Baixe o app para aproveitar ainda mais
Prévia do material em texto
Universidade do Sul de Santa Catarina Palhoça UnisulVirtual 2007 Auditoria de Sistemas Informatizados Disciplina na modalidade a distância auditoria_de_sistemas_informatiz1 1auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:0022/12/2006 12:17:00 auditoria_de_sistemas_informatiz2 2auditoria_de_sistemas_informatiz2 2 22/12/2006 12:17:0422/12/2006 12:17:04 Apresentação Parabéns, você está recebendo o livro didático da disciplina Auditoria de Sistemas Informatizados. O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto, a construção de competências se dá sobre a articulação de metodologias e por meio das diversas formas de ação/ mediação. São elementos desse processo: O livro didático; O EVA (Espaço UnisulVirtual de Aprendizagem); Atividades de avaliação (complementares, a distância e presenciais). Os materiais didáticos foram construídos especialmente para este curso, levando em consideração o seu perfi l e as necessidades da sua formação. Como os materiais estarão, a cada nova versão, recebendo melhorias, pedimos que você encaminhe suas sugestões, sempre que achar oportuno, via professor tutor ou monitor. Recomendamos que antes de você começar os seus estudos, verifi que as datas-chave e elabore o seu plano de estudo pessoal, garantindo assim a boa produtividade no curso. Lembre-se: você não está só nos seus estudos. Conte com o Sistema Tutorial da UnisulVirtual sempre que precisar de ajuda ou alguma orientação. Desejamos que você tenha êxito neste curso! Equipe UnisulVirtual auditoria_de_sistemas_informatiz3 3auditoria_de_sistemas_informatiz3 3 22/12/2006 12:17:0422/12/2006 12:17:04 auditoria_de_sistemas_informatiz4 4auditoria_de_sistemas_informatiz4 4 22/12/2006 12:17:0422/12/2006 12:17:04 Abílio Bueno Neto Davi Solonca Palhoça UnisulVirtual 2007 Design instrucional Dênia Falcão de Bittencourt Viviane Bastos 3ª edição Auditoria de Sistemas Informatizados Livro didático auditoria_de_sistemas_informatiz5 5auditoria_de_sistemas_informatiz5 5 22/12/2006 12:17:0522/12/2006 12:17:05 Copyright © UnisulVirtual 2007 N enhum a parte desta publicação pode ser reproduzida por qualquer m eio sem a prévia autorização desta instituição. 005.8 B94 Bueno Neto, Abílio Auditoria de sistemas informatizados : livro didático / Abílio Bueno Neto, Davi Solonca ; design instrucional Dênia Falcão de Bittencourt, Viviane Bastos. – 3. ed. – Palhoça : UnisulVirtual, 2007. 190 p. : il. ; 28 cm. Inclui bibliografia. ISBN 978-85-60694-16-7 1. Sistemas de segurança. 2. Computadores – Medidas de segurança. I. Solonca, Davi. II. Bittencourt, Dênia Falcão de. III. Bastos, Viviane. IV. Título. Ficha catalográfica elaborada pela Biblioteca Universitária da Unisul Créditos Unisul - Universidade do Sul de Santa Catarina UnisulVirtual - Educação Superior a Distância Cam pus UnisulVirtual Rua João Pereira dos Santos, 303 Palhoça - SC - 88130-475 Fone/fax: (48) 3279-1541 e 3279-1542 E-m ail: cursovirtual@unisul.br Site: www.virtual.unisul.br Reitor Unisul Gerson Luiz Joner da Silveira Vice-Reitor e Pró-Reitor Acadêm ico Sebastião Salésio Heerdt Chefe de gabinete da Reitoria Fabian Martins de Castro Pró-Reitor Adm inistrativo Marcus Vinícius Anátoles da Silva Ferreira Cam pus Sul Diretor: Valter Alves Schm itz Neto Diretora adjunta: Alexandra Orsoni Cam pus Norte Diretor: Ailton Nazareno Soares Diretora adjunta: Cibele Schuelter Cam pus UnisulVirtual Diretor: João Vianney Diretora adjunta: Jucim ara Roesler Equipe UnisulVirtual Adm inistração Renato André Luz Valm ir Venício Inácio Bibliotecária Soraya Arruda W altrick Cerim onial de Form atura Jackson Schuelter W iggers Coordenação dos Cursos Adriano Sérgio da Cunha Ana Luisa Mülbert Ana Paula Reusing Pacheco Cátia Melissa S. Rodrigues (Auxiliar) Charles Cesconetto Diva Marília Flemm ing Itamar Pedro Bevilaqua Janete Elza Felisbino Jucim ara Roesler Lilian Cristina Pettres (Auxiliar) Lauro José Ballock Luiz Guilherm e Buchmann Figueiredo Luiz Otávio Botelho Lento Marcelo Cavalcanti Mauri Luiz Heerdt Mauro Faccioni Filho M ichelle Denise Durieux Lopes Destri Moacir Heerdt Nélio Herzmann Onei Tadeu Dutra Patrícia Alberton Patrícia Pozza Raulino Jacó Brüning Rose Clér E. Beche Design Gráfico Cristiano Neri Gonçalves Ribeiro (coordenador) Adriana Ferreira dos Santos Alex Sandro Xavier Evandro Guedes Machado Fernando Roberto Dias Zimmerm ann Higor Ghisi Luciano Pedro Paulo Alves Teixeira Rafael Pessi Vilson Martins Filho Equipe Didático-Pedagógica Angelita Marçal Flores Carm en Maria Cipriani Pandini Caroline Batista Carolina Hoeller da Silva Boeing Cristina Klipp de Oliveira Daniela Erani Monteiro W ill Dênia Falcão de Bittencourt Enzo de Oliveira Moreira Flávia Lum i Matuzawa Karla Leonora Dahse Nunes Leandro Kingeski Pacheco Ligia Maria Soufen Tum olo Márcia Loch Patrícia Meneghel Silvana Denise Guim arães Tade-Ane de Am orim Vanessa de Andrade Manuel Vanessa Francine Corrêa Viviane Bastos Viviani Poyer Logística de Encontros Presenciais Marcia Luz de Oliveira (Coordenadora) Aracelli Araldi Graciele Marinês Lindenmayr Guilherm e M. B. Pereira José Carlos Teixeira Letícia Cristina Barbosa Kênia Alexandra Costa Herm ann Priscila Santos Alves Logística de M ateriais Jeferson Cassiano Almeida da Costa (coordenador) Eduardo Kraus M onitoria e Suporte Rafael da Cunha Lara (coordenador) Adriana Silveira Caroline Mendonça Dyego Rachadel Edison Rodrigo Valim Francielle Arruda Gabriela Malinverni Barbieri Josiane Conceição Leal Maria Eugênia Ferreira Celeghin Rachel Lopes C. Pinto Sim one Andréa de Castilho Tatiane Silva Vinícius Maycot Sera. m Produção Industrial e Suporte Arthur Emmanuel F. Silveira (coordenador) Francisco Asp Projetos Corporativos Diane Dal Mago Vanderlei Brasil Secretaria de Ensino a Distância Karine Augusta Zanoni (secretária de ensino) Ana Luísa M ittelztatt Ana Paula Pereira Djeim e Samm er Bortolotti Carla Cristina Sbardella Franciele da Silva Bruchado Grasiela Martins Jam es Marcel Silva Ribeiro Lamuniê Souza Liana Pamplona Marcelo Pereira Marcos Alcides Medeiros Junior Maria Isabel Aragon Olavo Lajús Priscilla Geovana Pagani Silvana Henrique Silva Vilmar Isaurino Vidal Secretária Executiva Viviane Schalata Martins Tecnologia Osmar de Oliveira Braz Júnior (coordenador) Ricardo Alexandre Bianchini Rodrigo de Barcelos Martins Edição --- Livro Didático Professores Conteudistas Abílio Bueno Neto Davi Solonca Design Instrucional Dênia Falcão de Bittencourt Viviane Bastos Projeto Gráfico e Capa Equipe UnisulVirtual Diagram ação Vilson Martins Filho Evandro Guedes Machado (3º edição) Revisão Ortográfica Revisare Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09 Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 UNIDADE 1 – Introdução à auditoria de sistemas informatizados . . . . . 15 UNIDADE 2 – Organização da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 UNIDADE 3 – Política desegurança de informações . . . . . . . . . . . . . . . . . . 81 UNIDADE 4 – Plano de contingência e de continuidade de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 UNIDADE 5 – Auditoria de sistemas informação . . . . . . . . . . . . . . . . . . . . 141 Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Respostas e comentários das atividades de auto-avaliação . . . . . . . . . . . . 187 Sumário auditoria_de_sistemas_informatiz7 7auditoria_de_sistemas_informatiz7 7 22/12/2006 12:17:0522/12/2006 12:17:05 auditoria_de_sistemas_informatiz8 8auditoria_de_sistemas_informatiz8 8 22/12/2006 12:17:0622/12/2006 12:17:06 Palavras dos professores A profi ssão de auditor já existe há um bom tempo, mas com o passar dos tempos muitas mudanças ocorreram no mundo dos negócios, fazendo com que a profi ssão de auditor também sofresse algumas alterações. O auditor de sistemas informatizados é uma pessoa que acima de tudo deve estar atenta às novidades de mercado, pois todos os dias são descobertas novas formas de se invadir os computadores e redes. São vários os desafi os que devem ser ultrapassados por um auditor, pois com os constantes avanços tecnológicos, auditar sistemas torna-se cada dia mais difícil. Um dos objetivos deste livro é minimizar de alguma forma, parte da carência de informação nesta área, que é nova, mas desde seu início muito promissora. Um dos desafi os de se escrever sobre este assunto é que os livros que tratam de segurança de informações são muito técnicos, o que pode difi cultar o aprendizado. De outra parte, os livros que tratam sobre auditoria deixam, muito a desejar no que diz respeito a atualizações tecnologicas. Este desafi o foi o principal motivador para se escrever a respeito deste assunto. Esperamos que este trabalho sirva de fonte de consulta para auditores iniciantes, para analistas de sistemas de informação que passaram a ser auditores e para executivos que pretendem formar a sua equipe de auditores. Seja bem-vindo à disciplina Auditoria de Sistemas Informatizados. auditoria_de_sistemas_informatiz9 9auditoria_de_sistemas_informatiz9 9 22/12/2006 12:17:0622/12/2006 12:17:06 auditoria_de_sistemas_informatiz10 