Baixe o app para aproveitar ainda mais
Prévia do material em texto
Governança de Tecnologia da Informação Aula 02 Direito, auditoria e qualidade na TI Objetivos Específicos • Entender os fundamentos de direito, auditoria e qualidade na TI. Temas Introdução 1 Fundamentos do Direito 2 A auditoria em Tecnologia da Informação 3 Elementos da auditoria de sistemas 4 Qualidade em Tecnologia da Informação Considerações finais Referências Professores Autores Bruno Domingos Rodrigues / Ricardo Mathias de Castro Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 2 Introdução Quando tratamos de temas relacionados à Tecnologia da Informação, muitas vezes nos esquecemos de aspectos de controle. Uma das práticas que vem impactando, cada vez mais, em nosso dia a dia é o atendimento a leis nacionais e, por vezes, internacionais no desenvolvimento de aplicações e na criação de soluções. Dessa forma, é importante que conheçamos a influência que leis, regulamentos, normas e boas práticas de mercado exercem sobre o nosso dia a dia. Devemos, então, questionar: quais são os fundamentos do direito e como ele influencia as relações mediadas pela informática e pela internet? Como garantir conforto das corporações, dos órgãos reguladores e auditores independentes em suas avaliações periódicas de riscos e controles internos em TI? Quais os fatores a serem considerados nas questões relacionadas à qualidade de TI? 1 Fundamentos do Direito O Direito, enquanto processo de resolução de conflitos, delimita problemas e os resolve. Podemos enxergá-lo como um procedimento silogístico, ou seja, de maneira lógica, para que se possa deduzir uma conclusão a partir de premissas. Os problemas são delimitados enquanto pontos controvertidos surgidos no processo judicial e são resolvidos por meio de decisões tomadas pelo juiz. A resolução final do conflito ocorre por meio da aplicação do Direito. De modo simplificado, a decisão é um ato no qual uma possibilidade é escolhida e outras são descartadas (FERREIRA, 2012). O juiz, então, irá escolher uma versão para os fatos narrados (que pode ser a versão de uma das partes, uma mescla de ambas ou uma versão do próprio juiz com base na apresentação das provas obtidas), selecionar as leis aplicáveis, delimitar seus significados por meio de uma interpretação e, por fim, transformar o texto legal em um texto sentencial (FERREIRA, 2012). Nos últimos anos, houve um aumento significativo nas ações judiciais envolvendo aspectos da tecnologia, por exemplo, as que visam à identificação de usuários, as relacionadas à recuperação de evidências eletrônicas, a empresas que cometeram atos ilícitos, e até devido a crimes na internet (BLUM; FERRÃO, 2008). Um aspecto importante que destacamos é que toda interação efetuada no âmbito informático gera registros, seja nos provedores e servidores responsáveis pelo acesso ou conteúdo, seja nas aplicações de negócio. Esses rastros (ou evidências) viabilizam a identificação do usuário responsável por determinada conduta indevida, concluindo-se que os ilícitos e crimes digitais sempre deixam vestígios (BLUM; FERRÃO, 2008). Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 3 1.1 O Direito em Tecnologia da Informação Um grande equívoco que, por vezes, se verifica é a afirmação da inexistência de leis que regulem a internet e o uso dos recursos tecnológicos, como se o ambiente informático fosse um mundo sem leis, no qual se admitiria qualquer conduta, ainda que ofensiva a empresas e pessoas (BLUM; FERRÃO, 2008). No mercado global atual, impulsionado pela internet e pelas tecnologias avançadas, as organizações são levadas a cumprir um crescente número de exigências legais e regulatórias. Devido a escândalos corporativos e a crises financeiras nos últimos anos, há uma maior conscientização dos membros da Alta Administração da existência e implicações de leis e regulamentos mais rigorosos. As partes interessadas exigem uma maior garantia de que as organizações atuem conforme as leis e os regulamentos e em conformidade com boas práticas de Governança Corporativa em seu mercado (BLUM; FERRÃO, 2008). Ocorre que a legislação vigente pode ser aplicada para regular os conflitos originados do uso das novas tecnologias. Assim, inúmeras condutas enquadram-se no conceito de ato ilícito (âmbito civil) ou até mesmo no conceito de crime (âmbito penal), quando previsto na norma para que exista o crime (BLUM; FERRÃO, 2008). Nessa linha, é possível afirmar que, aos profissionais e às empresas de tecnologia, são assegurados os direitos constitucionais vigentes