Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Curso de Ciência da Computação Disciplina: Segurança e Auditoria da Informação - 8º período Professor: José Maurício S. Pinheiro AULA 9: Auditoria de Tecnologia da Informação Atualmente, os riscos dos sistemas de informação têm sido uma das principais preocupações dos administradores das empresas. No entanto, poucos entendem claramente a dependência de suas atividades operacionais em relação aos sistemas aplicativos de negócio e de infraestrutura de TI, bem como da forma que os processos de TI influenciam na definição das estratégias da organização e nos alcances dos objetivos. 1. Tipos de Auditoria Com o grande número de leis, normas e resoluções de órgãos e entidades de governos exigindo auditorias periódicas sobre controles internos, TI, balanços patrimoniais, entre outros, esse serviço tem sido cada vez mais procurado por empresas. Assim, as auditorias podem estar em conformidade com diversos critérios, como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/órgão fiscalizador. O objetivo de uma auditoria pode estar relacionado à necessidade de se verificarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada à necessidade ou ao tipo de negócio. Sendo assim, podemos ter três classes abrangentes: Forma de abordagem, Órgão Fiscalizador e Área Envolvida: 1.1. Quanto à forma de abordagem Auditoria Horizontal – auditoria com tema específico, realizada em várias entidades ou serviços, paralelamente. Auditoria Orientada – foca uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou erros. 1.2. Quanto ao órgão fiscalizador Auditoria Interna – realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos. O auditor interno é um funcionário, mas como executa auditoria deve ter uma certa independência dentro da entidade e, para ter o maior grau de independência possível, deve ser subordinado apenas à alta direção (Figura 1). Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes. A necessidade de realizar auditorias internas vai ao encontro dos objetivos de controle de processos e procedimentos do sistema de gestão. Auditoria Externa – realizada por um profissional ou uma entidade externa e independente daquela está sendo auditada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e regularidade de suas operações. O auditor externo, de forma macro, verifica se todos os controles de segurança da informação necessários estão implantados e emite uma opinião (parecer) sobre o tema. A auditoria externa não é realizada para detectar fraudes, erros ou para interferir na OUTROS TRABALHOS EM: www.projetoderedes.com.br 2 administração da empresa ou ainda reorganizar o processo produtivo ou demitir pessoas ineficientes. Auditoria Articulada – trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados. Figura 1 - Auditoria interna 1.3. Quanto à área envolvida Auditoria de programas de governo – acompanhamento, exame e avaliação da execução de programas e projetos governamentais. Auditoria do planejamento estratégico – verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas. Auditoria administrativa – engloba o plano da organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão. Auditoria contábil – relativa à fidedignidade das contas da instituição. Tem como finalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. Auditoria Financeira – conhecida também como auditoria das contas, consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade – conhecida como auditoria de conformidade, consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor. Auditoria Operacional – ocorre em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, eficiência e eficácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. Auditoria da Tecnologia da Informação – auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informação, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e deficiências. 3 2. Definição de Auditoria de TI A NBR ISO 19011 define auditoria como um processo sistemático, documentado e independente para obter evidências e avaliá-las objetivamente de modo a determinar a extensão na qual os critérios de auditoria são atendidos. Neste aspecto, a Auditoria de TI tem como objetivo analisar se as operações da área de TI estão em conformidade com objetivos, políticas institucionais, orçamentos, regras, normas, padrões e melhores práticas da empresa. Inclui o processo de obtenção e avaliação de evidências para determinar se um sistema salvaguarda os bens, mantém a integridade dos dados, permite atingir os objetivos da organização de forma eficaz e utiliza os recursos de forma eficiente. Através da Auditoria de TI, a empresa promove transparência na governança de Tecnologia da Informação, permite o controle de gastos e identifica a adoção de ferramentas e sistemas mais adequados. Garante melhores controles internos e uma análise mais apurada dos riscos em TI. 3. Princípios de Auditoria