitir a carga de novos softwares apenas ao administrador dos sistemas ou pessoas por ele autorizadas.
Verificar periodicamente o conteúdo dos discos rígidos dos microcomputadores e eliminar os softwares que não corresponderem aos registros do inventário.
Estabelecer uma política contra pirataria de software, prevendo inclusive punições aos infratores.
Utilizar sempre senhas ou outros mecanismos de identificação e autenticação dos usuários.
Manter atualizados os antivírus em todos os micros da instituição.
Carregar no computador apenas software e dados a partir de fontes confiáveis, submetendo todos os arquivos externos ao antivírus, antes de serem carregados.
Promover programa de treinamento e conscientização dos usuários quanto à segurança de informações.
Utilizar proteção automática de tela com senha.
Utilizar criptografia. 
Realizar backup regularmente.
Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais como controles organizacionais, segurança de informações, controles de acesso, planejamento de contingências e continuidade de serviços, etc.
III.2.5 Ambiente Cliente/Servidor
Controles Sobre Ambiente Cliente-Servidor
O controle e segurança em ambiente cliente-servidor é um desafio à equipe de auditoria e segurança, já que sua arquitetura se baseia em tecnologias de microinformática e de redes, as quais não foram originalmente projetas para serem seguras. Quase todos os dispositivos de segurança nesse ambiente foram projetados posteriormente, em função da necessidade.
É um ambiente bastante heterogêneo, tanto em relação a hardware e software, quanto ao perfil de usuários. A forma como o sistema operacional e os aplicativos cliente-servidor são distribuídos logicamente constitui-se um desafio a mais à equipe de segurança. Em uma auditoria, a equipe pode considerar os componentes separadamente ou como sistemas integrados. Dependendo do tipo de auditoria e da forma como os componentes foram distribuídos, a auditoria pode se concentrar no computador central ou em múltiplos servidores, clientes e rede de comunicações.
Quando comparado ao ambiente de microcomputadores stand-alone (desconectados), entretanto, o ambiente cliente-servidor apresentar certas vantagens de segurança, já que permite que a organização mantenha um controle central de seus dados, no que diz respeito a direitos de acesso, manutenção e backup, e tome medidas preventivas e corretivas de segurança mais eficazes.
Configuração do Sistema Operacional
A configuração inicial dos sistemas operacional, distribuída pelos fornecedores, normalmente não tem como objetivo a segurança. Muito pelo contrário, a configuração default do sistema é feita na sua forma mais permissiva, facilitando sua instalação e uso, e habilitando seus componentes e serviços mais populares. As brechas de segurança nas configurações default dos sistemas operacionais são tantas que tornam sua customização uma tarefa mais trabalhosa do que deveria ser.
Contas de Usuário
Todo usuário, para acessar algum recurso do ambiente cliente-servidor, precisa ter uma conta. A conta tem as informações necessárias para que cada usuário seja reconhecido na rede, tais como nome e senha. Em alguns sistemas operacionais, a conta também tem outras informações importantes, tais como direitos e permissões de acesso e grupos aos quais o usuário está associado. É bom esclarecer a diferença entre direito e permissão. Um direito é uma autorização para o usuário executar certas operações no sistema como um todo. A permissão, por sua vez, é uma regra, associada a um determinado objeto, que define quais usuários podem acessar aquele objeto e de que maneira. Os direitos, por serem válidos para todo o sistema, têm prioridade sobre as permissões. Por exemplo, o usuário Paulo tem o direito de fazer backup de arquivos e diretórios. Mesmo que o proprietário de um determinado arquivo não tenha dado a permissão de backup ao Paulo, ele poderá fazê-lo, já que o seu direito prevalece sobre a permissão específica associada àquele arquivo.
Existem alguns tipos de contas de usuário especialmente importantes no que se refere a segurança:
As contas sem senha ou guest normalmente são usadas em casos excepcionais de usuários ocasionais ou, como o próprio nome diz, convidados. As contas com senha padronizada ou default, por sua vez, geralmente são associadas a produtos de software em demonstração ou teste. Esses dois tipos de contas são enormes brechas de segurança, já que um invasor, sem muito esforço, pode utilizá-las para acesso inicial ao sistema e, uma vez conectado, pode tentar acessar, mais facilmente, contas privilegiadas. Seu uso, portanto não é recomendado. 
A conta de administrador, também chamada de root ou superusuário em ambientes Unix, é uma conta em se tratando de segurança, pois tem controle completo da operação e segurança do SO e sobre qualquer arquivo ou diretório. É recomendável que essa conta seja utilizada apenas pelo responsável pela configuração e segurança da rede, quando as atividades a ser executado assim o exigirem. Em outras palavras, sempre utilize uma conta cujos privilégios são os menores possíveis, isto é, suficientes apenas para executar a tarefa desejada.
Utilizar contas privilegiadas para realizar tarefas corriqueiras torna os sistemas mais suscetíveis à atuação de cavalos de tróia, por exemplo. Se, acidentalmente, um usuário processar um cavalo de tróia, é melhor que ele tenha pouquíssimos privilégios para que os danos provados por esse programa sejam limitados aos dados e arquivos particulares do usuário, sem atingir arquivos confidenciais da instituição ou de configuração do SO.
Grupos
Um grupo é um conjunto de permissões e direitos de acesso que pode ser associado a vários usuários, sendo um54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54�� PAGE \*Arabic 54 artifício utilizado pelo administrador do sistema para facilitar a gerência de acesso aos recursos da rede. As contas de usuário que normalmente executam tarefas semelhantes são reunidas em um grupo e seus direitos de acesso são definidos para o grupo, evitando definições repetidas para cada usuário individualmente. Os grupos podem ser usados tanto para ceder como para limitar o acesso a recursos críticos. Por exemplo, apenas os usuários do grupo Presidência poderão ter acesso à base de dados confidenciais da empresa. Com grupos, o administrador trata um grande número de usuários como se fosse uma única conta. Se for necessário alterar qualquer direito de acesso, isso pode ser feito no grupo, afetando, assim, os direitos de todos os usuários a ele associados. Dependendo de suas funções na empresa, um usuário pode ser definido em mais de um grupo.
