Controles de Segregação de Funções em DTI

Prévia do material em texto

I.2.7. CONTROLES (ACESSO LÓGICO E FÍSICO, CONTROLES AMBIENTAIS).
Muitas funções distintas são desempenhadas por diferentes indivíduos, incluindo as seguintes:
•	gerência dos sistemas de informação;
•	projeto de sistemas;
•	programação de aplicativos;
•	programação de sistemas;
•	teste e garantia de qualidade;
•	gerência de biblioteca/gerência de alteração;
•	operação de computador;
•	controle de dados;
•	segurança de dados;
•	administração de dados.
Assim podemos destacar os principais pontos a serem verificados quanto à política de segregação de funções em um DTI.
O termo "Departamento de Tecnologia da Informação" (ou DTI) substituiu o antigo CPD (Centro de Processamento de Dados), representando o departamento responsável por todos os serviços relacionados à área de informática, (redes de computadores, centrais de telecomunicação etc.).
O DTI precisa ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades organizacionais claramente estabelecidas, documentadas e divulgadas, políticas de pessoal adequadas quanto à seleção, segregação de funções, treinamento e avaliação de desempenho.
Essa estrutura deve gerenciar racionalmente os recursos computacionais da organização, de modo a suprir as necessidades de informação de forma eficiente e econômica.
SEGREGAÇÃO DE FUNÇÕES
A segregação de funções tem como objetivo evitar que um indivíduo venha a controlar todos os estágios críticos de um processo (por exemplo, um programador com permissão para independentemente escrever, testar e aprovar alterações de programa).
Freqüentemente, a segregação de funções é alcançada pela divisão de responsabilidades por dois ou mais grupos organizacionais. Com essa divisão, a probabilidade de que erros e ações indevidas sejam detectados aumenta sensivelmente, visto que as atividades de um grupo ou indivíduo irão servir para checar as atividades do outro.
A ausência ou inadequação da segregação de funções de informática aumenta o risco de ocorrência de transações errôneas ou fraudulentas, alterações impróprias de programa e danos em recursos computacionais. 
A extensão da segregação de funções a ser aplicada em uma organização irá depender do seu tamanho e do risco associado às suas instalações e atividades. Uma organização de grande porte terá mais flexibilidade em separar funções-chave que organizações pequenas, que dependem de poucos indivíduos para executar suas operações. Da mesma forma, atividades que envolvem transações financeiras de alto valor, ou que de alguma outra forma são bastante arriscadas, devem ser divididas entre diversos indivíduos e sujeitas a uma supervisão mais rigorosa.
Um exemplo de estrutura organizacional para o DTI, que permite uma adequada segregação de funções, está ilustrado no quadro, a seguir.
 Exemplo de estrutura organizacional para o Departamento de Tecnologia da Informação (organização de tamanho médio)
Por causa da natureza da operação dos computadores, a segregação de funções por si só não garante que somente atividades autorizadas sejam executadas pelos funcionários, especialmente operadores de computador. Para auxiliar na prevenção e detecção de ações não autorizadas ou incorretas, é também necessária uma supervisão gerencial efetiva e procedimentos formais de operação.
Os elementos críticos para a avaliação dos controles organizacionais são:
•	Unidades organizacionais bem definidas, com níveis claros de autoridade, responsabilidades e habilidades técnicas necessárias para exercer os cargos;
•	Atividades dos funcionários controladas através de procedimentos de operação e supervisão documentados e políticas claras de seleção, treinamento e avaliação de desempenho;
•	Política de segregação de funções e controles de acesso para garantir na prática a segregação de funções;
•	Recursos computacionais gerenciados de forma a suprir as necessidades de informação de forma eficiente e econômica.
Para cada unidade organizacional do DTI teremos:
•	seus principais objetivos e padrões de desempenho;
•	os diversos níveis de autoridade, as responsabilidades de cada cargo e as habilidades técnicas necessárias para exercê-los.
Os funcionários do DTI devem:
•	exercem atividades compatíveis com as estabelecidas formalmente pela organização;
•	possuem capacitação técnica compatível com o previsto no respectivo plano de cargos.
ATIVIDADES DOS FUNCIONÁRIOS CONTROLADAS E POLÍTICAS CLARAS DE SELEÇÃO, TREINAMENTO E AVALIAÇÃO DE DESEMPENHO.
Pontos a serem verificados:
•	existem instruções documentadas para o desempenho das atividades dentro do DTI, que são seguidas pelos funcionários;
•	manuais de instrução indicam como operar softwares de sistema e aplicativos.
•	o pessoal tem supervisão adequada, inclusive nas trocas de turno de operação de computadores;
•	todas as atividades dos operadores do sistema computacional são automaticamente armazenadas no registro histórico de operação;
•	supervisores revisam periodicamente o registro histórico de operação, e investigam qualquer anormalidade;
•	a inicialização do sistema é supervisionada e executada por pessoal autorizado e os parâmetros informados durante o carregamento inicial do sistema operacional (initial program load - IPL) estão de acordo com os procedimentos estabelecidos;
•	é feito um planejamento das necessidades de pessoal especializado e existem políticas definidas, métodos e critérios para o preenchimento de vagas que permitem aferir as reais habilidades técnicas dos pretendentes;
•	existe um programa de treinamento de pessoal na área de tecnologia da informação, com recursos suficientes para capacitar o pessoal técnico;
•	existe um programa de avaliação de desempenho eficaz. 
POLÍTICA DE SEGREGAÇÃO DE FUNÇÕES E CONTROLES DE ACESSO
As funções distintas são desempenhadas por diferentes indivíduos, incluindo as seguintes:
•	gerência dos sistemas de informação;
•	projeto de sistemas;
•	programação de aplicativos;
•	programação de sistemas;
•	teste e garantia de qualidade;
•	gerência de biblioteca/gerência de alteração;
•	operação de computador;
•	controle de dados;
•	segurança de dados;
•	administração de dados.