de TI A NBR ISO 19011 apresenta alguns princípios, relacionados aos auditores, possibilitando que sejam fornecidas conclusões de auditoria relevantes e suficientes e permitindo que auditores trabalhem de forma independente e cheguem a conclusões semelhantes em situações semelhantes. Conduta ética: consiste na alma do profissional, confiança, integridade, confidencialidade e discrição. A ética consiste em uma característica inerente às ações do ser humano, tornando-se um componente fundamental à sociedade. Obrigação: existe a obrigação de reportar com veracidade e exatidão todas as informações pertinentes à auditoria, relacionadas com as constatações e as conclusões da auditoria e seus respectivos relatórios. Consciência profissional: os auditores devem ter a preocupação de realizar as tarefas da forma mais profissional, de acordo com a importância e a confiança depositada em uma auditoria. Independência: é a base para a imparcialidade e objetividade das conclusões de uma auditoria, porque os auditores são independentes em relação ao que será auditado, assim como não se ligam aos interesses e às tendências apresentadas. Evidência: a evidência de auditoria pode ser verificada, pois ela é realizada com base em amostras de informações que se encontram disponíveis. 4. Foco da Auditoria de TI A Auditoria de TI não está baseada somente na segurança, mas possibilita a organização inovar, intermediar, controlar e gerir processos, produtos e serviços de forma contínua, com o objetivo de buscar uma posição de destaque diante de sua concorrência. Depois de serem definidos os objetivos da auditoria, escolhida aentidade auditora e devidamente informados todos os colaboradores diretamente envolvidos no processo, inicia-se a auditoria propriamente dita. A fim de realizar esse objetivo, o auditor deve compreender todo o ambiente envolvido, como equipamentos, centros de processamento de dados, software de entradas e processos de informação, controles, arquivos e segurança. No decorrer da auditoria, o auditor terá de efetuar a avaliação dos controles gerais e particulares, apontar os 4 desvios encontrados, elaborar e validar as soluções possíveis e, finalmente, redigir o seu relatório final que será apresentado aos responsáveis da organização. Por outro lado, os colaboradores diretamente implicados na auditoria devem fornecer as informações solicitadas, compreender as razões dos desvios e das falhas detectadas e preparar as mudanças necessárias. Dentre os objetivos da auditoria temos: Determinar a extensão da conformidade dos documentos da organização contra os critérios de auditoria; Avaliar a capacidade da documentação da organização de garantir conformidade com requisitos legais, contratuais e regulamentares; Determinar a eficácia da documentação da organização para atender os objetivos especificados; Identificar as possíveis melhorias da documentação; Avaliar o sistema de informação utilizado, com a finalidade de conferir se este possui capacidade de suportar adequadamente às necessidades empresa; Elaborar e monitorar metas; Fiscalizar o cumprimento de regulamentos e leis estabelecidas pelo setor de TI; Monitoração de pontos críticos que possam pôr em risco o cumprimento de objetivos; Levantar necessidades, processos duplicados, custos e outras barreiras que atrapalhem a eficiência dos fluxos de dados; Certificar informações confiáveis e oportunas; Reduzir riscos de erros e fraudes. 5. Etapas da Auditoria de TI A auditoria de TI deve ser dividida em etapas e apresentar objetivos definidos, bem como o escopo e os seus critérios. As etapas incluem a fase de alinhamento das expectativas da alta administração, o planejamento e preparação das informações, análise do negócio da empresa seguida da execução propriamente dita, relatórios com resultados das análises e testes e, em sua parte final, a comunicação dos resultados e apresentação de um plano formal de ações (Figura 2). Figura 2 - Etapas da auditoria de TI Todas as etapas geram documentos importantes para a empresa, pois contêm informações sobre os processos, os riscos encontrados e a avaliação desses riscos, os controles em conformidade ou não com as normas e recomendações de melhoria (Figura 3). No escopo da auditoria está relacionado à descrição da extensão e limites da própria auditoria em termos de localização física, unidades organizacionais, atividades, processos, ativos de informação, avaliações de risco, etc. 5 Os critérios podem incluir políticas e procedimentos aplicáveis à organização, normas, requisitos legais, regulamentos, requisitos contratuais, sistema de gestão, e práticas, entre outros. Os relatórios de auditoria funcionam como um guia que mostra a direção a ser tomada pela área de TI e serve para auxiliar a administração no planejamento estratégico, e na priorização de investimentos. Figura 3 - Escopo de auditoria 6. Terminologia de auditoria São apresentados a