Baixe o app para aproveitar ainda mais
Prévia do material em texto
09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 5a aula Lupa Exercício: CCT0776_EX_A5_201707130515_V1 25/04/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente: teste do sistema operado teste do sistema auditado teste do sistema observado teste do sistema desenvolvido teste do sistema complexo Respondido em 08/05/2021 20:36:04 Gabarito Comentado Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste? Testes de observância; Testes de regressão; Testes substantivos Testes da caixa branca; Testes da caixa preta; Respondido em 08/05/2021 20:36:12 Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela ( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. ( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. ( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. ( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. ( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. Agora assinale a alternativa correta: 3,1,2,1,3 Questão1 Questão2 Questão3 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 2/3 3,1,2,3,1 1,1,3,2,2 3,2,1,3,1 3,2,1,1,3 Respondido em 08/05/2021 20:36:15 Gabarito Comentado Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S). I - Obter cópia da documentação dos clientes inadimplentes. II - Observar o uso de crachá das pessoas que transitam pela empresa III - Obter saldos diários dos clientes S, O, S S, S, O O, S, O O, O, S S, O, O Respondido em 08/05/2021 20:36:23 Explicação: I - Obter cópia da documentação dos clientes inadimplentes. - teste de observância. Verificação de documentos. II - Observar o uso de crachá das pessoas que transitam pela empresa- teste de observância. Verificação do cumprimento de politica de segurança. III - Obter saldos diários dos clientes - teste substantivo. Processamento de uma massa de dados e obtenção de um relatório que servirá como evidência do teste. Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S). I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia. II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes. III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas. O, O, S S, O, O S, O, S O, S, S O, S, O Respondido em 08/05/2021 20:36:28 Explicação: I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia.=> teste substantivo. Processamento de grande massa de dados. II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes.=> Teste de observância com intuito de verificar existencia e validade dos documentos dos clientes. III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas.=> Teste de observância com intuito de verificar se politica de segurança de senhas esta sendo cumprida. A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: análise do log/accounting mapping análise dolog accounting análise lógica de programação lógica de auditoria embutida nos sistemas Respondido em 08/05/2021 20:36:32 Questão4 Questão5 Questão6 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 Explicação: a justificativa encontra-se na opção correta A técnica de computação que pode ser utilizada por auditores para verificar rotinas não utilizadas no sistema sob auditoria é conhecida como Simulação paralela Test deck Análise de log Mapping Rastreamento Respondido em 08/05/2021 20:37:22 Explicação: A técnica chama-se mapping. Serve para testar também a quantidade de vezes que cada rotina foi utilizada quando submetida a processamento. Os testes de observância são empregado pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Estes testes são largamente aplicado em: Auditoria de Software Auditorias operacionais; Software Generalista Auditorias de aquisição de hardware Emissão de Relatoios Respondido em 08/05/2021 20:37:28 Questão7 Questão8 javascript:abre_colabore('38403','223274173','4508176494'); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 6a aula Lupa Exercício: CCT0776_EX_A6_201707130515_V1 08/05/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório. Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V). I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório. II - O descumprimento de uma politica de segurança deve ser analisado caso a caso. III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança. F, V, F V, F, F V, F, V F, V, V V, V, F Respondido em 08/05/2021 20:39:01 Explicação: As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada. Informações cuja violação seja extremamente crítica são classificadas como: internas secretas de uso irrestrito de uso restrito confidenciais Respondido em 08/05/2021 20:39:07 Gabarito Comentado Segurança é responsabilidade de todos. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar PORQUE II - o comportamento das pessoas deve refletir a sua hierarquia funcional. A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Questão1 Questão2 Questão3 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021EPS https://simulado.estacio.br/alunos/ 2/3 As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições falsas. Respondido em 08/05/2021 20:39:14 Explicação: É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados. Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas. Pública, interna , confidencial, criptografada; Pública, interna , criptografada, secreta; Pública, customizada , confidencial, secreta; Pública, criptografada , confidencial, customizada; Pública, interna , confidencial, secreta; Respondido em 08/05/2021 20:39:21 A segurança da empresa é responsabilidade da diretoria operacional da área de auditoria de todos os envolvidos da gerencia administrativa da área de TI Respondido em 08/05/2021 20:39:28 Gabarito Comentado Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa implantado; Definir o que precisa ser orçado; Definir o que precisa ser duplicado; Definir o que precisa ser desenvolvido Definir o que precisa ser protegido; Respondido em 08/05/2021 20:39:34 Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT) I - Data de aniversário dos colaboradores. II - Endereço do CPD da empresa. III - Organograma da empresa. INT, PUB, INT INT, INT, PUB PUB, INT, PUB PUB, PUB, INT INT, PUB, PUB Respondido em 08/05/2021 20:39:41 Explicação: Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas. Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa) Questão4 Questão5 Questão6 Questão7 Questão8 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo. PORQUE II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. Respondido em 08/05/2021 20:39:49 Explicação: A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário. javascript:abre_colabore('38403','225062993','4567029446'); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 7a aula Lupa Exercício: CCT0776_EX_A7_201707130515_V1 08/05/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. Agora assinale a resposta correta: Somente I é proposição verdadeira I, II, III e IV são proposições verdadeiras Somente II e III são proposições verdadeiras Somente I e II são proposições verdadeiras Somente I, II e III são proposições verdadeiras Respondido em 08/05/2021 20:45:12 Gabarito Comentado Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança de programas de atualização Segurança da emissão e distribuição de relatórios Segurança quanto à disponibilidade da rede Segurança da criação de arquivos log Segurança de atualização de senhas Respondido em 08/05/2021 20:45:18 Gabarito Comentado Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Data de seu nascimento? Número de seu RG? Data de vencimento da fatura do cartão? Cidade onde nasceu? Nome do pai? Respondido em 08/05/2021 20:45:25 Questão1 Questão2 Questão3 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 2/3 Gabarito Comentado O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. Escolha a alternativa que preencha corretamente a lacuna: Software de controle de inventário. Software de controle de trilha de auditoria. Software de controle de rede. Software de controle de perfil. Software de controle de acesso. Respondido em 08/05/2021 20:48:53 Gabarito Comentado Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: Marque verdadeiro (V) ou falso (F) I - biometria II - cartão com tarja magnética III - cracha com foto V, V, F F, V, F V, F, V F, V, V V, F, F Respondido em 08/05/2021 20:49:02 Explicação: A biometria serve tanto para acesso lógico como para acesso físico Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa eletronico, por exemplo. Cracha com foto é utilizado somente para controle de acesso físico Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F). I - Conversa em sala de bate papo na internet. II - Telefonema de falsos sequestros. III - Levar uma pessoa a visitar sites erroneos. V, V, F V, F, V F, V, F V, F, F F, F, V Respondido em 08/05/2021 20:49:11 Explicação: A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas a fim delas obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc. Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.) O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança Questão4 Questão5 Questão6 Questão7 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 de desempenho, de configuração e física lógica, de desempenho e de protocolos fisica, de protocolos e de reposição lógica, de enlace e de monitoramento fisica, de enlace e de aplicação Respondido em 08/05/2021 20:49:19 A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Colocar cartazes sobre segurança nas dependências da empresa Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Fornecer treinamento de segurançaao pessoal de portaria Solicitar ao setor de RH listagem de funcionários para uso na portaria Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Respondido em 08/05/2021 20:49:27 Gabarito Comentado Questão8 javascript:abre_colabore('38403','225058140','4567037303'); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 8a aula Lupa Exercício: CCT0776_EX_A8_201707130515_V1 09/05/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde obtemos as cotações. II - Planejamento das aquisições - onde definimos as declarações de trabalho III - Solicitação - onde escolhemos a melhor proposta F, V, F V, F, V F, F, V V, V, F V, F, F Respondido em 09/05/2021 14:26:20 Explicação: São processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. Entre as alternativas abaixo, qual delas descreve três desses critérios? Eficiência, responsabilidade e atitude Integridade, confidencialidade e responsabilidade Responsabilidade, habilidade e atitude Confidencialidade, integridade e disponibilidade Conformidade, efetividade e responsabilidade Respondido em 09/05/2021 14:26:28 Gabarito Comentado Questão1 Questão2 Questão3 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 2/3 Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de operações de sistemas Auditoria de manutenção de sistemas Auditoria de redes Auditoria de suporte técnico Auditoria de desenvolvimnto de sistemas Respondido em 09/05/2021 14:26:53 Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), dedicado à gerência de aquisições, os grandes grupos de processos a serem seguidos para que uma uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa deverá ser verificado pelo auditor se todos os passos foram seguidos e estão documentados. Assinale dentro das opções abaixo aquelas que estão em conformidade com o enunciado . Solicitação ; Planejamento das solicitações Financiamento do contrato Planejamento das aquisições; Administração do Contrato; Respondido em 09/05/2021 14:27:15 Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que: Marque a alternativa INCORRETA ambientes de software e hardware apropriados sejam especificados. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. os usuários dos sistemas estejam envolvidos. tenha sido fornecido treinamento para operar o sistema e então realiza-lo. requisitos de segurança de informação sejam adequadamente considerados. Respondido em 09/05/2021 14:27:20 Explicação: O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado. Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde identificamos fontes potenciais.. II - Fechamento do contrato - onde obtemos as cotações. III - Seleção da fonte - onde procedemos à administração do contrato V, V, V F, F, V V, F, F V, V, F F, V, V Respondido em 09/05/2021 14:27:31 Explicação: São seguintes os processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. Questão4 Questão5 Questão6 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. Solicitação ; Administração do contrato ; Pagamento de Fatura; Planejamento das aquisições ; Planejamento das solicitações ; Respondido em 09/05/2021 14:27:40 A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Esporádicas Funções Rotineiras e Funções Integradas Funções Integradas e Funções Superficiais Funções Rotineiras e Funções Superficiais Respondido em 09/05/2021 14:33:12 Gabarito Comentado Questão7 Questão8 javascript:abre_colabore('38403','225082967','4567868546'); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 9a aula Lupa Exercício: CCT0776_EX_A9_201707130515_V1 09/05/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 Escrever em círculos - aparenta ao leitor que o escritor tem: - Insegurança no objetivo da matéria escrita. - Insegurança quanto ao ponto que o escritor quer atingir. - Inabilidade em selecionar as palavras corretas. - Inabilidade em estruturar adequadamente sua escrita. Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação evitar a escrita em circulos I - Sabendo para quem o relatório será endereçado. II - Escrever conforme os pensamentos surgem em sua mente a fim de manter uma escrita natural. III - Usar palavras da moda a fim de tornar o relato atual V, F, F F, V, F F, F, V V, F, V F, V, V Respondido em 09/05/2021 14:35:07 Explicação: I - Sabendo para quem o relatório será endereçado.=> verdadeira II - Escrever conforme os pensamentos surgem em sua mente a fim de manter uma escrita natural. =. falsa. Devemos clarear o pensamento antes de escrever III - Usar palavras da moda a fim de tornar o relato atual => falsa. Devemos escolher cada palavra cuidadosamente:Palavras precisas geram pensamentos acurados, imediatos e eficientes. Assinale qual a opção correta no que se refere a composição de um relatório de auditoria, no que diz respeito ao relatório final. Deve ser escrito de forma ampla citando todos os responsáveis pelas falhas; Deve ser escrito exclusivamente para a equipe de auditoria e diretores; Deve ser escrito claramente os objetivos não alcançados neste sistema;. Deve ser escrito sucintamente, os objetivos da auditoria neste sistema;. Deve abordar claramente os custos da auditoria neste sistema;. Respondido em 09/05/2021 14:35:16 Diferentes níveis de gerência requerem diferentes partes da informação. Quanto mais perto você chega do alto escalão, mais resumido você deve ser! Indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação à audiência do relatório de auditoria Questão1 Questão2 Questão3 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 2/3 I - A primeira audiência de nosso relatório é quem vai solucionar a falha detectada II - A segunda audiência de nosso relatório é quem vai atuar na recomendação, é a pessoa para quem devemos endereçar o relatório III - A segunda audiência interessa-se mais pela parte das falhas e das recomendações do relatório F, F, V V, F, F V, V, F V, F, V F, V, F Respondido em 09/05/2021 14:35:24 Explicação: I - A primeira audiência de nosso relatório é quem vai solucionar a falha detectada => FALSA.QUEM SOLUCIONA OS PROBLEMAS É A SEGUNDA AUDIÊNCIA II - A segunda audiência de nosso relatório é quem vai atuar na recomendação, é a pessoa para quem devemos endereçar o relatório =>FALSA.A DESCRIÇÃO É DA PRIMEIRA AUDIÊNCIA. III - A segunda audiência interessa-se mais pela parte das falhas e das recomendações do relatório => VERDADEIRA Tão logo uma falha seja detectada, ela deve ser comunicada, verbalmente, à gerência auditada.. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Desta forma podemos ter uma solução mais rápida do problema encontrado ou a viabilidade de sua solução PORQUE II - discutir a falha com os auditores permite que os auditores a solucionem mais facilmente. