O documento discute conceitos de auditoria e segurança de sistemas, incluindo definições de auditoria, tipos de auditoria, objetivos de controle, equipe de auditoria e requisitos de conhecimento.
Apostila de auditoria e segurança da informação - pronatec
1. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 1 -
ESCOLA ESTADUAL “PROFESSOR ANTÔNIO DIAS
MACIEL” NORMAL
APOSTILA
AUDITORIA E SEGURANÇA DE SISTEMAS
PROFESSORA MISLENE DALILA DA SILVA
2. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 2 -
CONCEITOS E ORGANIZAÇÃO DA AUDITORIA
Auditoria:
- exame comprobatório relativo às atividades contábeis e financeiras de uma empresa
ou instituição; auditagem.
Auditor:
- que ou aquele que ouve; ouvinte;
- técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de
sua especialidade;
- perito de contabilidade a quem se dá a incumbência de examinar minuciosamente e
dar parecer sobre as operações contábeis de uma empresa ou instituição, atestando a
correção ou incorreção das mesmas e a veracidade do balanço geral;
- magistrado, juiz togado com jurisdição privativa ou cumulativa na Justiça Militar.
Conceitos de básicos
A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua
conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas
ou padrões.
A atividade de auditoria pode ser divida em três fases: planejamento, execução e relatório.
Campo, âmbito e área.
O campo da auditoria compõe-se de aspectos como: objeto a ser fiscalizado, período e
natureza da auditoria.
Objeto: entidade a ser auditada (completa ou parcialmente, órgão ou função).
Período: espaço de tempo sobre o qual a auditoria irá atuar.
Natureza: o tipo de auditoria executada numa entidade.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria,
incluindo uma limitação racional dos trabalhos a serem executados, nível de
aprofundamento e grau de abrangência.
A área de verificação é o conjunto formado por campo e âmbito de auditoria. A área
delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e
da natureza da auditoria.
3. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 3 -
Controles, objetivos de controle, procedimentos, achados de auditoria, papéis de
trabalho e recomendações de auditoria.
O controle é a monitoração, fiscalização ou exame minucioso, que obedece a determinadas
expectativas, normas, convenções sobre as atividades de pessoas, órgãos, ou sobre
produtos a fim de não haver se desviarem das normas preestabelecidas.
Podemos classificar os controles em três tipos:
Controles preventivos: prevenção de erros, omissões ou fraudes (previne, evita,
antes da ocorrência).
Controles detectivos: detecção de erros, omissões ou fraudes e ainda relatar sua
ocorrência (por exemplo, software de controle de acesso e relatórios de
tentativas de acesso não autorizado a um determinado sistema).
Controles corretivos: usado para reduzir impacto ou corrigir erros, uma vez
detectados (por exemplo, planos de contingência).
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a
serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de
auditoria.
Os procedimentos de auditoria formam um conjunto de ações (verificações e
averiguações) que permitem obter e analisar as informações necessárias à formulação do
parecer do auditor.
É recomendado, que, antes de iniciar a auditoria, seja definida a lista de procedimento, ou
seja, a relação dos pontos a serem verificados. Entidades fiscalizadoras (RF, TCU)
costumam ter manuais de auditoria contendo objetivos de controle e procedimentos de
auditoria preestabelecidos para cada área de verificação ou natureza de auditoria.
Os achados de auditoria são fatos significativos observados pelo auditor durante a
execução da auditoria. Esses fatos, não necessariamente, erros, falhas ou fraudes, podem
ser pontos fortes da instituição, órgão, função ou produto devem ser relevantes e baseados
em dados e evidências incontestáveis.
Sub 1 Sub 3Sub 2
Âmbit
o
Camp
o
Objeto
Período
Natureza
Área de
Verificação
4. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 4 -
Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor
(documentos, tabelas, planilhas, listas de verificações, arquivos informatizados, etc.). Esses
papéis dão suporte ao relatório de auditoria, neles estão o registro da metodologia adotada,
procedimentos, verificações, fontes de informações, testes e outras informações
relacionadas ao trabalho executado pelo auditor.