Pontos a serem verificados:
• Nenhum indivíduo deve ter o controle completo sobre funções de processamento incompatíveis (exemplos: entrada de dados e verificação da validade dos dados; entrada de dados e conferência dos dados de saída; cadastro de notas fiscais e recebimento de bens, e assim por diante). Observar as atividades dos técnicos para determinar se estão em conformidade com a segregação de funções pretendida.
• Os técnicos de processamento de dados e os gerentes de segurança não devem estar encarregados de inserirem dados ou executar transações nos sistemas de informação que atendem às áreas-fim da organização.
• Os procedimentos normais de operação do DTI são adequadamente documentados e ações indevidas são identificadas.
• São previstas rotações periódicas de pessoal e substituições no período de férias, tendo em vista que indivíduos desempenhando funções incompatíveis e conduzindo ações fraudulentas podem ser descobertos quando substituídos por motivo de férias ou rotação de pessoal. 
• As descrições das atribuições dos cargos refletem os princípios de segregação de funções, ou seja, devem ser examinadas as descrições para uma amostra de cargos dentro da administração de segurança e no grupo de usuários.
• Todos os funcionários estão cientes de suas funções e responsabilidades, e desempenham essas responsabilidades de acordo com as descrições do cargo. Entrevistar ocupantes dos cargos cujas descrições foram examinadas. Verificar se as suas atividades e responsabilidades conferem com o formalmente estabelecido.
• A alta administração oferece recursos e treinamento adequados para garantir que os princípios de segregação de funções sejam conhecidos, seguidos e institucionalizados dentroda organização.
• As responsabilidades por restringir o acesso de funcionários em atividades críticas de operação e programação foram claramente definidas, divulgadas e aplicadas.
• Existem controles lógicos e físicos de acesso para auxiliar na restrição das atividades dos funcionários às ações autorizadas, de acordo com as responsabilidades dos respectivos cargos.
• O desempenho dos funcionários é supervisionado periodicamente e controlado para garantir que as atividades de cada um sejam compatíveis com as atribuições dos respectivos cargos.
• A alta administração realiza avaliações periódicas do risco, para determinar se as técnicas de controle para segregação de funções estão funcionando como esperado e mantendo o risco em níveis aceitáveis. 
RECURSOS COMPUTACIONAIS GERENCIADOS DE FORMA EFICIENTE E ECONÔMICA
As tarefas executadas pelo DTI obedecem a um cronograma adequado, de forma a permitir que os recursos computacionais sejam utilizados com eficiência e que as solicitações dos usuários possam ser atendidas. Entrevistar usuários e proprietários de recursos computacionais para detectar eventuais distorções na alocação de recursos e/ou conflitos causados por falhas no planejamento da distribuição da carga de trabalho.
A capacidade do hardware instalado é suficiente para atender a demanda nos horários de pico e manter a qualidade do serviço para os usuários. Entrevistar usuários e analisar os registros de utilização do hardware (log accounting} para detectar desbalanceamento da configuração do sistema, pela caracterização de dispositivos - unidades de disco, impressoras, terminais etc., que estejam com folga ou sobrecarregados.
Existe um plano definido ou um acordo entre o DTI e os grupos de usuários, quanto à disponibilidade dos recursos computacionais, com prioridades de processamento adequadas às necessidades da organização.
Verificar se foram estabelecidas metas pela alta administração quanto à disponibilidade de processamento de dados e serviços on-line.
A alta administração periodicamente avalia e compara os desempenhos de serviço com as metas previstas e pesquisa junto aos departamentos usuários para saber se as necessidades de disponibilidade dos sistemas estão sendo atendidas.
�
CONTROLES DE ACESSO
Os controles de acesso têm o propósito de oferecer uma garantia razoável de que os recursos computacionais (arquivos de dados, programas aplicativos, instalações e equipamentos relacionados aos computadores) são protegidos contra modificação ou divulgação não autorizada, perda ou dano. Eles incluem controles físicos, tais como manutenção dos computadores em salas trancadas para limitar o acesso físico, e controles lógicos (softwares de segurança projetados para prevenir ou detectar acesso não autorizado a arquivos críticos).
Os controles de acesso inadequados diminuem a confiabilidade dos dados processados pelo sistema e aumentam o risco de destruição ou divulgação indevida de dados.
Os seguintes exemplos ilustram as possíveis conseqüências de tais vulnerabilidades:
•	 Obtendo acesso irrestrito a arquivos de dados, um indivíduo pode fazer mudanças não autorizadas para ganho pessoal ou para obter informações controladas. Por exemplo, uma pessoa poderia: alterar o número da conta de um pagamento, desviando um desembolso para ela mesma; alterar quantidades de inventário, para esconder um furto; alterar uma quantia a receber; obter informações confidenciais a respeito de transações ou indivíduos.
• 	O acesso a programas aplicativos utilizados para processar dados permite a modificação não autorizada desses programas, ou introdução de códigos de programação mal-intencionados, que poderiam ser utilizados para obter acesso a arquivos de dados, resultando em situações similares às indicadas no item anterior. Por exemplo, um funcionário poderia alterar o programa de cálculo dos salários e gerar um pagamento indevido para ele mesmo.
•	 Sem a presença de controles nos terminais ou equipamentos de telecomunicação que permitem entrada nos sistemas computacionais da entidade, um indivíduo pode obter acesso a informações confidenciais ou de uso controlado que estejam em meios magnéticos ou impressos; substituir dados ou programas; furtar ou danificar intencionalmente equipamentos e programas de computador.
Os objetivos de limitação do acesso visam a garantir que:
•	 os usuários tenham acesso somente aos recursos necessários para executarem suas tarefas;
•	 o acesso a recursos de alto risco, tais como	softwares e segurança, seja limitado a poucos indivíduos;
•	 os funcionários estejam impedidos de executar funções incompatíveis ou além da sua responsabilidade.