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Respondido em 09/05/2021 14:35:37 Explicação: Os auditores não solucionam falhas. Elers a indicam e solicitam solução por parte dos auditados. Em relação à emissão do relatório final da auditoria realizada, identifique a única opção correta. A segunda audiência de seu relatório é a pessoa que vai atuar na recomendação que voce fez no relatório A parte do relatório que mais interessa a sua segunda audiência é a parte das falhas detalhadas detalhados e dos prazos para seu acerto A parte do relatório que mais interessa a sua primeira audiência é a parte dos comentários detalhados e da recomendação A segunda audiência de seu relatório é a pessoa para quem voce endereçará o relatório A primeira audiência de seu relatório são aquelas pessoas de nivel mais alto na empresa que leem seu relatório Respondido em 09/05/2021 14:35:43 Para garantia de um bom relatório de auditoria , algumas regras devem ser observadas. Aponte dentre as opções abaixo a única que está correta; Use linguagem pomposa e dura;. Use linguagem concreta e específica: Evite o fornecimento de detalhes suficientes, pois misto pode cair nas mãos de pessoas não autorizadas; Evite o uso de linguagem concreta e específica: Não se preocupe om o uso excessivo de generalidades: Respondido em 09/05/2021 14:35:52 Em relação à construção de um relatório devemos Questão4 Questão5 Questão6 Questão7 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 I - Usar voz ativa em vez de voz passiva. II - Escrever frases completas mesmo que sua extensão seja longa. III - Devemos usar percentuais de resultados de testes caso a amostra seja pequena. Indique se as sentenças acima são falsas (F) ou verdadeiras (V). V, V, F F, V, F F, F, V F, V, V V, F, F Respondido em 09/05/2021 14:36:02 Explicação: A fim de tornar nossa escrita mais compreensível, sempre que escrevermos um documento devemos observar os seguintes itens: - Usar voz ativa. - Frases curtas. - Não misturar fatos com opinião. - Não usar nomes próprios (exemplo: incompetência de fulano). - Sempre que possível, quantificar (se a amostra for pequena, não mencionar percentual). - Siglas devem ser explicitadas na primeira vez que aparecem. Assim que uma falha é identificada em uma auditoria, ela deve: Ser acertada pelo auditor e reportada a seguir para a gerencia auditada Ser comunicada ao gerente da Auditoria para inserção no relatório final Ser comunicada verbalmente ao gerente da área auditada Ser reportada em relatório apropriado para acerto imediato Ser reportada à diretoria da empresa através de relatório de auditoria Respondido em 09/05/2021 14:36:07 Gabarito Comentado Questão8 javascript:abre_colabore('38403','225092080','4567889080'); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 1/3 Teste de Conhecimento avalie sua aprendizagem AUDITORIA DE SISTEMAS 10a aula Lupa Exercício: CCT0776_EX_A10_201707130515_V1 09/05/2021 Aluno(a): PAULO AUGUSTO MACHADO JUNIOR 2021.1 EAD Disciplina: CCT0776 - AUDITORIA DE SISTEMAS 201707130515 O auditor deseja criar um relatório que demonstre o numero de vezes que conversou com o gerente de projetos do sistema auditado. Usando um software generalista para auditoria de sistemas, isto seria possível se a Auditoria estivesse utilizando o sistema SAP, através da ferramenta: AIS (Audit Information System) ACC (Audit Command Control) AIC (Audit Information Control) ACL (Audit Command Language) AIL (Audit Information Language) Respondido em 09/05/2021 14:36:32 Gabarito Comentado A metodologia de seleção utilizada para escolha não só de software generalista de auditoria de sistemas, mas como para qualquer outro software, envolve aspectos referentes a alguns aspectos. Aponte dentre as opções abaixo a unica que está errada. Analise organizacional, capacidade intelectual, tecnológica e computacional das empresa, seus produtos e serviços; Troca de informações com empresas semelhantes; Contato com fabricantes vde pacotes; Volume do faturamento dos produtos vendidos nos últimos 5 anos; Analise de documentos que registram experiências semelhantes; Respondido em 09/05/2021 14:37:03 Alguns aspectos devem ser considerados ao serem considerados na escolha de um software. Os aspectos relacionados a custo é um deles. Aponte dentre as opções colocadas aquela que não está correta. Viagens e diárias; Permitir a supervisão on line Valor de uso da licença; Serviços de treinamento; Taxa de manutenção; Respondido em 09/05/2021 14:37:08 São aspectos de FORNECIMENTO DE SUPORTE a serem considerados na escolha de aquisição de um software ....marque a única alternativa INCORRETA Implementação de solicitações da empresa feitas pelo fornecedor (customização) Pesquisa por palavra ou string Disponibilização do código fonte aberto Relação de clientes usuários do sistema Questão1 Questão2 Questão3 Questão4 https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); javascript:diminui(); javascript:aumenta(); 09/05/2021 EPS https://simulado.estacio.br/alunos/ 2/3 Upgrade de versão Respondido em 09/05/2021 14:37:20 O software de auditoria consisteem programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema pronto no mercado, requer uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que ______________ ______________________ Assinale dentre as opções abaixo assinale aquela que completa o conceito de forma adequada. apresente o menor custo; seja desenvolvido na linguagem Java melhor atenda suas necessidades. tenha uma versão em inglês; seja totalmente online/realtime Respondido em 09/05/2021 14:37:30 Quando em fase de aquisição de softwares para a Auditoria, a coleta de dados para identificação dos produtos disponíveis no mercado pode ser feita de várias formas EXCETO através de demonstração dos produtos pelos representantes perguntas técnicas e específicas encaminhadas às empresas vendedoras. reuniões internas de discussão visitas a fornecedores e concorrentes reuniões com gerentes da área de Tecnologia da Informação Respondido em 09/05/2021 14:37:38 Explicação: reuniões com gerentes da área de Tecnologia da Informação => Não é ético perguntar ao auditado indicações sobre softwares para auditar as suas áreas. Pode haver alguma influência em não indicar um bom produto. Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Faz parte das boas práticas de seleção de software de auditoria a análise de catálogos, prospectos, folders e documentação sobre esse software disponíveis no mercado. ( ) Faz parte das boas práticas de seleção de software de auditoria realizar visita nas empresas que já possuem o software e entrevistar alguns de seus usuários. ( ) Faz parte das boas práticas de seleção de software de auditoria desconsiderar as funcionalidades desse software, caso a empresa fornecedora seja reconhecidamente idônea. ( ) Faz parte das boas práticas de seleção de software de auditoria avaliar a tecnologia empregada no software, o seu custo, assim como, a capacidade e a disponibilidade de suporte técnico. ( ) Faz parte das boas práticas de seleção de software de auditoria avaliar o seu desempenho, versatilidade e consistência. A rastreabilidade, assim como, a compatibilidade e a capacidade de automação de processos têm um peso menor na escolha e podem ser desconsideradas. Agora assinale a alternativa correta: F,F,F,V,V F,F,V,F,V V,V,F,F,V V,V,V,V,V V,V,F,V,F Respondido em 09/05/2021 14:37:49 Gabarito Comentado São aspectos RELACIONADOS À TECNOLOGIA a serem considerados na escolha de aquisição de um software ....marque a única alternativa INCORRETA Taxa de manutenção Criptografia de dados Proteção de documento aberto por vários usuários Questão5 Questão6 Questão7 Questão8 09/05/2021 EPS https://simulado.estacio.br/alunos/ 3/3 Replicação de banco de dados Proteção de documento para edição apenas pelo autor Respondido em 09/05/2021 14:37:57 javascript:abre_colabore('38403','225088108','4567885238'); Auditoria de Sistemas João Paulo Brognoni Casati Aula 1 Plano de Ensino • Ementa: –Fundamentos de auditoria de sistemas de informação. Metodologia de auditoria. Ferramentas e técnicas de auditoria. Tipos de auditoria. Avaliação de software de auditoria. 2 Plano de Ensino • Conteúdos: –Conceitos básicos de auditoria de sistemas de informação; –Fases para Realização de uma Auditoria; –Ferramentas de auditoria; –Técnicas de auditoria; –Tipos de auditoria; –Emissão de relatórios de auditoria; –Avaliação de software de auditoria de sistemas. 