seguir, alguns conceitos, considerados como gerais, utilizados, normalmente, durante um processo de auditoria, independentemente de sua classificação. Campo: está relacionado ao objeto (pode ser uma instituição pública ou privada ou um determinado setor da mesma) a ser fiscalizado, período e o tipo da auditoria (operacional, financeira, etc.). Âmbito: define o grau de abrangência e a profundidade das tarefas. Área de verificação: delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria. Controle: consiste na fiscalização exercida sobre as atividades das pessoas, departamentos, produtos, etc., de forma que as atividades executadas ou produtos mantenham-se dentro das normas preestabelecidas. Três tipos de controle são exercidos: Preventivo – previne erros e invasões, por exemplo, identificação e autenticação de usuários do sistema via a utilização de senhas; Detector – detecta erros, tentativas de invasões, etc. (arquivos logs, realização de controle de acesso de usuários); Corretivo – minimiza o impacto causado por falhas ou erros, corrigindo-os (política de segurança, plano de contingência). 6 Objetivos de controle: são metas de controle a serem alcançadas, ou aspectos negativos a ser evitados em cada transação, atividade ou função fiscalizada. Procedimentos de auditoria: é um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias ao parecer do auditor. Esses procedimentos devem ser de conhecimentos dos auditores antes do início da auditoria. Achados de auditoria: são fatos a ser considerados como importantes para o auditor. Para que esses dados constem no relatório, eles devem estar baseados em fatos e evidências. Papéis de trabalho: são registros que evidenciam atos e fatos observados pelo auditor (planilhas, documentos, etc.). Recomendações de auditoria: realizada na fase de relatório, isto é, são medidas corretivas exequíveis, sugeridas para corrigir as falhas detectadas. 7. Planejamento de Auditoria de TI Conforme Padrões de Segurança da Informação As revisões dos sistemas de informação servem para verificar se realizam as funções e operações para as quais foram criados, assim como comprovar se os dados e demais informações neles contidos correspondem aos princípios de confiabilidade, integridade, precisão e disponibilidade. A Tabela 1 apresenta os domínios das normas de segurança, controles e o planejamento de auditoria necessários para essas revisões. Tabela 1 - Planejamento de auditoria de TI DOMÍNIO DAS NORMAS DE SEGURANÇA CONTROLES DE SEGURANÇA DA INFORMAÇÃO PLANEJAMENTO DA AUDITORIA DE TI Política de segurança Implementação, revisão e avaliação do documento da política de segurança de informações. Verificar a existência de: - Política de Segurança formal aprovada pela alta administração e divulgada para todos os funcionários; - Procedimento de revisão da política mediante as alterações nos ambientes de TI; Segurança Organizacional Infraestrutura para segurança de informações Verificar a existência de: - Fórum gerencial multidisciplinar, bem como uma área diretamente responsável pelas ações de Segurança; - Processo de autorização para utilização e manutenção de facilidades de processamento de dados; - Contato com empresas e órgãos envolvidos com Segurança da informação e se existe um acompanhamento externo de consultores especializados para suportar as ações de Segurança; - Revisão periódica por parte de auditorias independentes para avaliação do ambiente de Segurança; Segurança para o acesso de terceiros Verificar a existência de: - Contratos de prestação de serviços contemplam todas as regras de Segurança da Informação da empresa; - Contratos são monitorados constantemente pelos Gestores; Classificação e controle dos ativos Responsabilidade pelos ativos Verificar a existência de um inventário dos ativos e a definição da responsabilidade sobre eles; Classificação das informações Verificar a existência de: - Política de classificação das informações que defina os critérios de classificação quanto as propriedades da informação; - Tratamento adequado para o armazenamento, o envio e descarte de informações eletrônicas e físicas; Segurança relacionada ao pessoalSegurança na definição de funções e alocação de pessoal Verificar a existência de: - Termo de responsabilidade sobre a segurança das informações; - Contratos de prestação de serviço com termo de confidencialidade; - Critérios de Segurança para contratação de funcionários; Treinamento dos usuários Verificar se existe uma política contínua de treinamento em 7 Segurança da Informação; Respondendo a incidentes de segurança e mau funcionamento Verificar a existência de: - Canal de comunicação para reportar incidentes de segurança; - Base de conhecimento sobre incidentes reportados; - Processo disciplinar para os usuários que violarem regras de Segurança; Segurança física e ambiental Áreas de segurança Verificar a existência de: - Perímetros de segurança; - Controles