Se esses objetivos são atingidos, o risco de modificação ou divulgação indevida de dados pode ser reduzido, sem interferência nas necessidades práticas dos usuários. O equilíbrio apropriado entre necessidades do usuário e requerimentos de segurança exige uma análise cuidadosa da vulnerabilidade e importância de cada recurso de informação disponível, em confronto com as tarefas executadas pelos usuários.
A implementação de controles de acesso apropriados exige primeiro a determinação do nível e tipo de proteção adequados a cada recurso e a identificação das pessoas que precisam ter acesso a esses recursos. Essas definições devem ser efetuadas pelos proprietários dos recursos. Por exemplo, os chefes de departamentos precisam determinar a importância dos seus programas e dados e que nível de acesso é apropriado para o pessoal que usa o sistema informatizado para executar, avaliar e relatar as operações do departamento. Da mesma forma, gerentes encarregados do desenvolvimento e modificação de sistemas devem determinar a vulnerabilidade dos recursos de hardware e software sob o seu controle e o nível de acesso necessário para os analistas de sistema e programadores, e assim por diante. 
Os elementos críticos que determinam à adequação dos controles de acesso são:
•	Classificação dos recursos de informação de acordo com sua importância e vulnerabilidade;
•	Manutenção de lista atualizada de usuários autorizados e seu nível de acesso;
•	Implantação de controles lógicos e físicos para prevenir ou detectar acesso não autorizado;
•	Supervisão do acesso, investigação de indícios de violação da segurança e adoção das medidas corretivas apropriadas.
CLASSIFICAÇÃO DOS RECURSOS DE INFORMAÇÃO DE ACORDO COM SUA IMPORTÂNCIA E VULNERABILIDADE
Existem políticas e procedimentos documentados para a classificação dos recursos de informação pelos critérios de importância e vulnerabilidade dos dados, assim os proprietários dos recursos devem efetuar a classificação dos principais recursos sob sua responsabilidade.
MANUTENÇÃO DE LISTA ATUALIZADA DE USUÁRIOS AUTORIZADOS E NÍVEIS DE ACESSO
As autorizações de acesso são:
• 	documentadas em formulários padronizados e mantidas em arquivo organizado;
• 	aprovadas pelo proprietário do recurso computacional;
•	 transmitidas para os gerentes de segurança de uma forma protegida.
Os proprietários dos recursos computacionais periodicamente revisam as autorizações de acesso para verificar se continuam necessárias e adequadas.
O número de usuários autorizados ao acesso remoto dos sistemas é limitado e justificativas para esse acesso são documentadas e aprovadas pelos proprietários dos recursos. 
Os gerentes de segurança revisam as autorizações de acesso e discutem quaisquer autorizações questionáveis com os proprietários dos recursos.
Todas as mudanças no perfil de segurança são automaticamente registradas e revisadas periodicamente pela alta administração.
As atividades não usuais são investigadas.
A segurança é notificada imediatamente quando usuários do sistema são demitidos ou transferidos.
As autorizações de acesso temporárias são:
• 	documentadas em formulários padrão e mantidas em arquivo;
• 	aprovadas pela gerência encarregada;
•	 comunicadas de uma forma protegida para o serviçode segurança;
•	 automaticamente desativadas após um período determinado.
Existem formulários padrão para documentar a aprovação para compartilhamento de arquivos de dados com outras entidades. 
Examinar formulários e entrevistar os responsáveis pela manutenção dos dados.
Antes do compartilhamento de dados ou programas com outras entidades, são formalizados acordos que definem como esses arquivos e programas serão protegidos.
Examinar os documentos de autorização de compartilhamento e os acordos de segurança.
CONTROLES LÓGICOS E FÍSICOS PARA PREVENÇÃO E DETECÇÃO DE ACESSO NÃO AUTORIZADO
Todas as ameaças significativas para a segurança física dos recursos mais vulneráveis foram identificadas. 
Verificar a disposição física dos recursos.
O acesso físico é limitado aos funcionários que precisam rotineiramente dos recursos computacionais, através de vigias, crachás de identificação, cartões magnéticos para acionar portas de acesso etc. 
Observar os pontos de acesso às instalações durante a hora de funcionamento e fora do expediente; verificar a lista de pessoas com acesso autorizado às instalações quanto à adequação dos nomes incluídos.
A gerência revisa regularmente a lista de pessoas com acesso físico a instalações críticas.
Existem obstáculos físicos para o acesso à sala de computadores, fitoteca e outras instalações críticas.
Todas as entregas e retiradas de fitas magnéticas e outros meios de armazenar dados são autorizadas e registradas.
As chaves, cartões magnéticos de acionamento de portas e outros dispositivos de acesso de reserva (que não estão sendo usados pelos funcionários) são mantidos pela gerência de segurança de forma protegida.
Os visitantes em áreas críticas, tais como sala do computador central e fitoteca, são formalmente registrados e acompanhados. 
Verificar o registro de entradas de visitantes;
Entrevistar os vigias e responsáveis pela segurança; observar o trânsito de pessoas pelas áreas críticas nos períodos dentro e fora do expediente normal.
OS procedimentos adequados de abandono da área de risco em situações de emergência e de retorno do pessoal após a normalização da situação impedem o acesso de pessoal não autorizado às áreas críticas durante o evento (ameaça de incêndio e outros que exijam a desocupação do local).
As senhas são:
•	 únicas para indivíduos específicos, não grupos;
•	 controladas pelos usuários e não sujeitas a divulgação;
•	 alteradas periodicamente (entre 30 e 90 dias);
• não apresentadas na tela durante sua digitação;
•	 compostas de pelo menos seis caracteres alfanuméricos e impedidas de repetição antes de seis trocas pelo menos. 
Existem restrições quanto ao uso de nomes e palavras facilmente desvendáveis (analisar uma lista gerada pelo sistema de senhas em uso).