10auditoria_de_sistemas_informatiz10 10 22/12/2006 12:17:0622/12/2006 12:17:06 Plano de estudo O plano de estudo tem por objetivo orientar você no desenvolvimento da disciplina. Ele possui elementos que o ajudarão a conhecer o seu contexto e a organizar o seu tempo de estudo. Ementa da disciplina Fundamentos. Responsabilidades legais. Classifi cação de serviços. Procedimentos genéricos e específi cos para exames e seus respectivos relatórios e certifi cados. Aspectos de auditoria de controle geral, segurança, aplicações, desempenho, fraude, uso do sistema e equipamentos. Pontos de controle e trilhas de auditoria. Controle pré-operacional, operacional, de processamento e documental. Relatório de auditoria de sistemas. Auditoria computadorizada: validação de valores, programas específi cos de auditoria, verifi cação lógica dos programas, monitoria on-line do sistema. Créditos: 4 Objetivo(s) Geral Desenvolver habilidades para realização de auditoria de sistemas nos diversos campos de atuação. Específi cos Estudar os conceitos que envolvem a auditoria. Conhecer a organização de um trabalho de auditoria. auditoria_de_sistemas_informatiz11 11auditoria_de_sistemas_informatiz11 11 22/12/2006 12:17:0622/12/2006 12:17:06 12 Conhecer os diversos componentes de uma política de segurança. Identifi car a necessidade e as características de um plano de continuidade de negócios. Identifi car os passos necessários de um trabalho de auditoria de sistemas de informação. Agenda de atividades Verifi que com atenção o cronograma no “EVA” e organize-se para acessar periodicamente o espaço das disciplinas cursadas. Lembre-se que o sucesso nos seus estudos depende da priorização do tempo para a leitura, da realização de análises e sínteses do conteúdo e da interação com os seus colegas e professor tutor. Antes de iniciar a realização das atividades de avaliação, leia com atenção os critérios de avaliação apresentados pelo professor tutor no plano de ensino da disciplina no “EVA”. Não perca os prazos das atividades. Registre no espaço, a seguir, as datas-chave com base no cronograma disponibilizado no EVA. auditoria_de_sistemas_informatiz12 12auditoria_de_sistemas_informatiz12 12 22/12/2006 12:17:0622/12/2006 12:17:06 13 Atividades Avaliação a distância 1 (AD 1) Avaliação presencial (AP) Avaliação fi nal (AF) Demais atividades (registro pessoal) Habitue-se a usar o quadro para agendar e programar as atividades relativas ao desenvolvimento da disciplina. auditoria_de_sistemas_informatiz13 13auditoria_de_sistemas_informatiz13 13 22/12/2006 12:17:0622/12/2006 12:17:06 14 auditoria_de_sistemas_informatiz14 14auditoria_de_sistemas_informatiz14 14 22/12/2006 12:17:0622/12/2006 12:17:06 UNIDADE 1 Introdução à auditoria de sistemas informatizados Objetivos de aprendizagem Ao fi nal desta unidade, você terá subsídios para: contextualizar a evolução dos sistemas computacionais e da necessidade da segurança da informação. entender o conceito de auditoria e, mais especifi camente, da auditoria de sistemas informatizados. compreender a importância da auditoria de sistemas informatizados. conhecer os desafi os éticos e sociais da tecnologia da informação. Seções de estudo Apresentamos, a seguir, as seções para você estudar. Seção 1 Evolução dos sistemas computacionais e de segurança da informação Seção 2 Quais são os conceitos básicos da auditoria? Seção 3 Qual é o tipo da auditoria objeto deste estudo? Seção 4 Por que auditar? Seção 5 Quais são os desafi os éticos da auditoria de sistemas informatizados? Após a leitura dos conteúdos, realize as atividades de auto-avaliação propostas no fi nal da unidade e no EVA. 1 auditoria_de_sistemas_informatiz1 1auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:0622/12/2006 12:17:06 16 Universidade do Sul de Santa Catarina Para início de estudo Para você que está prestes a iniciar os estudos na área de auditoria, algumas considerações são necessárias. Esta unidade pretende conceituar a auditoria de sistemas informatizados. Para que o seu conceito e importância fi quem claros, na primeira seção será abordada a evolução dos sistemas de informação. Nas terceira e quarta seções são enfocados os desafi os éticos que permeiam a tecnologia de informação e a importância da auditoria nos sistemas informatizados. Bom estudo! Seção 1 – Evolução dos sistemas computacionais e dos de segurança da informação Nem sempre o bem mais precioso de uma empresa se encontra no fi nal da sua linha de produção, na forma de um produto acabado ou de algum serviço prestado Ele pode estar nas informações relacionadas a este produto ou serviço. A crescente utilização de soluções informatizadas nas diversas áreas de serviços exige níveis de segurança adequados e maior exposição dos valores e informações. A evolução da tecnologia de informação, migrando de um ambiente centralizado para um ambiente distribuído, interligando redes internas e externas, somada à revolução da Internet, mudou a forma de se fazer negócios. Isto fez com que as empresasse preocupassem mais com o controle de acesso às suas informações bem como a proteção dos ataques, tanto internos quanto externos. Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança já fi cou um pouco auditoria_de_sistemas_informatiz2 2auditoria_de_sistemas_informatiz2 2 22/12/2006 12:17:0622/12/2006 12:17:06 17 Auditoria de Sistemas Informatizados Unidade 1 mais sofi sticada, englobando controles lógicos, porém ainda centralizados. (CRONIN, 1996) Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua implementação e gerência. Paralelamente, os sistemas de informação também adquiriram uma importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável. A esta constatação, você pode adicionar o fato de que hoje em dia não existem mais empresas que não dependam da tecnologia da informação, num maior ou menor grau. Pelo fato de que esta mesma tecnologia permitiu o armazenamento de grande quantidade de informações em um local restrito e centralizado, criou-se aí uma grande oportunidade ao acesso não autorizado. A segurança da informação tornou-se estratégica, pois interfere na capacidade das organizações de realizarem negócios e no valor de seus produtos no mercado. Em tempos de economia nervosa e racionalização de investimentos, a utilização de recursos deve estar focada naquilo que mais agrega ao valor do negócio. Visando minimizar as ameaças, a ISO (International Standardization Organization) e a ABNT (Associação Brasileira de Normas Técnicas), em sintonia com a ISO, publicaram uma norma internacional para garantir a segurança das informações nas empresas, a ISO 17799:1. As normas ISO e ABNT são resultantes de um esforço internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança efi ciente e universal. auditoria_de_sistemas_informatiz3 3auditoria_de_sistemas_informatiz3 3 22/12/2006 12:17:0722/12/2006 12:17:07 18 Universidade do Sul de Santa Catarina Quais são as ameaças? Este modelo tem como característica principal tentar preservar a disponibilidade, a integridade e o caráter confi dencial da informação. O comprometimento do sistema de informações, por problemas de segurança, pode causar grandes prejuízos à organização. Diversos tipos de incidentes podem ocorrer a qualquer momento, podendo atingir a informação confi dencial, a integridade e disponibilidade. Problemas de quebra de confi dência, por vazamento ou roubo de informações sigilosas, podem expor para o mercado ou concorrência as estratégias ou tecnologias da organização, eliminando um diferencial competitivo, comprometendo a sua efi cácia, podendo perder mercado e até mesmo ir à falência. Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois deixar uma organização sem matéria-prima ou sem suprimentos importantes ou mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem perante os clientes, gerando problemas com custos e levando a margem de lucro a fi car bem comprometida. Problemas de integridade, causados por invasão ou fatores técnicos em dados sensíveis, sem uma imediata percepção, irão impactar sobre as tomadas de decisões. Decisões erradas fatalmente reduzirão o faturamento ou aumentarão os custos, afetando novamente a margem de lucros. A invasão da página de Internet de uma empresa, com modifi cação de conteúdo, ou até mesmo a indisponibilidade de serviços on-line, revela a negligência com a segurança da informação e causa perdas fi nanceiras a quem sofreu algum tipo de ataque. auditoria_de_sistemas_informatiz4 4auditoria_de_sistemas_informatiz4 4 22/12/2006 12:17:0722/12/2006 12:17:07 19 Auditoria de Sistemas Informatizados Unidade 1 Contudo, você pode inferir que elementos fundamentais para a sobrevivência das empresas estão relacionados com segurança da informação, a qual contribui muito para a sua lucratividade e sobrevivência, ou seja, agrega valor ao negócio e garante o retorno do investimento feito. Agora que você pode entender a importância para uma organização de tomar medidas para salvaguardar suas informações, acompanhe, na próxima seção, conceitos básicos para quem começa a estudar auditoria. Seção 