As recomendações de auditoria são feitas na fase de relatório, são medidas corretivas
possíveis, a fim de corrigir deficiências detectadas durante a auditoria. Dependendo da
competência ou posição hierárquica do órgão de controle em relação à entidade auditada,
as recomendações podem se transformar em determinações a serem cumpridas.
Natureza da auditoria
Não existe padrão classificatório (tipologia) dos diversos tipos de auditoria existentes, a
seguir apresentamos alguns tipos mais comuns, classificados de acordo com os seguintes
aspectos:
Órgão fiscalizador
o Auditoria interna
Realizada por órgão interno da entidade, tem como objetivo
reduzir as probabilidades de fraudes, erros, práticas ineficientes
ou ineficazes. Deve ser independente e prestar contas
diretamente à direção da instituição.
o Auditoria externa
Realizada por instituição externa e independente da entidade
fiscalizada, com objetivo de emitir parecer sobre gestão de
recursos, situação financeira, a legalidade de suas operações.
o Auditoria articulada
Trabalho conjunto de auditorias internas e externas caracteriza-
se pelo uso de recursos e comunicações recíprocas dos
resultados.
Forma de abordagem do tema
o Auditoria horizontal
Aborda tema específico, realizada em várias entidades ou
serviços paralelamente.
o Auditoria orientada
Focada em uma atividade específica qualquer ou em atividade
com fortes indícios de erros ou fraudes.
Tipo ou área envolvida
o Auditoria de programas do governo
Acompanhamento, exame e avaliação da execução de programas
e projetos governamentais específicos (efetividade das medidas
governamentais).
o Auditoria do planejamento estratégico
Verifica se os principais objetivos da entidade são atingidos e se
as políticas e estratégias de aquisição, utilização e alienação de
recursos são respeitadas.
o Auditoria administrativa
5. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 5 -
Engloba o plano da organização, seus procedimentos e
documentos de suporte à tomada de decisão.
o Auditoria contábil
Auditoria tem objetivo de garantir a correção das contas da
instituição, conforme as devidas autorizações.
o Auditoria financeira
Ou auditoria das contas, análise das contas, da situação
financeira, da legalidade e regularidade das operações e aspectos
contábeis financeiros, orçamentários e patrimoniais, verificando
se todas as operações foram corretamente autorizadas,
liquidadas, ordenadas, pagas e registradas.
o Auditoria de legalidade
Analise da legalidade ou regularidade das atividades, funções,
operações ou gestão de recursos, verificando se estão em
conformidade com a legislação em vigor.
o Auditoria operacional
Analisa todos os níveis de gestão, nas fases de programação,
execução e supervisão, sob o ponto de vista da economia,
eficiência e eficácia. Também conhecida como auditoria de
eficiência, de gestão, de resultados ou de práticas de gestão. São
auditados todos os sistemas e métodos utilizados pelo gestor pata
a tomada de decisão, analisa a execução das decisões a aprecia
até que ponto os resultados pretendidos foram atingidos.
o Auditoria integrada
Inclui auditoria financeira e a operacional.
o Auditoria da tecnologia da informação
Analisa os sistemas de informação, o ambiente computacional, a
segurança de informações, e o controle interno da entidade,
identificando deficiências e pontos fortes. É essencialmente
operacional, conhecida como auditoria informática,
computacional ou de sistemas.
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
A Auditoria da TI é uma auditoria operacional, isto é, que analisa a gestão de recursos,
com o foco nos aspectos de eficiência, eficácia, economia e efetividade. A abrangência
desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização
do departamento de informática:
Ambiente de informática:
o Segurança dos outros controles;
o Segurança física;
o Segurança lógica;
o Planejamento de contingências;
o Operação do centro de processamento de dados.
Organização do departamento de informática:
o Aspectos administrativos da organização;
o Políticas, padrões, procedimentos, responsabilidades
organizacionais, gerência pessoal e planejamento de capacidade;
o Banco de dados;
6. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 6 -
o Redes de comunicação e computadores;
o Controle sobre aplicativos:
Desenvolvimento,
Entradas, processamento e saídas.
Embora não exista tipologia das sub-áreas da Auditoria da TI, apresentamos:
Auditoria da tecnologia da informação
É abrangente, engloba todos os controles que podem influenciar a segurança de informação
e o correto funcionamento dos sistemas de toda a organização:
Controles organizacionais;
De mudança;
De operação de sistemas;
Sobre Banco de Dados;
Sobre microcomputadores;
Sobre ambiente cliente-servidor.