As senhas fornecidas para o primeiro acesso dos usuários são imediatamente alteradas.
Os códigos de identificação e senhas de uso compartilhado pelos funcionários não são permitidos.
Os sistemas não permitem mais que três tentativas de	 logon (entrada em comandos para iniciar uma sessão) com senhas inválidas.
Uma relação do pessoal em atividade, periodicamente atualizada, é usada para verificar automaticamente a lista de usuários autorizados do sistema para remoção da senha de funcionários demitidos ou transferidos.
As contas de acesso inativas são supervisionadas e removidas quando deixam de ser necessárias. Verificar as especificações do software de segurança, examinar uma lista gerada pelo sistema de usuários inativos e determinar por que o acesso desses usuários não foi cancelado.
Os usuários detentores de outros dispositivos de acesso, tais como códigos e cartões magnéticos, têm consciência da necessidade de sua guarda cuidadosa; de que estes não podem ser emprestados ou compartilhados; e de que sua perda deve ser imediatamente comunicada aos responsáveis. 
Identificação de caminhos de acesso: é feita uma análise dos caminhos lógicos de acesso todas as vezes que ocorrem mudanças no sistema.
CONTROLES LÓGICOS SOBRE ARQUIVOS DE DADOS E PROGRAMAS DE SOFTWARE
Os softwares de segurança são usados para restringir o acesso aos arquivos de dados e programas.
O acesso aos softwares de segurança é restrito aos administradores de segurança.
A sessão de acesso aos sistemas via terminais de computador são terminadas automaticamente após um período de inatividade do operador.
Os responsáveis pela administração da segurança configuram o software de segurança para restringir o acesso não autorizado a arquivos de dados, bibliotecas de dados, procedimentos de operação em lote (batch), bibliotecas de código fonte, arquivos de segurança e arquivos de sistema operacional. 
Testar os controles tentando obter acesso a arquivos restritos.
CONTROLES LÓGICOS SOBRE A BASE DE DADOS
Os controles sobre os gerenciadores de banco de dados (SGBD ou DBMS) e dicionários de dados foram implementados para:
•	restringir o acesso a arquivos de dados nos níveis de leitura de dados, campos, etc.;
•	controlar o acesso ao dicionário de dados usando perfis de segurança e senhas;
•	manter trilhas de auditoria que permitam supervisionar mudanças nos dicionários de dados;
•	prever formas de pesquisa e atualização de funções de aplicativos, funções deSGBD e dicionário de dados.
O uso das facilidades de SGBD é limitado aos funcionários cujas atribuições exigem esse acesso.
O acesso ao 	software, às tabelas de segurança do SGDB, e a perfis de segurança do dicionário de dados é controlado e restrito ao pessoal autorizado. 
CONTROLES LÓGICOS SOBRE ACESSO REMOTO
Um software de comunicação foi implementado para:
•	identificar o terminal em uso, de forma a restringir o acesso por meio de terminais específicos;
•	checar IDs (códigos de identificação do usuário) e senhas para acesso a aplicativos específicos;
•	controlar o acesso através de conexões entre sistemas e terminais;
•	restringir o uso de facilidades de rede em aplicações específicas;
•	interromper automaticamente a conexão ao final de uma sessão;
•	manter registros da atividade na rede;
•	restringir o acesso a tabelas que definem opções de rede, recursos e perfis de operador;
•	permitir que somente usuários autorizados desconectem componentes da rede;
•	supervisionar o acesso discado, através do controle da fonte de chamadas, ou pela interrupção da chamada e retorno da ligação para números de telefone previamente autorizados;
•	restringir o acesso interno aos softwares de telecomunicações;
•	controlar mudanças nesses softwares;
•	garantir que dados não sejam acessados ou modificados por um usuário não autorizado, durante	 sua	transmissão ou enquanto temporariamente armazenados; 
•	restringir e supervisionar o acesso ao hardware de telecomunicações ou instalações.
Os números para discagem remota não são publicados e são periodicamente alterados.
As ferramentas de criptografia foram implementadas para proteger a integridade e confidencialidade de dados e softwares vulneráveis ou críticos.
Existem procedimentos para apagar dados confidenciais e programas instalados em recursos a serem descartados pela entidade (leiloados, doados etc.).
SUPERVISÃO DO ACESSO, INVESTIGAÇÃO DE EVIDÊNCIAS DE VIOLAÇÕES DE SEGURANÇA E ADOÇÃO DE MEDIDAS CORRETIVAS.
As trilhas de auditoria são mantidas e todas as atividades envolvendo acesso e modificação de arquivos vulneráveis ou críticos são registradas.
As violações de segurança e atividades suspeitas, tais como tentativas frustradas de entrada no sistema, são relatadas para a gerência e investigadas (examinar os relatórios sobre atividades suspeitas).
Os gerentes de segurança investigam as violações de segurança e relatam os resultados para a alta administração.
As medidas de disciplina são tomadas para corrigir as violações de segurança detectadas.
As políticas de controle de acesso são modificadas quando violações de segurançasão detectadas.
CONTROLES DE SOFTWARE
O software de sistema é o conjunto de programas projetados para operar e controlar as atividades de processamento de um equipamento computacional. 
Normalmente, um	software de sistema é utilizado para dar suporte e controlar uma variedade de aplicações que possam ser executadas num mesmo hardware de computador. 
O software de sistema auxilia a controlar e coordenar a entrada, processamento, saída e armazenamento dos dados relativos a todas as aplicações executadas no sistema.
Alguns softwares de sistema podem alterar dados e códigos de programa em arquivos, sem deixar uma trilha de auditoria. 
São exemplos de software de sistema:
•	software de sistema operacional;
•	utilitários de sistema;
•	sistemas de bibliotecas de programas;
•	software de manutenção de arquivos;
•	software de segurança;
•	sistemas de comunicação de dados;
•	sistemas de gerência de base de dados (SGBD).