2 – Quais são os conceitos básicos da auditoria? Alguns conceitos básicos relacionados com a auditoria são: campo, âmbito e área de verifi cação. O campo compõe-se de aspectos como: objeto, período e natureza da auditoria. O objeto é defi nido como o “alvo” da auditoria, pode ser uma entidade completa (corporações públicas ou privadas, por exemplo). Período a ser fi scalizado pode ser um mês, um ano ou, em alguns casos, poderá corresponder ao período de gestão do administrador da instituição. A natureza da auditoria poderá ser operacional, fi nanceira ou de legalidade, por exemplo. Na seqüência, você estudará com mais detalhes a natureza (ou tipo) da auditoria. O âmbito da auditoria pode ser defi nido como a amplitude e exaustão dos processos de auditoria, ou seja, defi ne o limite de aprofundamento dos trabalhos e o seu grau de abrangência. A área de verifi cação pode ser conceituada como sendo o conjunto formado pelo campo e âmbito da auditoria. auditoria_de_sistemas_informatiz5 5auditoria_de_sistemas_informatiz5 5 22/12/2006 12:17:0722/12/2006 12:17:07 20 Universidade do Sul de Santa Catarina A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o objetivo de verifi car sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Os procedimentos de auditoria formam um conjunto de verifi cações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor. Controle é a fi scalização exercida sobre as atividades de pessoas, órgãos, departamentos ou sobre produtos, para que estes não se desviem das normas ou objetivos previamente estabelecidos. Existem três tipos de controles. Preventivos usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algum sistema informatizado, por exemplo) Detectivos usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos de tentativas de acesso a um determinado recurso informatizado) Corretivos usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos de contingência, por exemplo) Um dos objetivos desses controles é, primeiramente, a manutenção do investimento feito pela corporação em sistemas informatizados, tendo em vista que os sistemas de informação interconectados de hoje desempenham um papel vital no sucesso empresarial de um empreendimento. A internet e as redes internas similares, ou intranets, e as redes interorganizacionais externas, as chamadas extranets, podem fornecer a infra-estrutura de informação que uma empresa necessita para operações efi cientes, administração efi caz e vantagem competitiva. Entretanto, os sistemas de informação também precisam apoiar as estratégias de negócios, os processos empresariais e as estruturas organizacionais e culturais de um empreendimento. auditoria_de_sistemas_informatiz66auditoria_de_sistemas_informatiz6 6 22/12/2006 12:17:0722/12/2006 12:17:07 21 Auditoria de Sistemas Informatizados Unidade 1 Esses controles também têm como objetivo evitar que algum sinistro venha a ocorrer; não conseguindo evitar, tentar fazer com que o impacto seja pequeno e, se mesmo assim, o impacto for grande, ter em mãos processos que auxiliem a reconstrução do ambiente. O que precisa ser controlado? Em geral, é um check-list que contempla os itens a serem verifi cados durante a auditoria. A concepção desses procedimentos antes do início dos processos de auditoria é de suma importância porque garantirá um aumento da produtividade e da qualidade do trabalho. Como exemplo, pode- se citar que, para o bom andamento de uma partida de futebol, não é aconselhável mudar as regras do jogo enquanto o mesmo estiver acontecendo; faz-se isto antes de começar a partida. Os chamados “achados” de auditoria são fatos importantes observados pelo auditor durante a execução dos trabalhos. Apesar de que geralmente são associados a falhas ou vulnerabilidades, os “achados” podem indicar pontos fortes da corporação auditada. Para que eles façam parte do relatório fi nal de auditoria, os mesmos devem ser relevantes e baseados em fatos e evidências incontestáveis. Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor. Esses registros podem estar em forma de documentos, tabelas, listas de verifi cações, planilhas, arquivos, entre outros. Estes documentos são a base para o relatório de auditoria, pois contêm registro da metodologia utilizada, procedimentos, fontes de informação, enfi m, todas as informações relacionadas ao trabalho de auditoria. auditoria_de_sistemas_informatiz7 7auditoria_de_sistemas_informatiz7 7 22/12/2006 12:17:0722/12/2006 12:17:07 22 Universidade do Sul de Santa Catarina Já na fase da concepção do relatório, são feitas as recomendações de auditoria. Elas são medidas corretivas possíveis, sugeridas pela instituição fi scalizadora ou pelo auditor em seu relatório, para corrigir as defi ciências detectadas durante o trabalho de verifi cação de vulnerabilidades ou defi ciências. Dependendo da competência ou posição hierárquica do órgão fi scalizador, essas recomendações podem se transformar em determinações a serem cumpridas. (DIAS, 2000) Seção 3 – Qual é o tipo de auditoria objeto deste estudo? Vários autores fazem uma classifi cação ou denominação formal sobre a natureza ou sobre os diversos tipos de auditorias existentes. Os tipos mais comuns são classifi cados quanto: à forma de abordagem, ao órgão fi scalizador e à área envolvida. Acompanhe, a seguir, quais são elas: Tabela 1 – Classifi cação dos tipos de auditoria Classifi cação Tipos de auditoria Descrição Quanto à forma de abordagem: Auditoria horizontal auditoria com tema específi co, realizada em várias entidades ou serviços paralelamente. Auditoria orientada focaliza uma atividade específi ca qualquer ou atividades com fortes indícios de fraudes ou erros. Quanto ao órgão fi scalizador: Auditoria interna auditoria realizada por um departamento interno, responsável pela verifi cação e avaliação dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas inefi cientes ou inefi cazes. Este serviço deve ser independente e prestar contas diretamente à classe executiva da corporação. Auditoria externa auditoria realizada por uma empresa externa e independente da entidade que está sendo fi scalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação fi nanceira, a legalidade e regularidade de suas operações. Auditoria articulada trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fi scalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados. auditoria_de_sistemas_informatiz8 8auditoria_de_sistemas_informatiz8 8 22/12/2006 12:17:0822/12/2006 12:17:08 23 Auditoria de Sistemas Informatizados Unidade 1 Quanto à área envolvida Auditoria de programas de governo Acompanhamento, exame e avaliação da execução de programas e projetos governamentais. Auditoria do planejamento estratégico – verifi ca se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas. Auditoria administrativa engloba o plano da organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão. Auditoria contábil é relativa à fi dedignidade das contas da instituição. Esta auditoria, consequentemente, tem como fi nalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. Auditoria fi nanceira conhecida também como auditoria das contas. Consiste na análise das contas, da situação fi nanceira, da legalidade e regularidade das operações e aspectos contábeis, fi nanceiros, orçamentários e patrimoniais, verifi cando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade – conhecida como auditoria de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verifi cando se estão em conformidade com a legislação em vigor. Auditoria operacional incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, efi ciência e efi cácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. Auditoria de sistemas informatizados tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fi scalizada, identifi cando seus pontos fortes e defi ciências. Destas auditorias, qual delas é o seu objeto de estudo? É a auditoria de sistemas informatizados. E como já foi conceituada, a auditoria de sistemas informatizados é um tipo de auditoria operacional, ou seja, analisa a gestão de recursos, focalizando os aspectos de efi ciência, efi cácia, economia e efetividade. auditoria_de_sistemas_informatiz9 9auditoria_de_sistemas_informatiz9 9 22/12/2006 12:17:0822/12/2006 12:17:08 24 Universidade do Sul de Santa Catarina Dependendo da área de verifi cação escolhida, este tipo de auditoria pode abranger: todo o ambiente de informática ou a organização do departamento de informática. Além disso, pode ainda contemplar: os controles sobre banco de dados, redes de comunicação e de computadores e controles sobre os aplicativos. Deste modo, sob o ponto de vista dos tipos de controles citados, a auditoria pode ser separada em duas grandes áreas: Auditoria de segurança de informações - este tipo de auditoria em ambientes informatizados determina a postura ou situação da corporação em relação à segurança. Avalia a política de segurança e os controles relacionados com aspectos de segurança, enfi m, controles que infl uenciam o bom funcionamento dos sistemas de toda a organização. São estes: Avaliação da política