físicos adequados; - Isolamento de áreas de carga e descarga; Segurança dos equipamentos Verificar a existência de: - Redundância de alimentação de energia e proteção adequada para a estrutura de cabeamento de energia e de dados; - Procedimento para a manutenção dos equipamentos; - Regras definidas para utilização de equipamentos da empresa fora do ambiente de trabalho; - Procedimentos para o descarte ou reutilização de equipamentos da empresa; Controles gerais Verificar a existência de: - Política de “mesa limpa e tela limpa”; - Procedimento para retirada de equipamentos ou informações de dentro da empresa; Gerenciamento de comunicações e operações Procedimentos operacionais e responsabilidades Verificar a existência de: - Procedimentos operacionais que contemplem o passo a passo da operação dos componentes de TI; - Processo de controle de mudança para as alterações em produção; - Canal de comunicação de incidentes de segurança e se as regras para a comunicação estão bem definidas; - Segregação de funções; - Segregação dos ambientes de desenvolvimento, teste e produção; Planejamento e aceitação de sistemas Verificar a existência de: - Procedimentos para aceitação de upgrades ou novo desenvolvimento de sistema; Proteção contra software malicioso Verificar a existência de solução de antivírus, bem como a rotina de atualização; Housekeeping* Verificar a existência de: - Política de backup e teste de restore; - Registro dos eventos relativos a problemas no ambiente de TI; Gerenciamento de redes Verificar se existe um gerenciamento adequado das redes; Manuseio e segurança de Mídia Verificar a existência de: - Gerenciamento de mídias removíveis, bem como o descarte das mídias; - Procedimento para o manuseio e descarte de informações impressas; - Documentações dos sistemas estão armazenadas em locais seguros; Intercâmbios de informações e softwares Verificar a existência de: - Contratos de intercâmbio de informações contemplam os requisitos de segurança; - Procedimento para o envio de mídias para outras localidades; - Política e tecnologias de proteção para transações com clientes e fornecedores através de comércio eletrônico; Controle de Acesso Política de controle de acesso Verificar se existe uma política definida para liberação de acesso com os perfis definidos; Gerenciamento do acesso de usuários Verificar a existência de: - Procedimento para liberação de acesso, contemplando o fluxo de autorizações; - Revalidação de perfis de acesso; Responsabilidades dos usuários Verificar a existência de: - Política de senha definida, implementada e monitorada; - Bloqueio automático dos equipamentos em caso de inatividade; Controle de acesso à rede Verificar a existência de: - Política para uso de recursos de rede; - Controle tecnológico para autenticação de usuários externos; - Procedimento de bloqueio físico de portas de conexão dos equipamentos de rede; - Segregação de redes no ambiente (rede de servidores e rede de estações); Controle de acesso ao sistema operacional Verificar a existência de: - Procedimento de autenticação nos sistemas que contemple a maneira mais segura (“O que você sabe”, “O que você tem”, “O que você é”) levando em consideração o custo benefício; - Política de autenticação que defina as regras de formação de senha; - Time out para conexão; 8 Controle de Acesso às Aplicações Verificar se os sistemas sensíveis foram identificados e se os acessos para estes sistemas estão sendo controlados; Monitorando o acesso e o uso do sistema Verificar a existência de: - Infraestrutura de TI está com o relógio sincronizado; - Existência de Logs de ações no sistema e se estes logs são monitorados; Computação móvel e trabalho à distância Verificar se existe política e controles tecnológicos para utilização de equipamentos móveis para acesso ao ambiente da empresa; Desenvolvimento e manutenção de sistemas Requisitos de segurança nos sistemas Verificar se existe um processo de envolvimento da área de Segurança na fase de especificação de novos / manutenção de sistemas; Segurança em sistemas aplicativos Verificar a existência de: - Tratamento de entrada, processamento e saída de informação para garantir a segurança no processamento em todos os estágios do sistema; - Controles para garantir a integridade das informações processadas; Controles criptográficos Verificar a existência de: - Política para uso de controles criptográficos nos sistemas que defina um padrão como: tipo de algoritmo, tamanho da chave, etc.; - Implementação de técnicas de criptografia e assinatura digital nos sistemas de informação; Segurança de arquivos do Sistema Verificar a existência de: - Controle sobre o código fonte dos sistemas; - Controle para disponibilização de dados de produção para massa de teste; Segurança nos processos de desenvolvimento e suporte Verificar a existência de: - Controle nas alterações e atualizações de sistemas operacionais