O controle sobre o acesso e a alteração do software de sistema é essencial para oferecer uma garantia razoável de que os controles de segurança baseados no sistema operacional não estão comprometidos, prejudicando o bom funcionamento do sistema computacional como um todo.
Se os controles nessa área forem inadequados, indivíduos não autorizados podem utilizar o software de sistema para desviar dos controles de segurança, bem como ler, modificar ou apagar informações e programas críticos ou vulneráveis. 
Os softwares de sistema com controles ineficazes podem ser utilizados, ainda, para neutralizar controles presentes em programas aplicativos, diminuindo significativamente a confiabilidade da informação produzida pelas aplicações existentes no sistema computacional, e aumentando o risco de fraude e sabotagem. 
As preocupações com o controle de software de sistema são similares às de controle de acesso e de controle de mudança de software, entretanto, por causa do alto nível de risco associado com atividades de software de sistema, a maioria das entidades possui um conjunto separado de procedimentos de controle para essas atividades. 
Os controles de	software de sistema são avaliados através dos seguintes elementos críticos:
•	Acesso limitado ao software de sistema;
•	Acesso e uso supervisionado do software de sistema;
•	Controle das alterações do software de sistema.
ACESSO LIMITADO AO SOFTWARE DE SISTEMA
Existem políticas e procedimentos atualizados para a restrição do acesso ao software de sistema.
O acesso ao	software de sistema é restrito a um número limitado de pessoas, cujas responsabilidades exijam esse acesso. (Programadores de aplicativos e operadores de computador não devem possuir autorização de acesso ao software de sistema.).
Os documentos com justificativa e aprovação da gerência para o acesso ao software de sistema são mantidos em arquivo.
O nível de acesso permitido aos programadores de sistema é periodicamente reavaliado pelos gerentes para ver se a permissão de acesso corresponde às necessidades de serviço. Verificar a última vez que o nível de acesso foi revisto.
CAMINHOS DE ACESSO
O sistema operacional é configurado para impedir que os controles do software de segurança e de aplicativos sejam ignorados.
Testar os parâmetros do sistema operacional para verificar se ele está configurado para manter a integridade do software de segurança e dos controles de aplicativos.
Todos os acessos a arquivos do	software de sistema são automaticamente registrados.
Todas as senhas e códigos de entrada no sistema vindos de fábrica foram substituídos.
Os controles físicos e lógicos foram instalados para proteger os terminais com acesso ao software de sistema, incluindo restrições ao acesso remoto a esses terminais.
ACESSO E USO SUPERVISIONADO DO SOFTWARE DE SISTEMA
Existem políticas e procedimentos documentados e atualizados para o uso de utilitários do software de sistema.
As responsabilidades no uso de utilitários de sistema foram claramente definidas e compreendidas pelos programadores de sistema.
As responsabilidades pela supervisão do uso de utilitários de sistema estão definidas e são exercidas pela gerência de informática.
O uso de utilitários de sistema é registrado em relatórios produzidos pelo software de controle de acesso ou outro mecanismo de registro de acesso. 
Os registros de acesso ao	software de sistema e aos seus utilitários são periodicamente examinados pela gerência de informática, e atividades suspeitas ou não usuais são investigadas.
As revisões gerenciais são efetuadas para determinar se as técnicas de supervisão do uso do software de sistema estão funcionando como previsto e mantendo os riscos dentro de níveis aceitáveis (avaliações periódicas do risco).
CONTROLE DAS ALTERAÇÕES DO SOFTWARE DE SISTEMA
Existem políticas e procedimentos atualizados para identificar, selecionar, instalar e modificar software de sistema, bem como identificar, documentar e solucionar problemas com esse software.
A implantação de novas versões do software de sistema ou seus utilitários segue procedimentos de segurança, que incluem:
•	justificativa documentada para a alteração;
•	realização de testes conduzidos num ambiente próprio e não no ambiente de operação normal;
•	parecer técnico sobre os resultados do teste;
•	revisão dos resultados dos testes e das opiniões documentadas, pelo gerente de T.I.;
•	autorização do gerente de T.I. para colocar a nova versão do software de sistema em uso.
Existem procedimentos para controlar alterações de emergência, incluindo a forma de autorização e documentação das alterações de emergência, relatório do fato à gerência e revisão da alteração por um responsável pelo controle dessas alterações.
INSTALAÇÃO DO SOFTWARE DE SISTEMA
A instalação é programada de forma a minimizar o impacto no processamento de dados, sendo comunicada com antecedência para os usuários.
A migração para o uso do novo software testado e aprovado é feita por um grupo independente, responsável pelo controle da biblioteca.
As versões ultrapassadas do software do sistema são removidas das bibliotecas de programas em uso.
A instalação de todo software de sistema é documentada e registrada, para estabelecer uma trilha de auditoria e permitir a supervisão da gerência de informática.
O software de sistema conta com o suporte do fornecedor.
O software de sistema e sua documentação são mantidos atualizados. 
Entrevistar a gerência e os programadores de sistema a respeito da atualização do software de sistema e sua documentação, e examinar a documentação para constatar se as alterações mais recentes foram incorporadas.
CONTROLES DE DESENVOLVIMENTO E ALTERAÇÃO DE SOFTWARES APLICATIVOS
Os softwares aplicativos são projetados para executar determinado tipo de operação, a exemplo do cálculo da folha de pagamento ou de controle de estoque. Tipicamente, diversas aplicações podem operar dentro de um mesmo conjunto de software de sistema. 
Os controles sobre a modificação de programas aplicativos ajudam a garantir que somente programas e modificações autorizadas sejam implementadas. 
Sem um controle apropriado, existe o risco de que características de segurança possam ser omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos ou códigos fraudulentos sejam introduzidos. Por exemplo:
•	um programador pode modificar código de programa para desviar dos controles e obter acesso a dados confidenciais;
•	a versão errada de um programa pode ser implementada, perpetuando processamentos errados ou desatualizados;
	
Um vírus pode ser introduzido, prejudicando o processamento.