de segurança. Controles de acesso lógico. Controles de acesso físico. Controles ambientais. Plano de contingência e continuidade de serviços. Controles organizacionais. Controles de mudanças. De operação dos sistemas. Controles sobre o banco de dados. Controles sobre computadores. Controles sobre ambiente cliente-servidor. auditoria_de_sistemas_informatiz10 10auditoria_de_sistemas_informatiz10 10 22/12/2006 12:17:0822/12/2006 12:17:0825 Auditoria de Sistemas Informatizados Unidade 1 Auditoria de aplicativos - este tipo de auditoria está voltado para a segurança e o controle de aplicativos específi cos, incluindo aspectos que fazem parte da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende: Controles sobre o desenvolvimento de sistemas aplicativos. Controles de entrada, processamento e saída de dados. Controles sobre o conteúdo e funcionamento do aplicativo com relação à área por ele atendida. Esses tipos de auditoria são comumente usados para se alcançarem altos padrões de qualidade no desenvolvimento de softwares: o mais famoso desses modelos é o CMM. (DIAS, 2000) Uma vez compreendida a abrangência e o escopo da auditoria dos sistemas informatizados, compreenda, na seção seguinte, por que auditar. Seção 4 – Por que auditar? Um ditado popular diz que nenhuma corrente é mais forte que seu elo mais fraco; da mesma forma, nenhuma parede é mais forte que a sua porta ou janela mais fraca, de modo que você precisa colocar as trancas mais resistentes possíveis nas portas e janelas. De forma similar é o que acontece quando você implementa segurança em um ambiente de informações. Na realidade, o que se procura fazer é eliminar o máximo possível de pontos fracos ou garantir o máximo de segurança possível para os mesmos. Acima de tudo, o bem mais valioso de uma empresa pode não ser o produzido pela sua linha de produção ou o serviço prestado, mas as informações relacionadas com este bem de consumo ou serviço. Ao longo da história, o ser humano sempre buscou o controle das auditoria_de_sistemas_informatiz11 11auditoria_de_sistemas_informatiz11 11 22/12/2006 12:17:0822/12/2006 12:17:08 26 Universidade do Sul de Santa Catarina informações que lhe eram importantes de alguma forma; isto é verdadeiro mesmo na mais remota antiguidade. O que mudou desde então foram as formas de registros e armazenamento das informações; se na pré- história e até mesmo nos primeiros milênios da idade antiga o principal meio de armazenamento e registro de informações era a memória humana, com o advento dos primeiros alfabetos isto começou a mudar. Mas foi somente nos últimos dois séculos que as informações passaram a ter importância crucial para as organizações humanas. Atualmente, não há organização humana que não seja altamente dependente da tecnologia de informações, em maior ou menor grau. E o grau de dependência agravou-se muito em função da tecnologia de informática, que permitiu acumular grandes quantidades de informações em espaços restritos. O meio de registro é, ao mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgação. Esta característica traz conseqüências graves para as organizações, por facilitar os ataques de pessoas não-autorizadas. Por exemplo, um banco não trabalha exatamente com dinheiro, mas com informações fi nanceiras relacionadas com valores seus e de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de determinação legal ou por se tratarem de informações de natureza pessoal, que controlam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a público. Independente do setor da economia em que a empresa atue, as informações estão relacionadas com seu processo de produção e de negócios, políticas estratégicas, de marketing, cadastro de clientes, etc. Não importa o meio físico em que as informações estão armazenadas, elas são de valor inestimável não só para a empresa que as gerou, como também para seus concorrentes. Em último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes elas estão relacionadas com atividades diárias da empresa que, sem elas, poderia ter difi culdades. auditoria_de_sistemas_informatiz12 12auditoria_de_sistemas_informatiz12 12 22/12/2006 12:17:0922/12/2006 12:17:09 27 Auditoria de Sistemas Informatizados Unidade 1 Tradicionalmente, as empresas dedicam grande atenção de seus ativos físicos e fi nanceiros, mas pouca ou até mesmo nenhuma atenção aos ativos de informação que possuem; esta proteção tradicional pode nem mesmo visar um bem valioso. Da mesma forma que seus ativos tangíveis, as informações envolvem três fatores de produção tradicionais: capital, mão-de-obra e processos. Assim, ainda que as informações não sejam passíveis do mesmo tratamento fi sco-contábil que os outros ativos, do ponto de vista do negócio, elas são um ativo da empresa e, portanto, devem ser protegidas. Isto vale tanto para as informações como para seus meios de suporte, ou seja, para todo o ambiente de informações. (O`BRIEN, 2002). A fi gura 1.1 mostra os fatores econômicos de uma organização, onde o capital, a mão-de-obra e os processos geram os ativos de uma empresa, ou seja, os produtos, os bens e a informações. Figura 1.1 – Fatores econômicos de produção. Fonte: Caruso&Steff en (1999) Numa instituição fi nanceira, o ambiente de informações não está apenas restrito à área de informática, ele chega a mais longínqua localização geográfi ca onde haja uma agência ou representação de qualquer tipo. Enquanto na área de informática os ativos de informação estão armazenados, em sua maior parte, em meios magnéticos, nas áreas fora deste ambiente eles ainda estão representados em grande parte por papéis, sendo muito tangíveis e de entendimento mais fácil por parte de seres humanos. É importante ressaltar que muitas empresas não sobrevivem mais que poucos dias a um colapso do fl uxo de informações, não importando o meio de armazenamento das informações. auditoria_de_sistemas_informatiz13 13auditoria_de_sistemas_informatiz13 13 22/12/2006 12:17:0922/12/2006 12:17:09 28 Universidade do Sul de Santa Catarina E, dada à característica de tais empreendimentos, que no caso de bancos é essencialmente uma relação de confi ança, é fácil prever que isto acarretaria completo descontrole sobre os negócios e até uma corrida ao caixa. A atual dependência das instituições fi nanceiras em relação à informática está se estendendo por toda a economia, tornando aos poucos todas as empresas altamente dependentes dos computadores e, conseqüentemente, cada vez mais sensíveis aos riscos representados pelo eventual colapso do fl uxo de informações de controle gerencial. Os riscos são agravados em progressão geométrica à medida que informações essenciais ao gerenciamento dos negócios são centralizadas e, principalmente, com o aumento do grau de centralização. Ainda que estes riscos sejam sérios, as vantagens dessa centralização são maiores, tanto sob aspectos econômicos, quanto sob aspectos de agilização de processos de tomada de decisão em todos os níveis. Esta agilização é tanto mais necessária, quanto maior for o uso de facilidades de processamento de informação pelos concorrentes. É preciso, antes de qualquer coisa, cercar o ambiente de informações com medidas que garantam sua segurança efetiva a um custo aceitável, pois é impossível obter-se segurança total já que, a partir de um determinado nível, os custos envolvidos tornam-se cada vez mais onerosos e superam os benefícios obtidos. Estas medidas devem estar claramente descritas na política global de segurança da organização, delineando as responsabilidades de cada grau da hierarquia e o grau de delegação de autoridade e, muito importante, estarem claramente sustentadas pela alta direção. A segurança, mais que estrutura hierárquica, os homens e os equipamentos envolvem uma postura gerencial, que ultrapassa a tradicional abordagem da maioria das empresas. Dado ao caráter altamente dinâmico que as atividades relacionadas com o processamento de informações adquiriram ao longo do tempo,a política de segurança de informações deve ser a mais ampla e mais simples possível. auditoria_de_sistemas_informatiz14 14auditoria_de_sistemas_informatiz14 14 22/12/2006 12:17:0922/12/2006 12:17:09 29 Auditoria de Sistemas Informatizados Unidade 1 Como conseqüência da informatização, outros aspectos começam a ser levantados, o acúmulo centralizado de informação, causando um sério problema para a segurança. Os riscos inerentes ao processo agravaram-se e um estudo mais detalhado sobre eles teve que ser realizado. Uma pesquisa realizada pela Módulo Security Solutions aponta os potenciais riscos aos quais a informação está sujeita. A fi gura 2 mostra que a principal ameaça às organizações é o vírus de computador. Figura 1.2 – Principais ameaças às informações nas organizações Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003) As ameaças podem ser defi nidas como sendo agentes ou condições incidentes que comprometem as informações e seus ativos, por meio da exploração de vulnerabilidades. F auditoria_de_sistemas_informatiz15 15auditoria_de_sistemas_informatiz15 15 22/12/2006 12:17:0922/12/2006 12:17:09 