3 Plano de Ensino • Objetivo Geral: – Realizar auditoria de sistemas de informação; – Diferenciar as etapas da auditoria, bem como gerenciar os recursos necessários nesse processo; – Identificar ferramentas e técnicas que podem vir a serem utilizadas em um processo de auditoria; – Preparar o relatório final da auditoria; – Definir itens que devem ser avaliados na escolha de um software de auditoria de sistemas; 4 Plano de Ensino • Objetivos Específicos: – Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação; – Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução; – Empregar ferramentas e técnicas diferenciadas na execução dos trabalhos de auditoria de sistemas de informação; – Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização; – Escrever o relatório da auditoria – Relacionar os itens que devem ser avaliados na escolha de um software de auditoria de sistemas; 5 Plano de Ensino • Bibliografia Básica: – IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo: Atlas. 2008. 207p. ISBN: 978-85224-5002-2. – FONTES, Edison Luiz Gonçalves. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. 283 p. ISBN: ISBN: 978-85- 7452-382-8. – LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciência Moderna, 2008. ISBN: 978-85- 7393-747-3. 6 Plano de Ensino • Bibliografia Complementar: – NAKAMURA, Emilio Tissato; Geus, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec Editora Ltda, 2007. ISBN: 978-85-7522-136-5. – DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. 218p. ISBN: 85-7323-131-9. – SANTOS, Alfredo. Quem mexeu no meu sistema? Segurança em Sistemas de informação. Rio de Janeiro: Brasport, 2008. ISBN: 978-85-7452-385-9. – TCU - Tribunal de Contas da União. Disponível em: http://tcu.gov.br. – Manual de Auditoria de Sistemas. Disponível em: http://www.tcu.gov.br/SAUDI/Download/AuditSist emas.doc 7 Conteúdo da Aula • Fundamentos de auditoria de sistemas • O papel e o perfil do auditor • A carreira do auditor • A auditoria de sistemas nas organizações 8 Fundamentos de Auditoria de Sistemas • O que é auditoria de sistemas? –Verificação de conformidade: • Verifica se padrões, normas e políticas estão sendo devidamente seguidos –Segurança da Informação • Controles de acesso, serviços e recursos 9 Fundamentos de Auditoria de Sistemas • Por que auditoria em sistemas? –Aumento do uso de sistemas de informação –Dependência das organizações nos dados gerados por sistemas –Garantir a qualidade do serviço oferecido –Evitar fraudes e desvios –Outros... 10 Fundamentos de Auditoria de Sistemas • Funções administrativas: 11 O papel do auditor • O auditor é: –Um verificador do trabalho realizado • O auditor faz: –Validação • Executa testes para validar o processo –Avaliação • Julga a medida adquirida nos testes 12 O perfil do auditor de sistemas • Possuir conhecimento técnico e prático em Sistemas de Informação • Possuir uma visão abrangente da empresa • Vestir-se e comunicar-se formalmente • Comportamento de liderança • Não aceitar presentes 13 A carreira do auditor de sistemas • Deve possuir conhecimentos em auditoria além de conhecimentos em sistemas! • Existem dois tipos de auditoria: – Interna: auditor é funcionário da empresa auditada –Externa: auditor é funcionário de empresa especializada em auditoria 14 A carreira do auditor de sistemas • Certificações: – ISACA: Certified Information System Auditor (CISA) –British Computer Society: Exame da Sociedade Britânica de Informática – Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional 15 A carreira do auditor de sistemas O auditor deve manter-se atualizado quanto às inovações tecnológicas! • O desenvolvimento da carreira pode ser dividido em duas partes: –O auditor possui conhecimento em TI –O auditor não possui conhecimento em TI 16 A carreira do auditor de sistemas • O auditor que não possui conhecimento em TI deve especializar-se em: –Conceitos deTI –Linguagens de Programação –Redes de Computadores –Modelagem de Sistemas –Entre outros tópicos... 17 A carreira do auditor de sistemas • O auditor que possui conhecimento em TI deve especializar-se em: –Emissão de Relatórios –Gerenciamento de Riscos –Propriedade Intelectual –Planos de Contingência –Entre outros tópicos 18 A auditoria de sistemas nas organizações • A equipe de auditoria: –Deve ter autonomia –Deve ter permissão de acesso aos sistemas e às informações necessárias É preciso que a auditoria seja ligada diretamente à presidência! 19 A auditoria de sistemas nas organizações • Organograma: 20 A auditoria de sistemas nas organizações • Principais problemas encontrados: –Defasagem tecnológica –Falta de bons profissionais –Falta de cultura da empresa –Tecnologia variada e abrangente 21 A auditoria de sistemas nas organizações • Organização da auditoria: –Não há regra fixa, porém, pode-se adotar: • Segurança da Informação • TI • Aplicativos 22 A auditoria de sistemas nas organizações • Segurança da Informação: –Confidencialidade – Integridade –Disponibilidade –Consistência –Confiabilidade 23 A auditoria de sistemas nas organizações • TI: –Mudanças Organizacionais –Operações de Sistemas –Hardware –Computação em Nuvem –Sistemas ERP –Data Warehousing 24 A auditoria de sistemas nas organizações • Aplicativos: –Desenvolvimento de software –Entrada, Processamento e Saída de Dados –Conteúdo de Aplicativos –Funcionamento de Aplicativos 25 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 1 27 Atividade 1 Como podemos definir o que é um auditor? Como um verificador do trabalho realizado. 28 Atividade 2 No organograma de uma organização, onde deve ser incluída a auditoria? Diretamente ligada à presidência. 29 Atividade 3 Qual é uma importante tarefa do auditor que quer ser bem sucedido em sua carreira? Manter-se atualizado quanto às novas tecnologias. 30 Atividade 4 O que é a verificação de conformidade? Verificar se normas, padrões e políticas preestabelecidas estão sendo devidamente cumpridas. Auditoria de Sistemas João Paulo Brognoni Casati Aula 2 Conteúdo da Aula • Abordagens de auditoria de sistemas • Padrões e código de ética • Planos de contingência 32 Abordagens de Auditoria de Sistemas • As diferentes abordagens consideram o uso do computador. • Existem 3 tipos de abordagens: –Ao redor do computador –Através do computador –Com o computador 33 Abordagens de Auditoria de Sistemas • Abordagem ao redor do computador: –Considerada mais antiga –Uso de rotinas manuais –Não exige muito conhecimento de TI –Aplicável a sistemas de menor complexidade e tamanho 34 Abordagens de Auditoria de Sistemas • Abordagem ao redor do computador: –Vantagens: • Baixo custo • Não exige muito conhecimento em TI –Desvantagens: • Falta de padronização • Dificuldade de avaliação de resultados 35 Abordagens de Auditoria de Sistemas • Abordagem através do computador: –O computador é utilizado como ferramenta –Melhoria da abordagem anterior –Pode-se verificar constantemente áreas que necessitam de monitoria constante –Requisição de documentos-fonte de diversas maneiras diferentes 36 Abordagens de Auditoria de Sistemas • Abordagem através do computador: –Vantagens • Maior confiabilidade nas medidas • Realização de testes mais completos –Desvantagens • Aumento de custo • Perdas se a programação for incorreta 37 Abordagens de Auditoria de Sistemas • Abordagem com o computador: –Busca a maior perfeição possível no processo de auditoria –Completamente assistida por computador –Busca resolver os problemas das abordagens anteriores 38 Abordagens de Auditoria de Sistemas • Abordagem com o computador: –Objetivos: • Uso do computador para efetuar cálculos • Fazer compilação dos resultados automatizados e manuais • Ordenação e seleção de registros • Desenvolvimento de programas específicos 39 Padrões e código de ética Visam apresentar regras para o exercício da profissão, reduzindo a falta de padronização dos termos. 40 Padrões e código de ética • Padrões definidos (EUA): –Responsabilidade, autoridade e prestação de contas – Independência profissional –Ética profissional e padrões –Competência –Planejamento –Emissão de relatório –Atividades de follow-up 41 Padrões e código de ética • Código de ética (ISACA): 1. Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informação e encorajar seu cumprimento 2. exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas 42 Padrões e código de ética • Código de ética (ISACA): 3. servir aos interesses dos stakeholders de forma legal e honesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão 4. manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informações não devem ser utilizadas em benefício próprio ou compartilhadas com pessoas não autorizadas 43 Padrões e código de ética • Código de ética (ISACA): 5. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente 6. informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos desde que em seu alcance 44 Padrões e código de ética • Código de ética (ISACA): 7. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente 45 Planos de Contingência • Contingência –Evento que pode ou não acontecer • Exemplos: – Incêndio –Queima de equipamento –Queda de energia elétrica –Funcionário doente 46 Planos de Contingência • Plano de Contingência –Sequência de ações a serem seguidas na ocorrência de uma emergência –Não contempla apenas serviços de informática: • Segurança de pessoas, danos ambientais, danos à imagem da organização, etc. 47 Planos de Contingência • Objetivos do Plano de Contingência –Reduzir os danos causados por uma contingência –Manter o negócio em funcionamento –Agilizar a recuperação dos serviços –Reduzir custos de recuperação 48 Planos de Contingência • Ameaça –Evento ou atitude indesejável que traz danos à organização • Roubo • Incêndio • Vírus • Queda de energia 49 Planos de Contingência • Recursos que podem ser danificados –Físico: sala de computadores –Software: vírus de computador –Hardware: queima de equipamento – Informação: roubo de dados –Pessoas: vírus biológico 50 Planos de Contingência Ameaça Concretizada = Ataque Ataques causam Impactos Plano de contingência reduz Impacto 51 Planos de Contingência • Processo de recuperação de desastres 52 Planos de Contingência • Algumas possíveis perdas: –Perda de Confidencialidade • Roubo de Informações –Perda de Integridade • Alteração na Informação –Perda de Disponibilidade • Negação de Serviço 53 Planos de Contingência Planos de Contingência são caros! • Identificação das Áreas Críticas –Escore de risco 54 Planos de Contingência • Escore de Risco: 55 Escala Classificação do Impacto 0 Impacto irrelevante. 1 Efeito pouco significativo, sem afetar a maioria dos processos da empresa. 2 Sistemas indisponíveis por um determinado período de tempo, podendo causar perda de credibilidade e também perdas financeiras. 3 Perdas financeiras mais significativas e perda de clientes para concorrentes. 4 Efeitos desastrosos, mas que não comprometam a sobrevivência da organização. 5 Efeitos desastrosos que comprometam a sobrevivência da organização. Planos de Contingência • Escore de Risco: 56 Escala Classificação de Probabilidade 0 Ameaça completamente improvável de acontecer. 1 Probabilidade da ameaça ocorrer menos de umavez por ano. 2 Probabilidade da ameaça ocorrer pelo menos uma vez por ano. 3 Probabilidade da ameaça ocorrer pelo menos uma vez por mês. 4 Probabilidade da ameaça ocorrer pelo menos uma vez por semana. 5 Probabilidade da ameaça ocorrer diariamente. Planos de Contingência • Escore de Risco: 57 Matriz de Risco Ameaças Impacto Probabilidade Escore de Risco Incêndio 5 1 5 Falta de energia elétrica 4 3 12 Indisponibilidade de servidor 3 3 9 Greve de funcionários do transporte 2 1 2 Funcionário que adoece 1 1 1 Falha de switch de rede 2 4 8 Ataque de vírus 3 5 15 Planos de Contingência • Tipos de plano de contingência: –Plano de Emergência –Plano de Backup –Plano de Recuperação 58 Planos de Contingência • Plano de Emergência –Prevê possibilidade de desastres –Provê meios de detecção antecipada –Provê segurança física –Contém as respostas de risco • Ações a serem tomadas 59 Planos de Contingência • Plano de Backup –Backup de arquivos e dados –Continuidade dos serviços –Biblioteca externa de dados disponível –Acordo com terceiros • Reciprocidade 60 Planos de Contingência • Plano de Recuperação –Atividades executadas para: • SAIR do estado de emergência 61 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 2 63 Atividade 1 O que é uma contingência? Algo que pode ou não acontecer. 64 Atividade 2 O que é usado para definir as áreas críticas da organização? Cálculo do Escore de Risco Ou Matriz de Risco 65 Atividade 3 Quais são os tipos de planos de contingência? Plano de Emergência Plano de Backup Plano de Recuperação 66 Atividade 4 Cite três vantagens do uso da abordagem com o computador. 1 - Executa cálculos utilizando o computador; 2 - Ordenação e seleção de registros; 3 - Possibilita a criação de programas específicos. Auditoria de Sistemas João Paulo Brognoni Casati Aula 3 Conteúdo da Aula • O funcionamento da auditoria de sistemas • Controles internos 68 O Funcionamento da Auditoria de Sistemas • As funções da auditoria de sistemas: 69 O Funcionamento da Auditoria de Sistemas • Áreas de atuação –Auditoria de campo • Objetivo • Período –Âmbito da auditoria • Abrangência/Detalhamento • Áreas auditadas 70 O Funcionamento da Auditoria de Sistemas • O dia-a-dia da auditoria: –17 ações básicas • 1 - Preparar a análise de risco –Definir quais as áreas ou objetos são passíveis de auditoria 71 O Funcionamento da Auditoria de Sistemas • 2 - Fazer revisões dos projetos e produtos –Verificar o escore de risco e estabelecer quais áreas devem ser priorizadas • 3 - Familiarizar-se com a área de sistemas –Compreender os produtos, serviços e processos da área de TI, etc. 72 O Funcionamento da Auditoria de Sistemas • 4 - Estabelecer a estratégia –Definição das ferramentas • 5 - Estabelecer os objetivos –Definir os controles internos e os processos • 6 - Definir preocupações –Definir quais os itens que mais preocupam a equipe de auditoria 73 O Funcionamento da Auditoria de Sistemas • 7 - fazer a avaliação preliminar dos controles internos –Verificar os controles implantados e definir quais serão utilizados • 8 - Finalizar o planejamento –Determinar o tempo, a equipe, os recursos, a data de emissão do relatório final, etc. 74 O Funcionamento da Auditoria de Sistemas • 9 - Preparar um documento de aviso –Objetivos, cronograma e intenções • 10 - Reunião inicial – Informar sobre as intenções da auditoria • 11 - Elaboração de testes –Geração de dados de teste e determinação dos resultados 75 O Funcionamento da Auditoria de Sistemas • 12 - Aplicação dos testes –Aplica-se a massa de testes e colhe-se os resultados • 13 - Análise das simulações –São analisadas para detectar discrepâncias 76 O Funcionamento da Auditoria de Sistemas • 14 - Emissão de relatório provisório –Ao término do trabalho de campo, deve-se emitir um relatório provisório com todas as falhas encontradas (RASCUNHO) • 15 - Discussão de relatório provisório –Os auditados devem concordar ou discordar do relatório provisório 77 O Funcionamento da Auditoria de Sistemas • 16 - Emissão e distribuição do relatório final –Deve conter a “nota” do relatório (falhas encontradas que não foram solucionadas) • 17 - Follow-up (acompanhamento) –Acompanhamento das datas de acerto das falhas indicadas na auditoria e que constam no relatório final 78 Controles Internos • O que são? – “Planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção, com o objetivo de evitar FRAUDES, ERROS, INEFICIÊNCIAS e CRISES nas empresas.” Portal da Auditoria 79 Controles Internos • Controles internos são a principal medida de segurança de uma organização –Os controles a serem implantados dependem do ambiente –Geralmente, problemas de ordem legal ocorrem por má implantação de controles 80 Controles Internos • Princípios e Objetivos: • 1. Supervisão –Manter controle que permita supervisão do ambiente de TI • 2. Registro e Comunicação –Registros de responsabilidades e autorização em acesso a dados 81 Controles Internos • 3. Segregação das funções –Funções incompatíveis segregadas • 4. Classificação de informação –Plano de classificação da informação • 5. Tempestividade –A gerência monitora os registros/transações 82 Controles Internos • 6. Auditoriabilidade –Procedimentos operacionais devem permitir a programação e a verificação periódica • 7. Controle independente –Os sistemas em operação devem permitir correções de erro no fluxo de processamento 83 Controles Internos • 8. Monitoramento –A gerência deve ter acesso ao controle de uso para acompanhar as transações • 9. Implantação –Planejamento da aquisição, manutenção, desenvolvimento e documentação dos sistemas 84 Controles Internos • 10. Contingência –Elaborar plano de controle de prevenção de falhas em todas as fases do sistema • 11. Custo efetivo –Planejamento dos investimentos em tecnologia da informação 85 Controles Internos • São 12 os principais tipos de controles internos. • 1. Integridade de dados e processos –Acesso aos dados, confidencialidade, controles de mudanças no sistema... 