relacionados à proteção à marca, propriedade intelectual, privacidade, honra, imagem, nome, liberdade de manifestação do pensamento, sendo proibido o anonimato. Logo, a violação desses direitos é passível de indenização por danos morais e materiais (BLUM; FERRÃO, 2008). No ano de 2013, a empresa brasileira Embraer fez um acordo milionário com a Microsoft para evitar um processo judicial internacional relativo ao uso de software sem licença. A denúncia foi feita pela Microsoft no estado de Washington (EUA) com base no “Unfair Competition Act”, lei que proíbe a venda de qualquer produto fabricado com o uso de TI pirata. Um processo judicial internacional envolvendo uso de software ilegal com base nessa lei acarretaria o impedimento da venda de aeronaves em 37 dos 50 estados americanos, caso a Embraer fosse condenada em tribunal (FELLICI, 2013).. Além disso, devido ao fato de a TI ter viabilizado processos de negócios pervasivos integrados entre organizações, existe uma crescente necessidade de assegurar que os contratos incluam importantes requisitos de TI em áreas tais como privacidade, confidencialidade, propriedade intelectual e segurança (BLUM; FERRÃO, 2008). A Alta Administração deve garantir que o cumprimento dos requisitos regulatórios Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 4 externos seja tratado como parte de um planejamento estratégico ao invés de se materializar em uma reação tardia e custosa. Os membros da Alta Direção também devem dar o tom do alto escalão e estabelecer políticas e procedimentos para seus gerentes e equipes, para garantir que os objetivos corporativos sejam alcançados, o risco seja minimizado e a conformidade seja atingida. A alta gerência deverá encontrar o equilíbrio adequado entre desempenho e conformidade, garantindo que as metas de desempenho não coloquem em risco a conformidade e, de forma recíproca, que o regime de conformidade seja adequado e não restrinja excessivamente a operação do negócio (BLUM; FERRÃO, 2008). Dessa forma, a conformidade com as leis e os regulamentos externos é um dos objetivos estratégicos de negócio para a maioria das corporações, o qual, no contexto de tecnologia, deve ser apoiado adequadamente por sistemas de informação para uma conveniente redução de riscos negativos para o negócio e para as partes interessadas (ISACA, 2012). O COBIT® 5 (ISACA, 2012) mapeia os objetivos corporativos nas dimensões do balanced scorecard e os vincula a objetivos de TI para que se garanta a conformidade com as leis e os regulamentos externos, a saber: Quadro 1 – Objetivos de TI que viabilizam o atendimento da conformidade de requisitos externos Dimensão Financeira Dimensão Cliente Dimensão Interna • Conformidade de TI e apoio para a conformidade do negócio com as leis e os regulamentos externos • Gestão do risco organizacional de TI • Transparência dos custos, benefícios e riscos de TI • Prestação de serviços de TI em consonância com os requisitos de negócio • Segurança da informação, infraestrutura de processamento e aplicativos • Disponibilidade de informações úteis e confiáveis para a tomada de decisão Fonte: ISACA (2012, p. 52). Aprofundando mais a aplicação de processos de Gestão e Governança de TI e sua contribuição e para a conformidade com as leis e os regulamentos externos do COBIT® 5 (ISACA, 2012), temos:• APO02 Gerenciar a estratégia: ajuda a garantir a existência de um alinhamento entre o plano de TI e os objetivos gerais da organização, inclusive as exigências de governança. • MEA02 Monitorar, avaliar e analisar o sistema de controle interno: permite que a diretoria avalie se os controles são adequados para cumprir os requisitos de conformidade. • MEA03 Monitorar, avaliar e analisar a conformidade com os requisitos externos: ajuda a garantir que os requisitos de conformidade externos sejam identificados, a Alta Direção estabeleça a orientação para a conformidade e a conformidade de TI em Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 5 si seja monitorada, avaliada e informada como parte da conformidade geral com os requisitos da organização. O guia de auditoria do COBIT® 5 (ISACA, 2012) explica como os auditores podem fornecer uma garantia independente da conformidade e aderência às políticas derivadas de diretivas internas ou de exigências legais, regulatórias ou contratuais externas, confirmando que todas as ações corretivas para tratar de qualquer falha na conformidade tenham sido tomadas tempestivamente pelo responsável pelo processo. 