A principal preocupaçãodeste item é com o controle exercido sobre os sistemas de software em operação (programas que manipulam os dados financeiros e informações utilizadas em auditorias, que sofrem a maior parte das alterações de	software). Entretanto, os mesmos riscos e controles se aplicam aos sistemas em desenvolvimento.Os elementos críticos para a avaliação dos controles de mudança e desenvolvimento de software são:
•	Características de processamento e modificações no programa são devidamente autorizadas
•	Todos os softwares novos ou revisados são testados e aprovados;
•	Bibliotecas de controle do software
CARACTERÍSTICAS DE PROCESSAMENTO E ALTERAÇÕES NOS PROGRAMAS SÃO DEVIDAMENTE AUTORIZADAS
Foi desenvolvida uma metodologia de desenvolvimento de sistemas que:
•	fornece uma abordagem estruturada de desenvolvimento, compatível com os conceitos e práticas geralmente aceitos, incluindo o envolvimento ativo dos usuários durante o processo;
•	é suficientemente documentada, sendo capaz de oferecer orientação a funcionários com diversos níveis de conhecimento e experiência;
•	oferece meios de controlar mudanças nos requisitos de projeto que ocorram durante a vida do sistema;
•	inclui requisitos de documentação.
O pessoal envolvido no desenvolvimento e teste de software foi treinado para utilizar a metodologia de desenvolvimento adotada pela entidade.
Os formulários de solicitação de alteração de software são utilizados para documentar pedidos e autorizações de mudança.
As solicitações de alteração são submetidas à aprovação tanto dos usuários do sistema quanto do DTI.
Os	softwares de domínio público ou de uso pessoal são objeto de políticas restritivas (é importante que a entidade tenha políticas claras com respeito ao uso de softwares de domínio público ou de propriedade pessoal do funcionário no trabalho. Permitir aos funcionários que utilizem seus próprios	softwares, ou mesmo disquetes para armazenamento de dados que foram usados em outro lugar, aumenta os riscos de introdução de vírus, de violação de patentes e de processamento errado de dados, causado pela utilização de programas inadequados).
TODOS OS SOFTWARES NOVOS OU ALTERADOS SÃO TESTADOS E APROVADOS
Foram desenvolvidos padrões para os testes de	software, que indicam as responsabilidades de cada parte envolvida (usuários, analistas de sistema, programadores, auditores, controle de qualidade etc.).
Os planos de teste são documentados e aprovados.
Os testes da rotina alterada e sua integração com o sistema são executados e aprovados de acordo com o plano de teste, utilizando um número suficiente de condições válidas e inválidas.
Uma amostra suficiente de transações e dados é utilizada para representar as várias atividades e condições que serão encontradas no processamento.
O ambiente de teste é diverso do ambiente real (de processamento) e os dados reais não são usados no teste de alterações de programas, exceto para construir arquivos de dados de teste.
Os resultados dos testes são revistos e documentados.
As alterações de programa são colocadas em uso somente após a aprovação formal dos usuários e da gerência de desenvolvimento de sistemas.
Quando o sistema novo ou modificado é posto em operação, a documentação é atualizada em relação ao software, hardware, pessoal de operação e usuários.
A gerência de informática e/ou os administradores de segurança periodicamente revisam as alterações introduzidas nos softwares para determinar se os controles de acesso e controles de alteração foram respeitados.
ALTERAÇÕES DE EMERGÊNCIA
Existem procedimentos de alterações de emergência documentados.
As alterações de emergência são:
•	documentadas e aprovadas pelo supervisor de operação;
•	formalmente relatadas à gerência de operação para as providências necessárias;
•	aprovadas, ainda que depois de realizadas, pelos gerentes de desenvolvimento proprietário do sistema.
Existem procedimentos padrão para distribuição de software novo ou alterado a ser implementado.
Informações sobre a alteração, incluindo a data de sua realização, são fornecidas para todos os setores que mantenham uma cópia do sistema.
BIBLIOTECAS DE CONTROLE DO SOFTWARE
IDENTIFICAÇÃO E INVENTÁRIO DE PROGRAMAS
Existe software de gerenciamento da biblioteca para:
•	produzir trilhas de auditoria de alterações no programa;
•	manter números de versão dos programas;
•	registrar e relatar alterações de programa;
•	manter informações das datas criação de módulos em uso;
•	manter cópias de versões anteriores;
•	controlar atualizações paralelas.
RESTRIÇÕES DE ACESSO À BIBLIOTECA
As bibliotecas separadas são mantidas para programas em desenvolvimento e manutenção, programas em teste e programas em uso (em produção).
Os códigos-fonte são mantidos em biblioteca própria.
O código em uso, código-fonte e cópias extras dos programas são protegidos por software de controle de acesso e por características de segurança do sistema operacional.
CONTROLE DO MOVIMENTO DE PROGRAMAS E DADOS ENTRE BIBLIOTECAS.
Um grupo independente de usuários e programadores controla o movimento de programas e dados entre bibliotecas.
As reproduções do código do programa, antes e depois da alteração, são arquivadas e comparadas para garantir que somente as mudanças aprovadas foram implantadas.
CONTROLES DE APLICATIVOS
Os controles de aplicativos são aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação (entrada, processamento e saída de dados), com o objetivo de garantir um processamento confiável e acurado. 
A avaliação dos controles de aplicativo deve sempre ser executada em conjunto com a verificação dos controles gerais do sistema informatizado, bem como da legalidade do processamento efetuado (isto é, se o seu produto final está de acordo com as leis em vigor e se está acarretando ou não desvio de recursos públicos).
CONTROLES DA ENTRADA DE DADOS
Os controles desta categoria são projetados para garantir que os dados são convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e tempestiva.