86 Controles Internos • 2. Segurança de sistemas –Acesso físico e lógico ao sistema e ao banco de dados, uso de criptografia... • 3. Legibilidade operacional –Plano de contingência, treinamento de pessoal, documentação... 87 Controles Internos • 4. Conformidade –Aspecto legais, políticas da organização, se cumpre normas regulatórias, se possui seguro... • 5. Guarda de registros –Logs do sistema, registro de tudo que ocorre no ambiente de TI... 88 Controles Internos • 6. Guarda de ativos –Trata do inventário da organização... • 7. Programas e sistemas –Manter o monitoramento dos programas... • 8. Organização e administração –Segregação de funções, organização de projetos (PMO)... 89 Controles Internos • 9. Processo de desenvolvimento –Se utiliza padrões e procedimentos corretos, se está sendo documentado e testado... • 10. Ambiente de TI –Segurança física e lógica do ambiente, Se utiliza o ITIL... 90 Controles Internos • 11. Contrato de serviços –Se os contratos são auditados... • 12. Procedimentos e padrões –Se as definições feitas pela organização são cumpridas no âmbito da TI, se são alvo de auditoria... 91 Auditoria de Sistemas João Paulo Brognoni Casati Atividades 93 Atividade 1 Quais são as áreas de atuação da auditoria? Auditoria de campo e Âmbito da auditoria. 94 Atividade 2 Sobre o processo de desenvolvimento de software, dê 2 exemplos de controles internos que podem ser adotados. - A verificaçãose o software está sendo documentado; - A verificação se normas e padrões estão sendo devidamente adotados. 95 Atividade 3 Cite uma medida que pode ser adotada para o cumprimento do objetivo da contingência. - Elaboração de plano de contingência e recuperação de desastres. 96 Atividade 4 O que a etapa de familiarização com a área de sistemas contempla? - Compreensão dos produtos, dos serviços e dos processos da área de TI. Auditoria de Sistemas João Paulo Brognoni Casati Aula 4 Conteúdo da Aula • As fases da auditoria de sistemas • Ferramentas de auditoria de sistemas 98 Fases da Auditoria • Auditoria dividida em 4 fases: 99 Fases da Auditoria • Fase de Planejamento: 100 Fases da Auditoria • Na fase de planejamento, o auditor –Define áreas de risco (ponderação) –Define abrangência –Define cronograma –Define prioridades (ponderação) –Define controles a serem auditados 101 Fases da Auditoria • Método de ponderação 102 Item Peso Nota Total Custo do sistema 15 6 90 Valor diário das transações 15 9 135 Volume diário das transações 10 8 80 Visibilidade do cliente 10 10 100 Impacto 15 9 135 Extensão do sistema 10 6 60 Capacitação da equipe 10 8 80 Total geral 680 Fases da Auditoria • Método de ponderação 103 Escore de risco Prioridade até 200 Baixa de 201 a 300 Média de 301 a 500 Alta acima de 500 Muito alta Fases da Auditoria • Fase de Execução: 104 Fases da Auditoria Processo de auditoria iniciado! • Fase de execução: –Auditoria propriamente dita –Solicitações são feitas ao auditado • Por escrito 105 Fases da Auditoria • Ocorre a verificação dos controles internos –Execução de testes –Medidas de testes –Avaliação de conformidade – Identificação de vulnerabilidades, fraquezas, inconsistências e irregularidades 106 Fases da Auditoria • Fase de Emissão de Relatórios: 107 Fases da Auditoria • Fase de Emissão de Relatórios: –O auditor não corrige falhas • O auditor faz recomendações –O relatório possui “nota” • Falhas e recomendações • As correções possuem datas para serem implementadas 108 Fases da Auditoria • Fase de Follow-up (acompanhamento): 109 Fases da Auditoria • Fase de follow-up (acompanhamento) –As falhas apontadas no relatório são um compromisso entre auditor e auditado –A resposta do auditado ao relatório final • O auditor deve acompanhar a correção das falhas apontadas 110 Ferramentas de auditoria • As ferramentas podem ser: –Softwares generalistas –Softwares especializados –Softwares utilitários 111 Ferramentas de auditoria • Softwares generalistas –Chamados: software de prateleira –Rodam em ambiente batch (off-line) –Carecem de personalização –Buscam resolver problemas comuns 112 Ferramentas de auditoria • Vantagens (softwares generalistas): –Processar vários arquivos ao mesmo tempo – Integração com softwares e hardwares –Requer menos conhecimento de informática do auditor 113 Ferramentas de auditoria • Desvantagens (softwares generalistas): – Impossibilita aplicações on-line – Impossibilita a execução de cálculos complexos e específicos 114 Ferramentas de auditoria • Exemplos (softwares generalistas): –ACL (Audit Command Language) – IDEA (Interactive Data Extraction & Analysis) –Galileo –Pentana 115 Ferramentas de auditoria • Softwares especialistas: –Atende melhor para a especialidade que foi desenvolvido –Resolvem menor número de problemas –Geralmente desenvolvidos por auditores 116 Ferramentas de auditoria • Vantagens (softwares especialistas): – Inclusão de testes e verificações de controles internos específicos –Soluções para auditar áreas mais complexas –Vantagem competitiva 117 Ferramentas de auditoria • Desvantagens (softwares especialistas): –O auditor deve estar familiarizado com desenvolvimento de software –Alto custo para desenvolvimento destas soluções 118 Ferramentas de auditoria • Softwares utilitários: –São utilizados para funções básicas de auditoria –Podem ser utilizados para diversas finalidades –SOs e SGBDs possuem softwares deste tipo 119 Ferramentas de auditoria • Softwares utilitários –Apoiam a auditoria em funções auxiliares –Pode-se atingir bons resultados –Possuem baixo custo 120 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 4 122 Atividade 1 Em que fase da auditoria são definidos os controles que serão auditados? Fase de planejamento 123 Atividade 2 Em que fase da auditoria são executados os testes e medidas? Fase de execução 124 Atividade 3 Cite duas vantagens da utilização de software especialista. 1. Auditoria de áreas mais complexas 2. Vantagem competitiva 125 Atividade 4 Cite duas vantagens da utilização de software generalista. 1. Integração com outros softwares 2. Requer menos conhecimento em informática Auditoria de Sistemas João Paulo Brognoni Casati Aula 5 Conteúdo da Aula • Técnicas de Auditoria –14 técnicas 127 Técnicas de Auditoria • Nem sempre são utilizadas as mesmas técnicas: –Dependem do tipo e objetivo da auditoria • Cada auditoria demanda a utilização de diferentes técnicas • Nem todas precisam ser utilizadas 128 Técnicas de Auditoria • Software para auditoria –Agilidade –Automação –Padronização –Cálculos complexos –Estatísticas 129 Técnicas de Auditoria • Software para auditoria –Utilização de logs –Listagem de código-fonte • Locais específicos –Execução de testes • Dados reais e programa desenvolvido • Dados artificiais e programa em produção 130 Técnicas de Auditoria • Questionário –Comum em auditorias –Direcionados a: • Segurança da informação • Eficiência no uso dos recursos de TI –Normalmente é acompanhada por outras técnicas (visita, entrevista) 131 Técnicas de Auditoria • Visita in loco –O auditor se desloca ao local e faz verificações –Deve ser agendada formalmente –Costuma clarear pontos nebulosos –Utilizado com outras técnicas 132 Técnicas de Auditoria • Visita in loco –Ações: • Obtenção de dados por observação • Obtenção de dados por teste • Obtenção de dados por documentação • Anotação de informações para uso posterior 133 Técnicas de Auditoria • Entrevista –Pode ser feita: • Pessoalmente • Por telefone • Por videoconferência –Deve seguir a sequência do processo a ser auditado 134 Técnicas de Auditoria • Tipos de entrevista –Estruturada • Formulários definidos no planejamento –Não estruturada • As perguntas são feitas conforme o rumo –Semiestruturada • Segue formulários mas pode ter alterações 135 Técnicas de Auditoria • Teste de observância (aderência) –Verifica a credibilidade dos controles –Determina se controles estão sendo cumpridos por observação –O auditado não sabe que está sendo observado 136 Técnicas de Auditoria • Teste substantivo –Utilizado para obtenção de provas convincentes sobre operações –Objetivos • Verificar: existência real de transações, integridade das informações, se itens foram avaliados corretamente, etc... 137 Técnicas de Auditoria • Dados de teste (test data ou test deck) –O auditor prepara conjunto de dados para testar os controles do sistema –Possuem dados de entrada e dados de saída esperados –Dados de saída são comparados aos desejados 138 Técnicas de Auditoria • Teste integrado –Utilizada com sistema em produção – Insere-se entidades fictícias –Verifica funcionamento do sistema sem alteração dos dados de entidades reais 139 Técnicas de Auditoria • Simulação paralela –O auditor desenvolve um programa que simula as funções do sistema –O programa é executado com a massa de dados real –Faz o oposto do teste integrado 140 Técnicas de Auditoria • Lógica de auditoria embutida nos sistemas –O sistema pode emitir relatório de auditoria com base em sua utilização –Deve ser implementada no sistema em desenvolvimento 141 Técnicas deAuditoria • Lógica de auditoria embutida nos sistemas –Vantagem • Monitoria permanente do sistema –Desvantagens • Custo adicional no desenvolvimento • Perda no desempenho 142 Técnicas de Auditoria • Mapeamento estatístico dos programas –Necessita inclusão de instruções especiais no sistema. Esta técnica verifica: • Frequência de utilização de rotinas • Rotinas fraudulentas • Rotinas de controle acionadas • Outros tipos de rotina... 143 Técnicas de Auditoria • Rastreamento dos programas –O auditor rastreia a transação durante o processamento –O passo-a-passo de uma operação é registrado –Permite detectar ações fraudulentas e caminhos incorretos das transações 144 Técnicas de Auditoria • Análise da lógica de programação –Determina se a lógica da programação está em conformidade com a documentação –O auditor deve ser conhecedor da linguagem de programação utilizada e técnicas de desenvolvimento de software 145 Técnicas de Auditoria • Análise de log –O log é um arquivo que registra acessos e erros de um sistema –Ao analisar este arquivo, o auditor pode: • Monitorar e determinar erros de programa • Flagrar uso de programas fraudulentos • Captar tentativas de acesso indevido 146 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 5 148 Atividade 1 Qual a diferença entre o teste integrado e a simulação paralela quanto ao uso dos dados? O teste integrado utiliza dados artificiais enquanto a simulação paralela utiliza os dados reais do sistema. 149 Atividade 2 Quais são os tipos de entrevista utilizados em auditoria de sistemas? - Estruturada - Não estruturada - Semiestruturada 150 Atividade 3 Qual a importância de se possuir logs de sistemas? Os logs possuem informações sobre a utilização, acesso e erros do sistema, importantes para monitoramento e auditoria. Auditoria de Sistemas João Paulo Brognoni Casati Aula 6 Conteúdo da Aula • Auditoria de controles organizacionais e operacionais • Descrição de cargos em TI 152 Auditoria de controles organizacionais e operacionais • Controles organizacionais e operacionais –Controles administrativos • Processo de fluxo das transações • Auxiliam no cumprimento dos objetivos do negócio 153 Auditoria de controles organizacionais e operacionais • Responsabilidades destes controles: –Delineamento das responsabilidades –Coordenação de orçamento de capital –Desenvolvimento das políticas (informática) – Intermediação com terceiros –Gerenciamento de suprimentos –Desenvolvimento de plano de capacitação 154 Auditoria de controles organizacionais e operacionais • Políticas organizacionais – Importantes para que os objetivos da organização sejam alcançados –Devem ser seguidas por todos os funcionários de uma empresa –Seu descumprimento pode significar demissão por justa causa 155 Auditoria de controles organizacionais e operacionais • Políticas organizacionais 156 Auditoria de controles organizacionais e operacionais • Sequência do processo de implantação de uma política organizacional 1. Identificação dos recursos críticos 2. Classificação das informações 3. Identificação das possíveis ameaças e análise de risco 157 Auditoria de controles organizacionais e operacionais 4. Objetivos de segurança a serem alcançados 5. Elaboração de proposta da política 6. Discussão com os envolvidos 7. Apresentação de documento formal à gerência superior 158 Auditoria de controles organizacionais e operacionais 8. Aprovação pela gerência superior 9. Divulgação e implantação 10. Avaliação da política e identificação das mudanças 11. Revisão e implementação definitiva 159 Auditoria de controles organizacionais e operacionais • Classificação da informação –Públicas ou de uso irrestrito – Internas ou de uso interno –Confidenciais –Secretas 160 Auditoria de controles organizacionais e operacionais • Após implantação da política –Deve ser divulgada –Pode ser necessário treinamento aos colaboradores –A avaliação é feita, normalmente, durante período de 6 meses a 1 ano 161 Auditoria de controles organizacionais e operacionais • Após revisão: – Implantação definitiva • Após implantação definitiva –Não pode ser alterada • Os procedimentos podem ser alterados, porém a política em si, não. 162 Auditoria de controles organizacionais e operacionais • Violação da política –É de difícil detecção –Procedimentos • Podem ser adotados visando evitar violações –Deve-se investigar as violações 163 Auditoria de controles organizacionais e operacionais • A Violação da política pode ocorrer por: –Negligência, Erro, Acidente, Problema no plano de sistemas de informação, ação deliberada, entre outros A política deve possuir ação a ser tomada em caso de violação, incluindo correção de vulnerabilidades 164 Auditoria de controles organizacionais e operacionais • Descrição de cargos em TI –Auxiliam a implantação consistente de controles internos na área de tecnologia da informação. 165 Auditoria de controles organizacionais e operacionais • Supervisor de infraestrutura de TI –Planejar a capacidade da TI –Buscar recursos para o ambiente –Coordenar ações para projetos e metas –Garantir o perfeito funcionamento da TI com equipe técnica competente 166 Auditoria de controles organizacionais e operacionais • Administrador de redes – Instalar e fornecer suporte aos servidores –Administrar contas de usuários e acessos –Monitorar desempenho da rede –Adotar ações para implantação de novas tecnologias 167 Auditoria de controles organizacionais e operacionais • Administrador de bancos de dados –Planejar e executar os backups – Implantar ajustes e melhorias quando do surgimento de novas tecnologias –Planejar e implantar estratégias para o uso dos bancos de dados –Administrar o ambiente de bancos de dados 168 Auditoria de controles organizacionais e operacionais • Administrador de segurança – Implantar a política de segurança –Detectar invasões e realizar as correções – Identificar vulnerabilidades da rede –Manter a estrutura de segurança atualizada –Pesquisar falhas de segurança em geral e manter a melhoria contínua 169 Auditoria de controles organizacionais e operacionais • Analista de sistemas –Especificar requisitos junto aos clientes –Analisar e projetar aplicativos –Manter serviço de verificação de aplicativos –Testar sistemas desenvolvidos –Manter documentação atualizada –Dar suporte e fazer ajustes nos aplicativos 170 Auditoria de controles organizacionais e operacionais • Web designer – Implementar soluções de design propostas e aprovadas pelos responsáveis –Efetuar manutenção em sites –Pesquisar sobre novas ferramentas de design 171 Auditoria de controles organizacionais e operacionais • Profissional de suporte técnico –Efetuar manutenção preventiva e corretiva dos equipamentos instalados –Fazer inventário de hardware e software –Fornecer suporte técnico aos usuários –Acompanhar chamados até sua solução 172 Auditoria de controles organizacionais e operacionais • Supervisor de service desk –Documentar problemas operacionais –Solucionar problemas secundários –Encaminhar problemas específicos –Controlar a qualidade na entrega do serviço 173 Auditoria de controles organizacionais e operacionais • Supervisor de restart/recovery –Definir procedimentos para recuperação de dados –Definir rotinas de backup – Instalar no-breaks e anti-vírus – Implementar hot-site –Providenciar cold-site 174 Auditoria de controles organizacionais e operacionais • Bibliotecário –Manter controle sobre a responsabilidade de se manter a documentação de sistemas –Manter bibliotecas de consulta 175 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 6 177 Atividade 1 O que pode ser alterado após a implantação definitiva de uma políticaorganizacional? Apenas os procedimentos. 