30 Universidade do Sul de Santa Catarina O que caracteriza as vulnerabilidades? As vulnerabilidades podem ser conceituadas como sendo fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações, que podem ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: caráter confi dencial, integridade e disponibilidade. As vulnerabilidades por si só não provocam incidentes de segurança, porque são elementos passivos. Porém, quando possuem um agente causador, como ameaças, esta condição favorável causa danos ao ambiente. As vulnerabilidades podem ser: Físicas instalações prediais fora do padrão; salas de CPD mal planejadas; a falta de extintores, detectores de fumaça e outros para combate a incêndio em sala com armários e fi chários estratégicos; risco de explosões, vazamentos ou incêndio. Naturais os computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, o acúmulo de poeira, o aumento de umidade e de temperatura, etc. Hardware falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação. Software erros na aquisição de softwares sem proteção ou na confi guração podem ter como conseqüência uma maior quantidade de acessos indevidos, vazamentos de informações, perda de dados ou indisponibilidade do recurso quando necessário. Mídias discos, fi tas, relatórios e impressos podem ser perdidos ou danifi cados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas. Comunicação acessos de intrusos ou perda de comunicação. Humanas rotatividade de pessoal, falta de treinamento, compartilhamento de informações confi denciais na execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismos, roubos, destruição da propriedade ou dados, invasões ou guerras. auditoria_de_sistemas_informatiz16 16auditoria_de_sistemas_informatiz16 16 22/12/2006 12:17:0922/12/2006 12:17:09 31 Auditoria de Sistemas Informatizados Unidade 1 O que é ser Hacker? O termo genérico para identifi car quem realiza ataques em um sistema de computadores é hacker. Porém, esta generalização possui diversas ramifi cações, pois cada ataque apresenta um objetivo diferente. Por defi nição, hacker são aqueles que utilizam seus conhecimentos para invadir sistemas, sem a intenção de causar danos às vítimas, mas como um desafi o às suas habilidades. Os hackers possuem grande conhecimento de sistemas operacionais e linguagens de programação. Constantemente buscam mais conhecimento, compartilham o que descobrem e jamais corrompem dados intencionalmente. O termo hacker também é defi nido pela RFC- 2828 (2000) como sendo alguma pessoa com um grande interesse e conhecimento em tecnologia, não utilizando eventuais falhas de seguranças descobertas em benefício próprio. Como se tornou um termo genérico para invasores de redes, o termo hacker freqüentemente é usado para designar os elementos que invadem sistemas para roubar informações e causar danos. O termo correto para este tipo de invasor seria cracker ou intruder, que também é utilizado para designar àqueles que decifram códigos e destroem proteções de softwares. O termo cracker ou intruder é defi nido pela RFC-2828 como sendo alguém que tenta quebrar a segurança ou ganhar acesso a sistemas de outras pessoas sem ser convidado, não sendo, obrigatoriamente, uma pessoa com grande conhecimento de tecnologia como o hacker. auditoria_de_sistemas_informatiz17 17auditoria_de_sistemas_informatiz17 17 22/12/2006 12:17:0922/12/2006 12:17:09 32 Universidade do Sul de Santa Catarina O termo hacker existe desde o ano de 1960. A palavra começou a ser usada pelos membros do Tech Model Rail Club, do Instituto de Tecnologia de Massachusetts (MIT), e indicava pessoas com capacidades técnicas para proezas que ninguém mais conseguia. Na área de informática, este termo foi usado para designar programadores prodigiosos, de técnica apurada, visivelmente superior. Podemos classifi car essas pessoas em várias categorias: Carders – Aqueles que fazem compras com cartão de crédito alheio ou gerado, ou seja, os carders têm grande facilidade em fazer compras via internet ou em outro meio. Hackers – Pessoas com um grande interesse e conhecimento em tecnologia, não utilizando eventuais falhas de seguranças em benefício próprio. Porém, não destroem dados. Crackers – Os crackers são como os hackers, porém gostam de ver a destruição. Eles invadem e destroem só para ver o caos formado. Eles apagam todo o sistema sempre deixando a sua marca registrada. Phreacking – São os piratas da telefonia. Eles fazem tudo o que é relativo aos telefones, convencionais ou celulares. (SPYMAN, 2002). Existem muitas maneiras de se atacar os sistemas de informação de uma organização. Na fi gura 3 está disponibilizada uma pesquisa mostrando um balanço dos tipos de ataques mais usados nos cinco últimos anos. Esta pesquisa foi realizada pelo departamento de crimes de computador do FBI. auditoria_de_sistemas_informatiz18 18auditoria_de_sistemas_informatiz18 18 22/12/2006 12:17:1022/12/2006 12:17:10 33 Auditoria de Sistemas Informatizados Unidade 1 Figura 3 – Tipos de ataques mais utilizados Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003) As mais famosas técnicas de ataques às redes corporativas são: Quebra de Senha – O quebrador de senha, ou cracker, é um programa usado pelo hacker para descobrir uma senha do sistema. Uma das formas de quebra são os testes de exaustão de palavras, a decodifi cação criptográfi ca, etc. Denial of Service – Também conhecido como DoS, estes ataques de negação de serviço são aborrecimentos semelhantes aos mails bomba, porém muito mais ameaçadores porque eles podem incapacitar temporariamente uma rede corporativa ou um provedor de acesso. É um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Sua fi nalidade não é o roubo de dados, mas a indisponibilidade de serviço. Existem variantes deste ataque, como o DoS distribuído, chamado DDoS, ou seja, a tentativa de sobrecarregar o I/O de algum serviço é feita de vários locais ao mesmo tempo. auditoria_de_sistemas_informatiz19 19auditoria_de_sistemas_informatiz19 19 22/12/2006 12:17:1022/12/200612:17:10 34 Universidade do Sul de Santa Catarina Cavalo de tróia – É um programa disfarçado que executa alguma tarefa maligna. Um exemplo, o usuário roda um jogo qualquer que foi pego na internet. O jogo instala o cavalo-de-tróia, que abre uma porta TCP (Transmission Control Protocol) no micro para a invasão. Este software não propaga a si mesmo de um computador para outro. Há também o cavalo-de-tróia dedicado a roubar senhas e outros dados. Mail Bomb – É considerado como dispositivo destrutivo. Utiliza a técnica de inundar um computador com mensagens eletrônicas. Em geral, o agressor usa um script para gerar um fl uxo contínuo de mensagens e abarrotar a caixa postal de alguém. A sobrecarga tende a provocar uma negação de serviço, ou um DoS no servidor de correio eletrônico. Não há perda de dados na maioria dos casos. Phreacking – é o uso indevido das linhas telefônicas, fi xas e celulares. No passado, os phreackers empregavam gravadores de fi ta e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefônicas foram reforçando a segurança, as técnicas foram fi cando cada vez mais difíceis. Hoje em dia é uma atividade muito elaborada, que poucos conhecem. Scanners de Porta – São programas que buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias, em horários aleatórios. Smurf – É outro tipo de ataque de negação de serviço. O agressor envia uma rápida seqüência de solicitações de ping (um teste para verifi car se um servidor está acessível) para um endereço de brodcast. Usando spoofi ng, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim o computador alvo é inundado pelo Ping. auditoria_de_sistemas_informatiz20 20auditoria_de_sistemas_informatiz20 20 22/12/2006 12:17:1122/12/2006 12:17:11 35 Auditoria de Sistemas Informatizados Unidade 1 Spoofi ng – É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. Há muitas variantes, como o spoofi ng de IP. Para executá- lo, o invasor altera o cabeçalho dos pacotes IP, de modo que pareça estar vindo de uma outra máquina, possivelmente, uma que tenha cesso liberado. Sniff er – É um programa ou dispositivo que analisa o tráfego na rede. Sniff ers são úteis e usados normalmente para o gerenciamento de redes. Porém nas mãos erradas, é uma ferramenta poderosa no roubo de informações sigilosas. Vírus – São programas desenvolvidos para alterar softwares instalados em um computador, ou mesmo apagar todas as informações existentes no computador. Possuem comportamento semelhante ao vírus biológico, multiplicam-se, precisam de hospedeiros, esperam o momento certo para o ataque e tentam se esconder para não serem exterminados. A internet e o correio eletrônico são hoje os principais meios de propagação de vírus. A RFC-2828 defi ne vírus como sendo um software com a capacidade de se duplicar, infectando outros programas. Um vírus não pode se auto-executar, requer que o programa hospedeiro seja executado para ativá-lo. Worm – São programas auto-replicantes que não alteram arquivos, mas residem na memória ativa e se duplicam por meio de redes de computador. Os worms utilizam