e sistemas; - Controle de qualidade e cláusula de segurança em contratos de terceirização de desenvolvimento de sistemas; Gerenciamento da continuidade do negócio Aspectos do gerenciamento da continuidade do negócio Verificar a existência de: - Plano de continuidade do negócio definido, aprovado e implementado; - Revisões periódicas e se são realizados testes de ativação do plano; Obediência a exigências Obediência às exigências legais Verificar a existência de: - Política que trata direitos autorais e diretos de cópia; - Procedimento que obriga que as legislações sejam levadas em consideração para a salvaguarda e privacidade das informações; - Monitoramento das ações dos usuários no sistema, bem como a coleta de evidências está seguindo o definido em legislações vigentes; Revisões da política de segurança e obediência técnica Verificar se existe um monitoramento da aderência da empresa aos requisitos da política de segurança; *Housekeeping (“arrumando a casa” em inglês) é a realização dos três primeiros “S” do programa 5S focando, sobretudo, nos aspectos físicos da empresa. 8. Ferramentas de Auditoria As ferramentas de auditoria são instrumentos que o auditor possui para atingir suas metas, definidas no planejamento, independentemente do tipo de auditoria praticada. As ferramentas de auditoria podem ser classificadas em generalistas, especializadas e de uso geral. As ferramentas de auditoria, tanto as generalistas quanto as especializadas são desenvolvidas por profissionais e empresas com grande conhecimento dos processos de auditoria e envolve geralmente profissionais de TI e de outras áreas do conhecimento. 8.1. Ferramentas generalistas As ferramentas generalistas de auditoria são softwares que podem processar, simular, analisar amostras, gerar dados estatísticos, sumarizar, apontarduplicidade e outras funções que o auditor desejar. As vantagens do uso desse tipo de ferramenta são: O software pode processar diversos arquivos ao mesmo tempo; Pode processar diferentes tipos de arquivos, de diferentes formatos; Permite integração sistêmica com vários tipos de softwares e hardwares; Reduz a dependência do auditor em relação ao especialista de informática. 9 Como desvantagens, como o processamento das aplicações envolve gravação de dados em separado para serem analisados em ambientes distintos, poucas aplicações poderiam ser feitas em ambiente online. Se o auditor precisar rodar cálculos complexos, o software não poderá dar esse apoio, pois tal sistema, para dar assistência generalista a todos os auditores, evita aprofundar as lógicas e matemáticas muito complexas. 8.2. Ferramentas especializadas As ferramentas especializadas de auditoria são softwares desenvolvidos especialmente para executar certas tarefas em uma circunstância definida. O software pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro contratado pelo auditor. A principal vantagem do uso desse tipo de ferramenta é que ela atende a demandas mais específicas, como crédito imobiliário, leasing, cartão de crédito e outras funções que exijam tarefas especializadas no segmento de mercado. Outra vantagem é que o auditor que consegue desenvolver um software especializado numa área muito complexa, podendo utilizar isso como uma vantagem competitiva. As principais desvantagens dessas ferramentas são: Pode ser muito caro, uma vez que seu uso será limitado ou restrito a apenas um cliente; As atualizações deste software podem transformar-se em um problema. 8.3. Ferramentas de uso geral Outros softwares, embora não específicos para a atividade de auditoria, também vêm sendo utilizados com esse propósito, sendo possível citar como exemplos as planilhas eletrônicas, softwares de gerenciamento de banco de dados, ferramentas de BI (Business Intelligence), softwares estatísticos etc. As ferramentas de uso geral são softwares utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc. Esses programas não foram desenvolvidos para executar trabalhos de auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria. A grande vantagem desse tipo de ferramenta é que elas podem ser utilizadas como “quebra-galho” na ausência de outros recursos. 9. Pós Auditoria Após o encerramento da auditoria é importante realizar follow-ups, ou seja, o acompanhamento periódico dos controles definidos e do plano de ação. O follow-up nada mais é do que uma auditoria de revisão, mas que é fundamental para dar continuidade ao processo. A realização da auditoria de TI deve acompanhar as diferentes linhas de evolução das várias tecnologias que estão incluídas no domínio das operações dos sistemas de informação. Portanto, é necessário avaliar continuamente se os modelos de segurança concordam e estão em consonância com as novas arquiteturas, as diferentes plataformas e as formas de comunicação, visto que não se pode auditar com conceitos, técnicas ou recomendações que se tornaram obsoletas.
Compartilhar