Os controles de entrada de dados devem detectar transações não autorizadas, incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas.
DOCUMENTOS OU TELAS DE ENTRADA DE DADOS
Existem procedimentos documentados para a inserção de dados na aplicação.
Os documentos ou telas de entrada garantem a entrada de dados de maneira exata e consistente.
Os campos de dados de preenchimento obrigatório são facilmente identificáveis na tela.
Existem padrões para as telas de entrada, quanto à sua apresentação, disposição dos campos e acionamento de teclas.
ROTINAS DE PREPARAÇÃO DOS DADOS (BATCH)
Existem rotinas para a preparação dos dados a serem preenchidos em cada documento.
Há pessoas claramente identificadas como responsáveis pela preparação, revisão e autorização da entrada de dados.
Existem rotinas escritas para cada atividade do processo de preparação de dados, com instruções claras e adequadas.
AUTORIZAÇÃO PARA ENTRADA DE DADOS
Nem sempre é possível se ter procedimentos de autorização antes da entrada dedados. Em sistemas de entrada de dados on-line, são indispensáveis as rotinas de validação de dados para compensar a ausência da autorização. O sistema deve checar automaticamente se o usuário está cadastrado para usar aquele aplicativo e se os dados por ele preenchidos satisfazem a certas condições.
A organização deve estabelecer rotinas que impeçam o uso não autorizado ou o mal uso de microcomputadores ou terminais durante a entrada de dados. 
As verificações abaixo indicadas devem ser utilizadas para entrada de dados batch ou on-line:
•	no caso de aplicativos em que a entrada de dados ocorre em terminais ou microcomputadores, há procedimentos de segurança para o uso, manutenção e controle de códigos de identificação do operador e do terminal ou estação de trabalho.
•	os códigos de identificação do operador e do terminal são checados no processo de autorização de entrada de dados.
•	existem procedimentos documentados para que, em caso de transmissão eletrônica de documentos, a rota utilizada e os procedimentos de autorização sejam registrados. 
•	osmicrocomputadores e terminais usados pela organização para a entrada de dados estão localizados em salas fisicamente seguras.
•	as rotinas de entrada de dados da organização asseguram que esta atividade só pode ser executada por funcionários com determinado nível de acesso.
•	as rotinas de entrada de dados da organização prevêem a gerência e utilização de senhas para prevenir o uso não autorizado de microcomputadores e terminais.
•	existem números e códigos de identificação únicos e individuais para possibilitar o controle do acesso aos dados.
•	existem mecanismos de segurança para gerenciar o acesso batch a arquivos de dados.
Verificações para aplicações com entrada de dados batch:
•	a aprovação da entrada de dados está limitada aos indivíduos especificados pela organização em documento escrito.
•	o pessoal responsável pela autorização da entrada de dados não executa outras tarefas incompatíveis pelo princípio da segregação de funções;
Na entrada de dados on-line deve ser verificado se:
•	existem controles lógicos e físicos nos terminais e microcomputadores para prevenção e detecção de entrada de dados não autorizados. 
•	foram instalados mecanismos de segurança para gerenciar a autorização de acesso às transações on-line e aos registros históricos associados.
•	os mecanismos de segurança da organização garantem que todas as tentativas de acesso, com ou sem sucesso, são gravadas em registram data e hora do evento de acesso e identificam o usuário.
RETENÇÃO DE DOCUMENTOS DE ENTRADA (SISTEMA BATCH)
Os documentos originais devem ser retidos pela organização por um determinado período de tempo com intuito de facilitar a recuperação ou reconstrução de dados.
Existem procedimentos documentados para retenção de documentos-fonte na organização.
Os documentos ficam retidos por tempo suficiente para permitir a reconstrução de dados, caso sejam perdidos durante a fase de processamento.
Os documentos são mantidos em arquivos organizados, para fácil recuperação.
O departamento que originou os documentos mantém cópias dos mesmos.
Somente as pessoas devidamente autorizadas têm acesso aos documentos arquivados.
Existem procedimentos documentados para remover e destruir os documentos quando expirado o tempo de retenção, e estes são obedecidos.
VALIDAÇÃO DOS DADOS DE ENTRADA 
A organização deve estabelecer rotinas que assegurem que os dados de entrada são validados e editados de forma a espelharem corretamente os documentos originais.
Existem procedimentos documentados que definem o formato dos dados para assegurar a entrada de dados no campo correto e com o formato adequado.
Nas rotinas de entrada de dados existem informações de ajuda (help) para facilitar a entrada de dados e reduzir o número de erros.
Existem mecanismos para a validação, edição e controle da entrada de dados (terminais inteligentes ou software dedicado a essa função). 
Os campos essenciais para o correto processamento posterior dos dados são de preenchimento obrigatório.
Existem rotinas para detectar, rejeitar e impedir a entrada de dados incorretos no sistema.
A validação dos dados é executada em todos os campos relevantes do registro ou tela de entrada.
As rotinas de validação de dados testam à presença de:
•	códigos de aprovação e autorização;
•	dígitos de verificação em todas as chaves de identificação;
•	dígitos de verificação ao final de uma seqüência (string) de dados numéricos;
•	códigos válidos;
•	valores alfanuméricos ou numéricos válidos;
•	tamanhos válidos de campo;
•	campos combinados;
•	limites válidos, razoabilidade dos valores ou faixa de valores válida;
•	campos obrigatórios preenchidos;
•	símbolos;
•	registros de entrada completos;
•	campos repetitivos, eliminando a necessidade da entrada dos mesmos dados mais de uma vez.
A organização utiliza totais de controle de processamento em lote (batch), gerados pelos terminais de entrada de dados ou pelo software dos microcomputadores, para assegurar que todos os dados enviados em lote foram recebidos corretamente.
A rotina de entrada de dados da organização estabelece um registro histórico dos dados, proporcionando uma trilha de auditoria.