recursos do sistema operacional para ganhar acesso ao computador e, ao se replicarem, usam recursos do sistema, tornando as máquinas lentas e interrompendo outras funções. Um worm é um programa de computador que pode se auto- executar, propagar-se pelos computadores de uma rede, podendo consumir os recursos do computador destrutivamente (RFC-2828, 2000). auditoria_de_sistemas_informatiz21 21auditoria_de_sistemas_informatiz21 21 22/12/2006 12:17:1122/12/2006 12:17:11 36 Universidade do Sul de Santa Catarina Após ter acompanhado esta série de possíveis vulnerabilidades, acreditamos que você esteja convencido de que auditar é preciso, não é mesmo? Auditar é preciso porque o uso inadequado dos sistemas informatizados pode impactar uma sociedade. Informação com pouca precisão pode causar a alocação precipitada de recursos dentro das corporações e as fraudes podem ocorrer devido à falta de sistemas de controle. Então, para garantir que os investimentos feitos em tecnologia da informação retornem para a empresa na forma de lucros, custos menores e um menor custo total de propriedade é que o auditor de sistemas informatizados irá atuar. De posse dos objetivos, normas ou padrões da corporação o auditor irá verifi car se tudo está funcionando como deveria. Ainda para ilustrar a importância da atuação do auditor, acompanhe, na seqüência, algumas estatísticas sobre os ataques aos sistemas de informação. A Tabela 2 mostra quais são as medidas tomadas pelas organizações no que diz respeito à segurança no ano de 2003. Tabela 2 – As medidas de segurança mais utilizadas pelas empresas brasileiras no ano de 2003. “TOP 10” MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADAS Ranking 2003 Medidas de Segurança % 1º Antivírus 90 2º Sistema de backup 76,5 3º Firewall 75,5 4º Política de segurança 72,5 5º Capacitação técnica 70 6º Software de controle de acesso 64 7º Segurança física na sala de servidores 63 8º Proxy server 62 9º Criptografi a 57 10º Análise de riscos 56 Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003) auditoria_de_sistemas_informatiz22 22auditoria_de_sistemas_informatiz22 22 22/12/2006 12:17:1122/12/2006 12:17:11 37 Auditoria de Sistemas Informatizados Unidade 1 O maior investimento em TI por profi ssionais da área foi em antivirus, já que uma grande quantidade de empresas tem sofrido ataques ou até mesmo deixou de fi car com seus serviços disponíveis. Logo em seguida, a maior preocupação são os sistemas de backup. E veja que a política de segurança está em quarto lugar. Nota-se pela pesquisa da fi gura 5 que o roubo de informações e a negação de serviço, ou seja, parar de disponibilizar dados, informações e aplicações são os ataques que mais dão prejuízos para as organizações. Figura 5 – Perdas fi nanceiras relacionadas com os tipos de ataques realizados Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003) auditoria_de_sistemas_informatiz23 23auditoria_de_sistemas_informatiz23 23 22/12/2006 12:17:1122/12/2006 12:17:11 38 Universidade do Sul de Santa Catarina Apesar das vulnerabilidades, não são todas as empresas que prontamente investem em sistemas de segurança de informações, porque os responsáveis por manter o ambiente funcionando enfrentam algumas difi culdades para conseguir estes recursos. Figura 6 – Principais obstáculos para a implementação da Segurança Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003) Falta de consciência dos executivos (23%), difi culdade em demonstrar o retorno (18%) e custo de implementação (16%) foram considerados os três principais obstáculos para implementação da segurança nas empresas, como ilustrado na fi gura 7. (MÓDULO, 2003) Quando questionados sobre a fonte de informações para se obter discernimento a respeito do que fazer quando se trata de segurança, os entrevistados se mostraram bastante informados a respeito, e apontaram as referências, normas e legislações que falam sobre o assunto. auditoria_de_sistemas_informatiz24 24auditoria_de_sistemas_informatiz24 24 22/12/2006 12:17:4722/12/2006 12:17:47 39 Auditoria de Sistemas Informatizados Unidade 1 Figura 7 – Adequação a legislação / Normas e Regulamentação Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo SecuritySolutions (2003) Sobre as legislações, normas e regulamentações de segurança que norteiam suas organizações, 63,5% dos entrevistados apontaram a ISO 17799; 37% as publicações do Governo Federal (decreto 4553 e outros); 30% as publicações do Banco Central (resolução 2554 e outras); 27% a Regulamentação da ICP-Brasil; 20% o COBIT e 20% as Publicações da CVM (Resolução 358 e outras). Você compreendeu a importância de realizar auditoria de sistemas informatizados, conheceu as principais vulnerabilidades que ameaçam estes sistemas, bem como entendeu as funções de um auditor. A seção seguinte propõe que você estude e refl ita sobre os desafi os éticos da auditoria de sistemas informatizados. auditoria_de_sistemas_informatiz25 25auditoria_de_sistemas_informatiz25 25 22/12/2006 12:17:4722/12/2006 12:17:47 40 Universidade do Sul de Santa Catarina Seção 5 – Quais são os desafi os éticos da auditoria de sistemas informatizados? Esta seção, convida você a realizar uma leitura e uma refl exão sobre assuntos que lhe farão entender melhor os desafi os éticos do auditor de sistemas informatizados. Para iniciar, realize uma breve refl exão sobre o dito por Aristóteles e a questão dos atos justos: “Sendo os atos justos e injustos tais como os descrevemos, um homem age de maneira justa ou injusta sempre que pratica tais atos voluntariamente. Quando os pratica involuntariamente, seus atos não são justos nem injustos, salvo por acidente, isto é, porque ele fez muitas coisas que redundam em justiças ou injustiças. É o caráter voluntário ou involuntário do ato que determina se ele é justo ou injusto, pois, quando é voluntário, é censurado, e pela mesma razão torna-se um ato de injustiça; de forma que existem coisas que são injustas, sem que, no entanto sejam atos de injustiça, se não estiver presente também a voluntariedade”. Pois é, dentro das corporações, questões éticas estão envolvidas em muitas decisões estratégicas, como por exemplo, no desenvolvimento de novos produtos, em questões ambientais ou até mesmo no salário de seus funcionários. Essas decisões podem, em alguns casos, afetar diretamente o desempenho da empresa. Por conseqüência, essas oportunidades podem envolver um verdadeiro desafi o à ética, não é mesmo? Só para direcioná-lo mais no assunto em questão, considere que estamos no meio de uma revolução da informação, onde nossa capacidade de adquirir, manipular, armazenar e transmitir informações foi fortemente ampliada. Com a tecnologia da internet, atualmente é possível conseguir várias informações dos mais variados cantos do mundo em uma fração de segundos. Em contrapartida, graças a esta mesma tecnologia, várias oportunidades de práticas éticas ou não vieram à tona, não concorda? oportuno voltarmos nossa atenção para os auditoria_de_sistemas_informatiz26 26auditoria_de_sistemas_informatiz26 26 22/12/2006 12:17:4722/12/2006 12:17:47 41 Auditoria de Sistemas Informatizados Unidade 1 fundamentos fi losófi cos das questões éticas. Segundo O’Brien (2002), quatro fi losofi as éticas são básicas: Egoísmo – o que é melhor para um determinado indivíduo é o correto. Lei natural – os homens devem promover sua própria vida, propagar-se, buscar conhecimento do mundo, buscar relações íntimas com outras pessoas e submeter-se à autoridade legítima. Utilitarismo – são corretas as ações que produzem o bem máximo para o maior número de pessoas. Respeito pelas pessoas – as pessoas devem ser tratadas como fi m e não como meio para um fi m; e as ações são corretas se todos adotarem a regra moral pressuposta pela ação. Afi nal o que é Ética? A ética é uma característica inerente a toda ação humana e, por esta razão, é um elemento vital na produção da realidade social. Todo homem possui um senso ético, uma espécie de “consciência moral”, estando constantemente avaliando e julgando suas ações para saber se são boas ou más, certas ou erradas, justas ou injustas. A ética está relacionada à opção, ao desejo de realizar a vida, mantendo com os outros relações justas e aceitáveis. Normalmente, está fundamentada nos ideais de bem e virtude, que são valores perseguidos por todo ser humano e cujo alcance se traduz numa existência plena e feliz. Hoje, mais do nunca, a atitude dos profi ssionais em relação às questões éticas pode ser a diferença entre o seu sucesso ou fracasso. Ser ético nada mais é do que agir direito, proceder bem, sem prejudicar os outros. Ser ético é, também, agir de acordo com os valores morais de uma determinada sociedade. Essas regras morais são o resultado da própria cultura de auditoria_de_sistemas_informatiz27 27auditoria_de_sistemas_informatiz27 27 22/12/2006 12:17:4822/12/2006 12:17:48 42 Universidade do Sul de Santa Catarina uma comunidade. Elas variam de acordo com o tempo e sua localização no mapa. A regra ética é uma questão de atitude, de escolha. Já a regra jurídica não prescinde de