178 Atividade 2 Por quem devem ser seguidas as políticas organizacionais de uma empresa? Por todos os funcionários. 179 Atividade 3 Qual ou quais as funções responsáveis pelo backup dos dados? Administrador de bancos de dados e supervisor de restart/recovery. 180 Atividade 4 Cite 2 funções do administrador de segurança. 1. Implantar as políticas de segurança 2. Manter a estrutura atualizada Auditoria de Sistemas João Paulo Brognoni Casati Aula 7 Conteúdo da Aula • Auditoria direcionada –Auditoria de redes –Auditoria de hardware –Auditoria de controles de acesso –Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas 182 Auditoria Direcionada • Auditoria de redes –De suma importância para as organizações –Pode ser dividida em: • Intranet • Internet • Extranet 183 Auditoria Direcionada • Objetivos da auditoria de redes –Segurança física –Segurança lógica –Segurança de enlace –Segurança de aplicação 184 Auditoria Direcionada • Itens avaliados na auditoria de redes –Planejamento da rede com visão estratégica –Desenho das arquiteturas e topologias – Implantação dos projetos –Monitoramento: • Desempenho • Interceptações 185 Auditoria Direcionada • Checklist para auditoria de redes –Verificar as políticas organizacionais; –Verificar os controles de ambiente. • Plataforma: hardware, software, etc. –Verificar controles sobre o software; –Verificar controles de segurança; –Outros... 186 Auditoria Direcionada • Auditoria de hardware –Visa implantar procedimentos de segurança física dos equipamentos; –Manter inventários é de grande importância; –Padronização na aquisição de equipamentos. • Compatibilidade 187 Auditoria Direcionada • Manutenção de hardware –Prazo de atendimento dos chamados; –Tempo máximo para resolução de problemas; –Período coberto por contratos. • Madrugada, fins de semana, feriados, etc. 188 Auditoria Direcionada • A auditoria de hardware garante: –Proteção dos equipamentos • Servidores, CPUs, Terminais... –Equipamento de restrição de acesso • Impossibilitar o acesso de pessoas não autorizadas em ambientes da organização. 189 Auditoria Direcionada • Checklist para auditoria de hardware –Verificar controles de acesso físico ao ambiente de TI; –Verificar controles de acionamento e desligamento de máquinas; –Verificar localização e infraestrutura do CPD; –Controle de backup e off-site. 190 Auditoria Direcionada • Auditoria de controles de acesso –O controle de acesso pode ser dividido em: • Acesso físico: relativo à entrada de pessoas em recintos. • Acesso lógico: relativo ao acesso às informações. 191 Auditoria Direcionada • Controles de acesso físico –Crachás –Biometria • Controles de acesso lógico –Senhas • Deve-se tomar cuidados ao criar senhas! –Logs: sem acesso 192 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar políticas de segurança; –Verificar rotinas e procedimentos para atribuição ou modificação do nível de acesso; –Verificar software de controle de acesso. 193 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar os controles de acesso às transações; –Verificar controle da utilização de software; –Verificar controle da utilização de rede. 194 Auditoria Direcionada • Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas –Dúvida: • Comprar ou Desenvolver software? –Softwares prontos são mais baratos, mas... • Supre as necessidades? 195 Auditoria Direcionada • Aquisição ou Desenvolvimento –Considerar a viabilidade: • Econômica • Operacional • Técnica –Tomar decisão final 196 Auditoria Direcionada • Ações em caso de aquisição –Planejamento das aquisições –Documentação dos requisitos –Cotações, ofertas, propostas –Seleção da melhor proposta –Contrato e relacionamento com fornecedor –Fechamento do contrato 197 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Aprovação para início do projeto –Definição dos requisitos –Declaração do escopo –Definição das atividades do projeto –Cronograma do projeto –Orçamento do projeto 198 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Definição da equipe e outros recursos –Necessidades de treinamento –Plano de implantação –Plano de contingência e riscos –Atualização da biblioteca de produção 199 Auditoria Direcionada • É necessário também: –Testar o sistema • Garantir que os requisitos funcionais e não funcionais são atendidos. –Documentar o sistema • Documentação deve seguir linguagem e padrões corretos. 200 Auditoria Direcionada • Sobre a documentação, deve-se verificar: –Se está em uma biblioteca; –Se segue os padrões; –Se possui narrativas; –Se possui fluxograma do sistema e arquivos; –Se possui manual de operação do usuário. 201 Auditoria Direcionada • A auditoria direcionada a este caso deve verificar se: –Há necessidade de um sistema novo; –Se os usuários fazem recomendação sobre aquisição ou desenvolvimento interno; –Se as funcionalidades, tecnologia e segurança são esclarecidos (aquisição); 202 Auditoria Direcionada –Se os usuários são treinados para operar o sistema; –Se a manutenção pode ser feita sem interrupção das operações; –Se a documentação está disponível. 203 Auditoria Direcionada • Checklist: –Especificação do sistema • Procedimentos para elaboração de requisitos –Aquisição de sistemas • Procedimento para envolvimento de usuários na seleção, especificação ou modificação de sistemas. 204 Auditoria Direcionada • Procedimentos que determinam prioridades para projetos de desenvolvimento e manutenção. • Procedimentos para rever as especificações dos projetos por pessoal de operação. 205 Auditoria Direcionada –Programação • A organização desenvolve ou modifica sistemas internamente. –Teste • Procedimentos para testar aplicativos novos ou que sofreram alterações. 206 Auditoria Direcionada –Documentação • Manutenção da documentação para sistemas significativos. –Manutenção • Manutenção de programas está sujeita aos padrões de programação. 207 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 7 209 Atividade 1 Dê dois exemplos de controle de acesso físico. O uso de crachás ou cartões de identificação e biometria. 210 Atividade 2 Dê dois exemplos de controle de acesso físico biométrico. Reconhecimento de impressão digital e reconhecimento de íris. 211 Atividade 3 Quais são os três tipos de redes? Intranet, Internet e Extranet 212 Atividade 4 O que deve ser considerado ao optar por aquisição ou desenvolvimento interno de sistemas? A viabilidade econômica, operacional e técnica. Auditoria de Sistemas João Paulo Brognoni Casati Aula 8 Conteúdo da Aula • Auditoria direcionada –Auditoria de operação –Auditoria de suporte técnico –Auditoria de aplicativos –Auditoria de eventos 214 Auditoria Direcionada • Auditoria de operação –É a auditoria das operações de um sistema. –São algumas das operações: • Inicialização do sistema • Desligamento do sistema • Monitoramento dos sistemas e redes • Plano de capacidade da TI 215 Auditoria Direcionada • Gerenciamento de bibliotecas e backups • Automação da produção • Coordenação e programação de atualização de equipamentos • Plano de recuperação de desastres • Gerenciamento do service desk 216 Auditoria Direcionada • Principal objetivo –Verificar a existência de controles internos que garantam que as operações da organização estão em conformidade. • Verificar também se os controles são suficientes. 217 Auditoria Direcionada • Checklist –Controle sobre o processo operacional –Controle sobre o monitoramento –Controle sobre as entradas off-line –Controles de restart/recovery –Controles que
Compartilhar