TRATAMENTO DE ERROS 
A organização deve estabelecer rotinas para correção e re-submissão de dados de entrada incorretos.
Existem rotinas para identificação, correção e re-submissão de dados incorretos.
A rotina de entrada de dados possui procedimentos automáticos ou manuais que permitem que dados errôneos sejam prontamente corrigidos e re-submetidos;
Existe controle sobre os erros ocorridos na entrada de dados, sendo possível identificá-los, juntamente com as medidas que foram tomadas para corrigi-los e o tempo transcorrido entre a sua ocorrência e sua correção.
As mensagens de erro geradas pela rotina de entrada de dados são suficientemente claras e fáceis de serem entendidas pelo usuário do terminal ou microcomputador, facilitando a correção e a re-submissão dos dados. 
MECANISMOS DE SUPORTE PARA ENTRADA DE DADOS
A organização possui um grupo de controle responsável pelas seguintes atividades:
•	investigar e	corrigir qualquer problema operacional no terminal, microcomputador ou outro dispositivo de entrada de dados;
•	assegurar que os procedimentos de reinicialização são executados de maneira apropriada;
•	monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar;
•	investigar qualquer desvio dos procedimentos de entrada de dados pré-estabelecidos.
Os recursos computacionais e humanos disponíveis para a entrada de dados garantem que estes sejam inseridos tempestivamente.
CONTROLES DO PROCESSAMENTO DE DADOS
Os controles de processamento devem assegurar que todos os dados de entrada sejam processados e que o aplicativo seja executado com sucesso, usando os arquivos de dados, as rotinas de operação e a lógica de processamento corretos.
INTEGRIDADE DO PROCESSAMENTO
Existem procedimentos documentados que explicam a forma com que os dados são processados pelo programa aplicativo.
Os sistemas on-line estão protegidos contra a atualização simultânea de arquivos por diferentes usuários.
Existem registros históricos (logs) que armazenam eventos ocasionados pelo computador e seus operadores durante o processamento da aplicação, fornecendo uma trilha de auditoria das transações processadas.
Os códigos de identificação do usuário, do terminal ou do microcomputador, juntamente com os dados de data, hora e informação anterior à alteração (esta última quando a relevância justificar) são mantidos em registros históricos.
VALIDAÇÃO DO PROCESSAMENTO
Os dados incorretos são rejeitados pelo aplicativo.
Os procedimentos de validação são executados em todos os campos relevantes ou de preenchimento obrigatório, antes da gravação dos dados.
Em rotinas de arredondamento matemático há um controle do efeito provocado por esse arredondamento.
TRATAMENTO DE ERROS DO PROCESSAMENTO
As rotinas de tratamento de erro devem ser capazes de identificar transações com erros e suspender seu processamento sem afetar a execução de outras transações válidas.
Existem procedimentos documentados para identificação, correção e reinserção de dados rejeitados.
As mensagens geradas pelas rotinas de tratamento de erro de processamento são claras e objetivas. 
Os arquivos temporários de dados rejeitados pelo sistema são controlados adequadamente e geram mensagens de alerta para que estes dados sejam devidamente revisados e corrigidos.
Existe controle sobre os erros ocorridos durante o processamento de dados, sendo possível identificá-los, juntamente com as medidas que foram tomadas para corrigi-los e o tempo transcorrido entre a sua ocorrência e sua correção.
CONTROLES DA SAÍDA DE DADOS
Os controles da saída de dados são utilizados para garantir a integridade e a correta e tempestiva distribuição dos dados de saídas.
REVISÃODOS DADOS DE SAÍDA 
Os relatórios de dados de saída são revisados com relação à sua integridade e exatidão antes da sua liberação para os usuários. 
Existem procedimentos documentados para relatar, corrigir e refazer relatórios de saída com erros.
A revisão dos relatórios de saída inclui o confronto das contagens de registros com totais de controle para garantir que dados não foram inseridos ou omitidos indevidamente.
DISTRIBUIÇÃO DOS DADOS DE SAÍDA 
Cada relatório impresso é etiquetado para identificar o nome do produto, nome do destinatário e data e hora de produção.
Existem procedimentos escritos que descrevem o processo de distribuição dos dados de saída (relatórios impressos ou on-line).
Existem listas de distribuição pré-definidas para todos os dados criados pela aplicação. As listas de distribuição de dados são alteradas de acordo com as necessidades da organização.
Os usuários são questionados periodicamente para determinar se os dados produzidos continuam sendo necessários ou úteis.
Os relatórios impressos são entregues ao seu destino dentro dos prazos estipulados.
Existe controle sobre os dados de saída apresentados na tela para os usuários, impedindo adulterações.
Existe um registro histórico das informações sobre os dados de saída.
Existem procedimentos documentados para reportar e controlar os erros ocorridos no processamento dos dados de saída.
Os usuários são comunicados sobre os erros dos relatórios recebidos.
São mantidos registros dos relatórios com erros.
Existe controle sobre os erros ocorridos em relatórios (batch ou on-line), sendo possível identificar os erros, as medidas que foram tomadas para corrigi-los e o tempo transcorrido entre a ocorrência do erro e sua correção.
SEGURANÇA DOS DADOS DE SAÍDA
A organização deve manter procedimentos para restringir o acesso aos relatórios apenas ao pessoal autorizado.
Existem procedimentos documentados para classificar os relatórios como confidenciais, críticos ou de acesso geral.
Existem procedimentos adequados que asseguram a segurança dos relatórios considerados confidenciais pela organização.
Há procedimentos para restringir o acesso de dados confidenciais somente às pessoas autorizadas.
Os usuários com acesso a relatórios confidenciais (impressos ou on-line) têm conhecimento da necessidade de sigilo e tomam medidas adequadas para protegê-los.
Os relatórios confidenciais são claramente identificados ou marcados e quando não são mais úteis à organização, são destruídos de forma adequada.
��