Permissões de Arquivo e de Diretório
As permissões de arquivo e de diretório determinam se um usuário ou grupo pode acessar um arquivo ou diretório e como se dará esse aceso. Normalmente o usuário proprietário é aquele que cria o arquivo ou diretório e cabe a ele definir e alterar as permissões de acesso.
O ambiente Windows NT
O ambiente Windows NT apresenta, como uma de suas características de projeto, uma arquitetura de segurança, baseada no conceito de domínios, grupos de usuários, permissões e direitos de acesso, a qual facilita a implementação de uma estrutura computacional mais controlada. Seus componentes básicos são LSA (Local Security Authority), SAM (Security Account Manager) e SRM (Security Reference Monitor).
Subsistema de Segurança – Local Security Authority (LSA)
O subsistema de Segurança (LSA) é o principal componente de arquitetura de segurança do NT e, por isso, muitas vezes é considerado como o próprio subsistema de segurança. Dentre suas funções, destacam-se:
Criação de tokens de acesso durante o processo de logon do usuário;
Validação do usuário de acordo como seu tipo de permissão de acesso;
Controle e gerência da política de segurança e auditoria no ambiente NT;
Manutenção de log de mensagens de auditoria geradas pelo monitor de segurança (SRM).
O LSA para realizar seu objetivo de segurança, utiliza os serviços providos pelos outros componentes do subsistema.
Gerenciador de Informações de Segurança – Security Account Manager (SAM)
Esse componente mantém uma base de dados de segurança com informações de todas as contas de grupo e usuários. Apesar de ser transparente ao usuário, o SAM presta, ao LSA, os serviços de validação de usuários, comprando as informações digitadas no processo de logon com as informações anteriormente armazenadas na base de dados. Dependendo da arquitetura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma base SAM para cada estação de trabalho ou domínio. A validação, nesse caso, pode ocorrer de forma centralizada (na base SAM da máquina controladora do domínio) ou descentralizada (na base SAM da estação de trabalho).
Monitor de Segurança – Security Reference Monitor (SRM)
O monitor de segurança tem como função garantir o cumprimento das políticas de validação de acesso e de geração de logs de auditoria estabelecidas pelo subsistema LSA, protegendo recursos e objetos contra acesso ou alterações não autorizadas. Para tanto, o monitor valida o acesso a arquivos e diretórios, testa os privilégios de aceso dos usuários e gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a objetos. Para poder acessar qualquer objeto, o usuário é submetido, de forma transparente, à validação do SRM. O SRM compara as informações do descritor de segurança do objeto pretendido com as informações de segurança da token de acesso do usuário e toma a decisão se o acesso deve ser permitido ou não.
Processo de Logon
A intenção do NT com o usuário inicia-se com uma medida de segurança preventiva. Antes de fornecer seus dados, o usuário é orientado a pressionar simultaneamente as teclas CTRL+ALT+DEL, a fim de detectar aplicativos rodando em segundo plano (background). O processamento em background é um artifício bastante utilizado por cavalos de Tróia, na tentativa de capturar as informações de logon do usuário. Em seguida, é apresentada a tela de autorização, na qual o usuário preenche sua identificação, senha e domínio ou servidor que pretende acessar. Essa fase do logon só será realizada com sucesso se a identificação e a senha do usuário estiverem corretas. Se apenas uma delas estiver certa, o NT envia mensagem de falha de autorização do usuário, sem indicar o campo incorreto. Esse procedimento também é uma medida preventiva, no caso de pessoas não autorizadas estar tentado adivinhar os dados de um usuário.
A fase seguinte é a da autenticação do usuário. As informações digitadas pelo usuário são repassadas pelo subsistema de segurança (LSA) ao gerenciador de informações de segurança (SAM), o qual as compara com as informações da base de contas de usuários do domínio pretendido. Se a identificação e a senha do usuário corresponderem aos dados de alguma conta da base de dados, o servidor avisa à estação de trabalho que a autenticação daquele usuário foi satisfatória.
O subsistema de segurança (LSA) constrói, então, uma token de acesso para aquele usuário, contendo seu nome, identificação de segurança, grupos de usuários a que pertence e privilégios de acesso. Essa token será associada a todo e qualquer processo executado por aquele usuário. O subsistema Win32 cria um processo para o usuário, associando-o à token e, ao final do procedimento de logon, é apresentada a tela do gerenciador de programas.
Controle de Acesso Discricionário
Os controles de acesso discricionário permitem, aos proprietários de recursos, aos usuários com acesso à conta de administrador e aos usuários com autorização para controlar os recursos do sistema, especificar quem pode acessar seus recursos e que tipo de ações podem realizar com eles. Esses controles podem ser associados a usuário específicos, a grupos de usuários, a ninguém ou a todos os usuários conectados à rede. No NT as definições de acesso podem ser feitas pelas seguintes ferramentes:
Gerenciador de usuários em domínios (definições das políticas de segurança e administração de contas de usuários e grupos);
Gerenciador de arquivos (compartilhamento de arquivos e diretórios);
Gerenciador de impressão (compartilhamento de impressora na rede);
Painel de controle (definição de limites de compartilhamento de recursos na rede, ativação e desativação de serviços de rede).
Tokens de Acesso
Com foi descrito anteriormente no processo