convicção íntima - as leis têm que ser cumpridas independentemente da vontade das pessoas. A ética não é algo superposto à conduta humana, pois todas as nossas atividades envolvem uma carga moral. A pessoa e a organização são mais efi cientes quando há congruência entre valores e as crenças a respeito de como o trabalho deve ser feito e as expectativas e exigências da organização em relação ao sucesso. (JACOMINO, 2000) A empresa que almeje ser ética deve divulgar declarações precisas, defi nindo as regras e deve criar procedimentos de verifi cação para assegurar que todos na organização as estão cumprindo. Por que é importante saber a importância das dimensões éticas na utilização da tecnologia da informação? Um ponto de vista é quando você percebe, por exemplo, que o impacto causado pela tecnologia da informação sobre o emprego é uma preocupação ética muito importante e está diretamente relacionada ao uso dos computadores para se conseguir um determinado grau de automação. Não há dúvidas que ao advento dos sistemas informatizados veio aumentar a produtividade, ao mesmo tempo em que diminuiu a oferta de determinadas oportunidades de trabalho. Aplicações, computadores e máquinas automatizadas realizam tarefas que antes eram realizadas por vários trabalhadores. O que existe hoje é uma procura por habilidades diferentes, formando o grupo de usuários de computadores e o grupo de administradores de computadores, de forma que, se você não tem uma ou outra habilidade, as chances de conseguir uma oportunidade de trabalho diminuem bastante. Esta questão é um problema a ser superado no Brasil, onde 50% das vagas na área de tecnologia da informação não são preenchidas por falta de mão-de-obra qualifi cada. Apenas 11% dos jovens na faixa etária entre 18 e 24 anos cursam o ensino auditoria_de_sistemas_informatiz28 28auditoria_de_sistemas_informatiz28 28 22/12/2006 12:17:4822/12/2006 12:17:48 43 Auditoria de Sistemas Informatizados Unidade 1 superior e 64% da população empregada nem sequer completou o primeiro grau. Se o panorama nacional nos faz crer que a demanda por recursos humanos não será preenchida a curto prazo, está mais do que na hora das empresas baseadas no Brasil proporem soluções que visem minimizar este cenário e sejam capazes de transformar bits e bytes em poderosa vantagem competitiva para todos. Nesta perspectiva, em contrapartida, surge a possibilidade da gestão do conhecimento, a qual, com uma coleção de processos, governa a criação, disseminação e utilização do conhecimento para atingir plenamente os objetivos da organização. A gestão do conhecimento lida principalmente com os aspectos que são críticos para a adaptação e sobrevivência da empresa diante de um ambiente de mudança crescente e descontínua. O conhecimento é a chave para o poder nos negóciose as empresas que se voltam para a gestão do conhecimento, necessitam de uma abordagem que veja a organização como uma comunidade humana, cujo conhecimento coletivo representa um diferencial competitivo em relação à concorrência. É no conhecimento coletivo que se baseiam as competências competitivas essenciais. A Tecnologia da Informação tem um papel fundamental que muitas vezes tem sido negligenciado ou até mesmo tem passado despercebido na maioria das empresas e órgãos de informática. As competências essenciais e o conhecimento coletivo baseiam- se em informações de negócio: conhecimento e experiência. O papel a ser desempenhado pela TI é estratégico: ajudar o desenvolvimento coletivo e o aprendizado contínuo, tornando mais fácil para as pessoas na organização compartilharem problemas, expectativas, idéias e soluções. E em meio a este ambiente competitivo do mundo contemporâneo, o principal desafi o das organizações está em estabelecer os padrões éticos nas relações entre pessoas e empresas. auditoria_de_sistemas_informatiz29 29auditoria_de_sistemas_informatiz29 29 22/12/2006 12:17:4822/12/2006 12:17:48 44 Universidade do Sul de Santa Catarina Como aplicar a ética no campo de novas tecnologias? Não podemos ser inocentes e pensar que empresas são apenas entidades jurídicas. Empresas são formadas por pessoas e só existem por causa delas. Por trás de qualquer decisão, de qualquer erro ou imprudência estão seres de carne e osso. E são eles que vão viver a glória ou o fracasso da organização. Por isso, quando falamos de empresa ética, estamos falando de pessoas éticas. Uma política interna mal defi nida por um funcionário de qualquer nível pode denegrir dois dos maiores patrimônios de uma empresa: a marca e a imagem. Além de ser individual, qualquer decisão ética tem por trás um conjunto de valores fundamentais. Muitas dessas virtudes nasceram no mundo antigo e continuam válidas até hoje. Eis algumas das principais: ser honesto em qualquer situação, ter coragem para assumir as decisões, ser tolerante e fl exível, ser íntegro e ser humilde. A internet tem modifi cado o comportamento humano, incentivando a paixão pelo conhecimento, educação e cultura. A sociedade contemporânea valoriza comportamentos que praticamente excluem qualquer possibilidade de cultivo de relações éticas. É fácil verifi car que o desejo obsessivo na obtenção, possessão e consumo da maior quantidade possível de bens materiais é o valor central na nova ordem estabelecida no mundo e que o prestígio social é concedido para quem consegue esses bens. Esse desejo se tornou mais voluptuoso e de acesso mais fácil depois da ascensão do comércio eletrônico na internet. A pessoa que antes devia fazer um mínimo esforço para uma compra ou aquisição, hoje se vê diante de um mar de ofertas da tela do seu computador. O sucesso material passou a ser sinônimo de sucesso social e o êxito pessoal deve ser adquirido a qualquer custo. auditoria_de_sistemas_informatiz30 30auditoria_de_sistemas_informatiz30 30 22/12/2006 12:17:4822/12/2006 12:17:48 45 Auditoria de Sistemas Informatizados Unidade 1 Um dos campos mais carentes, no que diz respeito à aplicação da ética, é o das novas tecnologias e nisto inclui-se a internet. Não existe uma legislação prevendo condutas ou regras e com isso fi ca muito perto o limite da ética no trabalho e exercício profi ssional. Uma das principais e mais evidentes realidades da internet é o individualismo extremo. Este fator, muitas vezes associado à falta de ética pessoal, tem levado alguns profi ssionais a defender seus interesses particulares acima dos interesses das empresas em que trabalham, colocando-as em risco. Este quadro nos remete diretamente à questão da formação de recursos humanos, pois as pessoas são a base de qualquer tentativa de iniciar o resgate da ética nas empresas e nas relações de trabalho e gestão do conhecimento. Ética, além de ser a ciência que estuda o comportamento moral das pessoas na sociedade, é um investimento. Um investimento que traz bons frutos a longo prazo. É importante entender que o conceito de que estender benefícios à sociedade é um meio concreto de abraçar a ética e criar uma boa imagem para a empresa. Na internet, por exemplo, é extremamente necessário se ter credibilidade para que a empresa possa sobreviver no comércio eletrônico. (SROUR, R. H., 1998) O ambiente organizacional sob a ótica da ética na gestão do conhecimento O conhecimento antropológico nos ensina que não se deve confundir normas morais, socialmente praticadas, com pautas abstratas, universais e anistóricas, pois elas são padrões sociais convencionados que espelham condições históricas bem determinadas. Você deve distinguir, entretanto, normas jurídicas (leis, regulamentos) e normas morais. auditoria_de_sistemas_informatiz31 31auditoria_de_sistemas_informatiz31 31 22/12/2006 12:17:4822/12/2006 12:17:48 46 Universidade do Sul de Santa Catarina Ambas as normas regulamentam as relações sociais, postulam condutas obrigatórias, assumem a forma de imperativos e visam a garantir a coesão social. A moral é um discurso de justifi cação e se encontra no coração da ideologia. É um dos mais poderosos mecanismos de reprodução social, porque defi ne o que é permitido e proibido, justo e injusto, lícito e ilícito, certo e errado. Há inúmeras situações carentes de normalização que não remetem às confortáveis dicotomias do tipo branco e preto. Diante delas, as opiniões se dividem, exacerbadas porque os interesses subjacentes convivem em frontal oposição. Quem será benefi ciado e quem sairá prejudicado? Eis a justifi cativa de uma competente refl exão ética. Vale a pena distinguir entre: racionalizações, que são situações em que o agente sabe o que é certo fazer, mas deixa de fazer mediante justifi cações e dilemas, que são situações em que o agente não sabe o que é certo fazer e patina na incerteza moral. Como ser ético num mundo em que se confrontam valores e fi ns que, por sua própria pluralidade, sustentam a irracionalidade ética do mundo? Toda tomada de decisão processa-se num contexto em que interesses contraditórios se movimentam, tenham ou não consciência os agentes envolvidos. Tal ou qual curso de ação benefi cia quem? Quais interesses estão em jogo? Os interesses gerais, nacionais, públicos