2 A auditoria em Tecnologia da Informação As descobertas das auditorias regulares sobre desempenho de TI ou relatórios de problemas com a qualidade atuam, geralmente, como motivadoras de mudança na cultura de controles das grandes corporações, principalmente quando relacionadas a riscos de não atendimento à conformidade regulamentar (SCHMIDT; SANTOS; ARIMA, 2006). A Auditoria de Sistemas de Informação é parte de uma disciplina maior no processo de auditoria, que é reconhecido como um dos facilitadores da boa governança corporativa. Schmidt, Santos e Arima (2006, p. 27) definiram Auditoria de Sistemas de Informação como “[...] o processo de coleta e avaliação de evidências para determinar se um sistema de computador (ou de informação) salvaguarda os ativos, mantém a integridade dos dados, atinge as metas organizacionais com efetividade e consome recursos de forma eficiente”. Os Sistemas de Informação são a força vital das maiores organizações (AKABANE, 2012). Em um passado recente, os sistemas computadorizados eram meros registradores de transações; entretanto, hoje direcionam os processos-chave empresariais. Nesse cenário, existe real preocupação dos mais altos cargos da administração sobre o ambiente sistêmico. O propósito da Auditoria de Sistemas é revisar e proporcionar informação, garantias e sugestões. De forma simplista, podemos afirmar que sua principal contribuição é dar opinião sobre um determinado ambiente analisado (ISACA, 2012). Ademais, segundo Schmidt, Santos e Arima (2006), podemos agrupar as principais preocupações da administração em três categorias básicas: • Disponibilidade: os sistemas de informação, cujos negócios estão altamente dependentes, estarão disponíveis sempre que necessário? Os sistemas estão protegidos contra todo tipo de perda e desastre? Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 6 • Confidencialidade: as informações estarão disponíveis apenas àquelas pessoas que precisam e devem ter acesso e a mais ninguém? • Integridade: a informação fornecida pelos sistemas será sempre precisa, confiável e atualizada? O que garante que nenhuma modificação não autorizada pode ser feita nos dados e no software em um sistema? 3 Elementos da auditoria de sistemas Os elementos da auditoria de sistemas são complexos e têm muitos componentes juntos que formam uma solução de negócio. Podem representar um sistema de informação não limitado ao computador (AKABANE, 2012). A garantia dos controles só pode ser obtida se todos os componentes forem analisados e segurados, tendo em mente o provérbio: “o elo mais fraco da corrente compromete o todo”. Os principais elementos da Auditoria de Sistemas podem ser classificados de forma ampla em (SCHMIDT; SANTOS; ARIMA, 2006): • Revisão física e de ambiente: inclui segurança física, suprimento de energia, condicionamento de ar, controle de umidade e outros fatores de ambiente. • Revisão da administração de sistemas: inclui revisão de segurança dos sistemas operacionais, gestão de banco de dados, procedimentos de administração e sua aderência a normas internas e externas. • Revisão da segurança de rede: revisão das conexões internas e externas do sistema, segurança perimetral, revisão de firewall, listas de controle de roteamento, port scanning e detecção de intrusão são algumas áreas a serem abordadas. • Revisão da continuidade de negócios: inclui a existência e manutenção de hardware redundante e tolerante a falhas, procedimentos de backup e armazenamento, e planos de continuidade de negócios/recuperação de desastres documentados e testados. • Revisão da integridade de dados: o propósito dessa profunda análise dos dados é verificar a adequacidade dos controles e impactos das vulnerabilidades verificadas em qualquer das avaliações anteriores feitas. Esses testes substantivos podem ser feitos usando ferramenta específica de auditoria. • Revisão dos sistemas aplicativos: os sistemas aplicativos podem ser de folha de pagamento, contas a pagar, processamento de pedidos com base em web ou um ERP que apoiam o negócio. A revisão de tais sistemas aplicativos inclui os controles de acesso e autorização, validação, tratamento de erros e exceções, fluxo do processo de negócio na aplicação e os controles e procedimentos manuais complementares à operação. Adicionalmente, também deve ser feita uma avaliação no ciclo de vida do sistema. Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 7 Todos esses elementos devem ser tratados para apresentar à administração uma avaliação clara do ambiente de sistemas. Por exemplo, um sistema aplicativo pode ser bem desenhado e implementado com todas as características de segurança, mas a senha padrão do administrador usada no sistema operacional pode não ter sido trocada, permitindo, dessa forma, que alguém acesse diretamente os arquivos de dados. Tal situação burla todos os controles de segurança da aplicação. Da mesma forma, firewalls e outros sistemas de proteção podem ter sido bem implementados, mas a definição do controle de acesso do sistema aplicativo pode ter sido tão mal desenhada que com o próprio user ID, o usuário pode ter acesso à informação considerada crítica e sensível, além da sua necessidade e autorização (ISACA, 2012). As práticas de auditoria em Tecnologia da Informação são tratadas pela associação internacional, Information Systems Audit and Control Association (ISACA), que possui certificações profissionais e diversos padrões vinculados ao tema de auditoria e avaliação de controles informáticos. Acesse o material disponibilizado na Midiateca. É importante que você entenda que cada auditoria pode avaliar um ou mais elementos em uma única empreitada ou em trabalhos distintos. Isso ocorre seja por falta de qualificação técnica específica em cada um desses assuntos, seja pela determinação de uma limitação de escopo na análise. Cada componente, entre os descritos anteriormente necessita de experiência e qualificação técnica distinta. Contudo, todos os componentes devem ser olhados de forma ampla e relacionados de forma a serem complementares. Essa visão possibilita tanto ao auditor quanto à administração terem uma visão total dos problemas. Assim, essa visão torna-se crítica para o sucesso das avaliações (SCHMIDT; SANTOS; ARIMA, 2006). 4 Qualidade em Tecnologia da Informação Apesar de existirem sólidas metodologias de desenvolvimento de projeto de software no mercado, muitas vezes os problemas com aplicações geram problemas operacionais no cotidiano da organização (MOLINARO; RAMOS, 2010). Uma pesquisa da IBM (2009) mostrou que os membros da equipe de desenvolvimento e a administração são avaliados e recompensados com base na pontualidadeda entrega, dentro do orçamento, de seus projetos. Eles não são necessariamente avaliados por critérios de qualidade ou critérios de benefícios para a organização. Consequentemente, eles se concentram diligentemente no prazo de entrega e na redução de custos durante o desenvolvimento, por exemplo, tempo dos testes. A pesquisa mostrou, também, que o cumprimento da metodologia e dos procedimentos estabelecidos praticamente não existe, uma vez que ela exigiria um pouco mais de tempo no desenvolvimento do orçamento (em favor da qualidade) (IBM, 2009). Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 8 Além disso, a estrutura organizacional se apresenta de tal forma que o envolvimento da área de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe de operações. A partir daí, o envolvimento com a área de desenvolvimento é somente indireto, por meio dos processos criados para controle de incidentes e controle de problemas. Além disso, a estrutura organizacional se apresenta de tal forma que o envolvimento da área de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe de operações (MOLINARO; RAMOS, 2010). O objetivo da Gestão da Qualidade no contexto da Governança de TI visa a definir e comunicar os requisitos de qualidade de todos os processos, procedimentos e resultados corporativos relacionados, inclusive controles, monitoramento contínuo e o uso de práticas e padrões comprovados nos esforços de melhoria e eficiência contínuos (ISACA, 2012). As práticas de Gestão de Qualidade em Governança Corporativa de TI, bem como sua relação com outros processos e atividades de TI e suas principais métricas são descritas, detalhadamente, no documento COBIT® 5: Processos Habilitadores, disponível na Midiateca. Neste contexto, algumas das práticas-chave de controle para a garantia da qualidade podem ser expressas em seis atividades básicas (ISACA, 2012): 1. Criar um sistema de gerenciamento da qualidade: criar e manter um Sistema de Gestão da Qualidade (SGQ) que disponibilize uma abordagem padronizada, formal e contínua para o gerenciamento da qualidade da informação, facilitando os processos do negócio e de tecnologia alinhados aos requisitos do negócio e ao gerenciamento da qualidade da empresa. 2. Definir e gerenciar padrões, práticas e procedimentos da qualidade: identificar e manter requisitos, padrões, procedimentos e práticas dos principais processos para orientar a empresa no cumprimento da intenção do Sistema de Gerenciamento da Qualidade definido. 3. Focar o gerenciamento da qualidade sobre os clientes: determinar os requisitos de gerenciamento de qualidade sobre os clientes e garantir o alinhamento com as práticas de gerenciamento da qualidade. 4. Monitorar, controlar e analisar a qualidade: monitorar a qualidade dos processos e serviços continuamente, conforme definido pelo SGQ. Definir, planejar e implementar medidas para monitorar a satisfação do cliente com a qualidade e com o valor agregado pelo SGQ. As informações reunidas devem ser usadas pelo responsável pelo processo para melhoria da qualidade. Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 9 5. Integrar o gerenciamento da qualidade às soluções para o desenvolvimento e prestação de serviço: incorporar as práticas de gerenciamento da qualidade pertinentes na definição, no monitoramento, relatório e gerenciamento contínuo do desenvolvimento de soluções e ofertas de serviços. 6. Manter a melhoria contínua: manter e comunicar regularmente um plano geral da qualidade que promova a melhoria contínua, o qual deve incluir a necessidade e os benefícios da melhoria contínua; coletar e analisar os dados sobre o SGQ e aumentar sua eficácia; corrigir não conformidades a fim de evitar recorrências; e promover uma cultura da qualidade e melhoria contínua. Com a adequada aplicação e monitoração de controles em um SGQ, busca-se garantir a execução consistente das soluções e serviços a fim de cumprir os requisitos de qualidade da empresa e atender às necessidades do participante (ISACA, 2012). Considerações finais Os desafios no atendimento de exigências regulamentares, de controle e qualidade em tecnologia tornam-se mais evidentes, uma vez que, cada vez mais, é indissociável a TI das práticas cotidianas de comunicação e negócios. Nesta aula, foram apresentados conceitos relacionados ao Direito e sua influência nas relações mediadas pela informática e pela internet, além de algumas de suas consequências para prática profissional. Vimos, também, os fundamentos da Auditoria de Sistemas de Informação, seus principais elementos e preocupações da administração envolvendo a qualidade dos sistemas de controles internos das organizações. Além disso, exploramos os componentes do Sistema de Controle de Qualidade (SGQ), relacionados à produção de soluções de sistemas de informação, divididos em seis atividades básicas. Referências AKABANE, Getúlio Kazue. Gestão estratégica da tecnologia da informação: conceitos, metodologias, planejamento e avaliações. São Paulo: Atlas, 2012. BLUM, Renato Opice; FERRÃO, Rubia Maria. A aplicabilidade das leis em TI. Âmbito Jurídico, Rio Grande, v. 11, n. 55, jul. 2008. Disponível em: <http://www.ambito-juridico.com.br/site/index. php?n_link=revista_artigos_leitura&artigo_id=2862>. Acesso em: 22 jun. 2015. FELLICI, Chico. Acordo milionário encerra disputa de Embraer e Microsoft nos EUA. Folha de S. Paulo, 19 abr. 2013. Disponível em: <http://www1.folha.uol.com.br/mercado/2013/04/1265143- acordo-milionario-encerra-disputa-de-embraer-e-microsoft-nos-eua.shtml>. Acesso em: 22 http://www.ambito-juridico.com.br/site/index http://www1.folha.uol.com.br/mercado/2013/04/1265143- Senac São Paulo - Todos os Direitos Reservados Governança de Tecnologia da Informação 10 jun. 2015. FERREIRA, Adriano de Assis. Postagens de Introdução ao Direito. 2012. Disponível em: <http:// introducaoaodireito.info/wpid/>. Acesso em: 22 jun. 2015. IBM. Sala de Imprensa: Press release: Estudo da IBM indica que 60% dos projetos corporativos destinados a implementar mudanças não atingiram seu real objetivo. São Paulo, 6 jul. 2009. Disponível em: <https://www-03.ibm.com/press/br/pt/pressrelease/27946.wss>. Acesso em: 22 jun. 2015. ISACA. COBIT 5 Modelo de Negócios para Governança e Gestão de TI da Empresa. EUA. 2012. Disponível em: <http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx>. Acesso em: 22 jun. 2015. MOLINARO, Luís Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de Tecnologia da Informação e Governança de TI: arquitetura e alinhamento entre sistemas de informação e o negócio. São Paulo: LTC (GEN), 2010. SCHMIDT, Paulo; SANTOS, José Luiz dos; ARIMA, Carlos Hideo. Fundamentos de Auditoria de Sistemas. São Paulo: Atlas, 2006. v. 9. (Coleção resumos de Contabilidade). https://www-03.ibm.com/press/br/pt/pressrelease/27946.wss http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx Introdução 1 Fundamentos do Direito 2 A auditoria em Tecnologia da Informação 3 Elementos da auditoria de sistemas 4 Qualidade em Tecnologia da Informação Considerações finais Referências
Compartilhar