ou comunitários? Os interesses universais, coletivos, sociais ou os interesses paroquiais, familiares e pessoais? Qualquer sistema de normas morais põe em cena crenças e valores, fi ns e meios, a partir de um conjunto de informações que procuram descrever uma situação. auditoria_de_sistemas_informatiz32 32auditoria_de_sistemas_informatiz32 32 22/12/2006 12:17:4922/12/2006 12:17:49 47 Auditoria de Sistemas Informatizados Unidade 1 Ele supõe também as conseqüências prováveis das ações que poderão vir a ser adotadas e ainda sugere os interesses que sustentam o edifício todo. Ora, toda moral palpita no coração de uma ideologia e, de maneira aparentemente paradoxal, reivindica um caráter universalista. A chave da discussão contemporânea gira em torno do egoísmo ético em choque com as morais socialmente orientadas. Assim é que nos países latinos e, em particular no Brasil, rastreia-se uma dupla moral social: uma moral da integridade, que é a moralidade ofi cial, edifi cante e convencional, compondo uma retórica pública que se difunde nas escolas, nas igrejas, nos tribunais e na mídia; e uma moral do oportunismo, que é a moral ofi ciosa, pragmática e dissimulada, furtivamente praticada como ação entre amigos e muitas vezes celebrada pela “esperteza” de seus procedimentos. Os valores da moral da integridade são a honestidade, a lealdade, a idoneidade, o respeito à verdade e à legalidade, o compromisso com aretidão. Tais virtudes desenham o perfi l do homem de caráter, confi ável, decente e digno, cumpridor de suas obrigações e fi el à palavra empenhada, sujeito eminentemente virtuoso e infl exível na preservação dos valores consagrados. Quaisquer decisões e ações deveriam orientar-se por princípios que, por defi nição, valem para todos os homens. Em contrapartida, a moral do oportunismo funciona com base em procedimentos cínicos como o jeitinho, o calote, a falta de escrúpulo, o desprezo irresponsável pelas conseqüências dos atos praticados, o vale-tudo, o engodo, a trapaça, a exaltação da malandragem, o fi siologismo e a bajulice. Esta moral valoriza o enriquecimento rápido e o egoísmo, consagra a esperteza e acredita que o proveito pessoal move o mundo. Assim, desde que a fi nalidade seja alcançada, a ação se justifi ca, não importam os meios, lícitos ou não. Ora, queiram ou não, as empresas convivem com os padrões morais que suas contrapartes partilham. Ferir tais padrões signifi ca estimular a deslealdade individual aos interesses da empresa. Em razão disto, é preciso convencionar um código de honra que ligue as organizações a seus funcionários. Ademais, as empresas têm uma imagem a resguardar, patrimônio essencial para a continuidade do próprio negócio. A imagem da empresa auditoria_de_sistemas_informatiz33 33auditoria_de_sistemas_informatiz33 33 22/12/2006 12:17:4922/12/2006 12:17:49 48 Universidade do Sul de Santa Catarina não pode ser desprezada impunemente, nem pode ser reduzida à mera moeda publicitária, porque ela representa um ativo econômico sensível à credibilidade que inspira. A ética está amplamente constituída de regras de sobrevivência, regras de comportamento associadas à profi ssão, regras de relacionamento que possibilitem harmonia na convivência social e assim por diante. As atitudes devem ser rápidas e certeiras, mas sempre seguindo estratégias globais; estas sim, capazes de diferenciar as empresas e garantir resultados consistentes no que diz respeito à sobrevivência das organizações. As empresas hoje buscam profi ssionais com um perfi l diferenciado. A era da informação é implacável: joga para escanteio quem não têm instrução adequada e coloca no ápice os mais preparados. Os sistemas formais da organização correspondem aos métodos, às políticas e aos procedimentos que claramente identifi cam qual o negócio, quando, como, onde e por que ele se realiza. Quando os sistemas formais contêm um direcionamento ético claro, os funcionários têm uma compreensão correta das expectativas e exigências. Quando estes sistemas não são claros ou quando a mensagem ética varia entre os sistemas, os indivíduos buscam outro ponto de referência para uma orientação defi nitiva, uma dimensão tipicamente de liderança. Quando os sistemas não se referem à questão ética, a mensagem transmitida é de que não existe um padrão ético. Isto deixa os funcionários totalmente dependentes de seus valores pessoais e do comportamento observável dos outros. auditoria_de_sistemas_informatiz34 34auditoria_de_sistemas_informatiz34 34 22/12/2006 12:17:4922/12/2006 12:17:49 49 Auditoria de Sistemas Informatizados Unidade 1 Falhas éticas “arranham” a imagem da empresa e as levam a perder clientes e fornecedores importantes, difi cultando o estabelecimento de parcerias, pois na hora de se dar as mãos, além de levantar as afi nidades culturais e comerciais, as empresas também verifi cam se existe compatibilidade ética entre elas. É fundamental criar relacionamentos mais éticos no mundo dos negócios para poder sobreviver e, obviamente, obter vantagens competitivas. E assim, com as ferramentas e o saber a postos, o quadro não é tão ruim assim, pois sem sombra de dúvida, a tecnologia criou um verdadeiro mundo de oportunidades de emprego, para a fabricação de computadores e periféricos, desenvolvimento de softwares e outros sistemas de informação. E junto com isto, criou uma gama maior ainda de serviços para quem trabalha com tecnologia. Uma vez que você fi nalizou a leitura criteriosa desta unidade, realize, a seguir, as atividades propostas e pratique os novos conhecimentos. O que fazer para andar com um pouco mais de segurança nesse terreno nebuloso? saiba exatamente quais são os seus limites éticos; avalie detalhadamente os valores da sua empresa; trabalhe sempre com base em fatos; avalie os riscos de cada decisão que tomar saiba que, mesmo ao optar pela solução mais ética, poderá se envolver em situações delicadas; ser ético signifi ca, muitas vezes, perder dinheiro, status e benefícios. auditoria_de_sistemas_informatiz35 35auditoria_de_sistemas_informatiz35 35 22/12/2006 12:17:4922/12/2006 12:17:49 50 Universidade do Sul de Santa Catarina Atividades de auto-avaliação Efetue as atividades de auto-avaliação e acompanhe as respostas e comentários a respeito no fi nal do livro didático. Para melhor aproveitamento do seu estudo, realize a conferência de suas respostas somente depois de fazer as atividades propostas. Leia com atenção os enunciados e realize, a seguir, as atividades: 1) Basicamente, descreva quais ao os riscos que as informações em meio digital ou não correm dentro das empresas? 2) Por que auditar? Explique. auditoria_de_sistemas_informatiz36 36auditoria_de_sistemas_informatiz36 36 22/12/2006 12:17:4922/12/2006 12:17:49 51 Auditoria de Sistemas Informatizados Unidade 1 3) Considerando os aspectos fi nanceiros, sociais e tecnológicos envolvidos na gestão de TI, descreva a seguir qual o maior desafi o ético na área de tecnologia? Síntese Com o estudo desta primeira unidade, você conferiu os conceitos que permeiam o assunto de auditoria de sistemas informatizados. Constatou que o crescente uso de soluções informatizadas dentro das empresas cresceu muito nos últimos anos. Um novo mundo de oportunidades surgiu com o uso descontrolado dos sistemas de informação, havendo a necessidade iminente de controle e as empresas optaram por um plano de auditoria. Esta auditoria tem como objetivo a manutenção do investimento feito sobre as soluções de tecnologia da informação, fazendo com que o custo total de propriedade da solução se mantenha baixo. Deste modo, você entendeu os motivos pelos quais a auditoria em sistemas informatizados se faz necessária dentro das corporações. Por fi m, estudou também que essas lacunas abertas nos levam a verdadeiros desafi os em nossa profi ssão, pois tendo em mãos informações, programas e dados de maneira tão fácil e tão rápida, um verdadeiro desafi o à ética surge e nos coloca em “cheque” na hora de decidir como agir. auditoria_de_sistemas_informatiz37 37auditoria_de_sistemas_informatiz37 37 22/12/2006 12:17:4922/12/2006 12:17:49 52 Universidade do Sul de Santa Catarina Saiba mais Para aprofundar as questões abordadas nesta unidade, você poderá pesquisar os seguintes materiais: http://www.gocsi.com – CSI/FBI – 2003. Pesquisa do FBI a respeito de crimes de internet. http://www.modulo.com.br – site da empresa Módulo, empresa líder de mercado em soluções de segurança. http://www.bsibrasil.com.br/ - site da organização que gerencia a norma BS 7799. auditoria_de_sistemas_informatiz38 38auditoria_de_sistemas_informatiz38 38 22/12/2006 12:17:5022/12/2006 12:17:50 UNIDADE 2 Organização da auditoria Objetivos de aprendizagem Ao fi nal desta unidade, você terá subsídios para: compreender os atributos mais comuns das atividades dos auditores e os aspectos relacionados as suas responsabilidades; conhecer os principais componentes de um planejamento de auditoria; conhecer o que é uma conclusão de auditoria. Seções de estudo A seguir, apresentamos as seções para você estudar: Seção 1 A origem
Compartilhar