Auditoria da segurança de informações
Determina a postura da organização com relação à segurança. Avalia a política de
segurança e controles relacionados com aspectos de segurança institucional mais globais,
faz parte da auditoria da TI. Seu escopo envolve:
Avaliação da política de segurança;
Controles de acesso lógico;
Controles de acesso físicos;
Controles ambientais;
Planos de contingência e continuidade de serviços.
Auditoria de aplicativos
Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que
o aplicativo atende:
Controles sobre o desenvolvimento de sistemas aplicativos;
Controles de entradas, processamento e saída de dados;
Controle sobre conteúdo e funcionamento do aplicativo, com relação à
área por ele atendida.
EQUIPE DE AUDITORIA
Gerente da equipe:
Habilidade para recrutar ou formar profissionais com nível adequado de capacitação
técnica em auditoria e TI; determinar forma de atingir a capacitação e os métodos de
treinamento mais eficazes.
Conhecimento necessários
Conhecimento na área (se possível experiência anterior)
7. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 7 -
Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou
serviços de consultoria técnica de informática.
Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho
executado.
Avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado
pra a realização da auditoria.
Dependendo do âmbito (abrangência, profundidade) diferentes níveis de conhecimento
podem ser exigidos, supridos pela equipe básica (interna) com treinamentos ou contratação
de mão-de-obra especializada.
Conhecimentos técnicos:
Sistemas operacionais,
Software básico,
Banco de dados,
Processamento distribuído,
Software de controle de acesso,
Segurança de informações,
Plano de contingência, e de recuperação e
Metodologias de desenvolvimento de sistemas.
Conhecimentos em auditoria:
Técnicas de auditoria,
Software de auditoria e extração de dados,
Outras capacidades relevantes:
Princípios Éticos,
Bom relacionamento,
Comunicação oral e escrita,
Senso crítico,
Conhecimento específico na área (finanças, pessoal, estoque...)
Composição da equipe
Na composição da equipe de auditoria, a chefia tem três opções.
Opções para a formação da equipe:
Consultoria externa
Desenvolver a capacidade técnica de TI nos auditores
Desenvolver técnicas de auditagem no pessoal de TI
Dependendo do tamanho da organização, capacidade dos profissionais, prazos, objetivos e
relação custo - beneficio uma das alternativas será eleita.
Consultoria externa
8. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 8 -
Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do
trabalho)
Consultores externos somente para tarefas específicas (conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos
membros da equipe e da gerencia da organização), com o objetivo de evitar as
mesmas falhas no futuro.
A possibilidade de contratação de serviços externos de auditoria deve ser considerada
desde as primeiras fases do planejamento da auditoria. A partir do momento em que são
definidos o campo da auditoria, seu âmbito e as sub-áreas a serem auditadas. Decidir
contratar consultoria externa depois de ter iniciado a auditoria dificilmente trará bons
resultados.
A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de
seu trabalho, os objetivos a serem atingidos e o grau de profundidade dos conhecimentos
requeridos, podendo assim verificar se estão aptos.
Categorias de consultoria externa:
Firma ou organização especializada em auditoria (mais recursos, mais serviços)
Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades
acadêmicas na área a ser auditada, especializados em determinadas técnicas e
ferramentas de auditoria, ou com especialização no objeto da auditoria. (Atuam
tanto no planejamento estratégico como nas verificações específicas em
campo.)
Tanto as firmas de consultoria como os especialistas autônomos podem ser de grande
utilidade no planejamento da auditoria, na condução de entrevistas com o auditado, na
avaliação de controles, na captação de dados dos sistemas, na revisão dos resultados e nas
recomendações finais do relatório de auditoria.
Analisando os Candidatos ao Serviço de Consultoria Externa
Uma das maneiras de se contratar o serviços de consultoria externa é promover um estudo
de propostas onde sejam detalhados os custos do serviço, os recursos humanos oferecidos
pela consultoria, suas habilidades técnicas, seu plano de trabalho. Antes de confrontar as
propostas, é aconselhável fazer uma seleção inicial dos possíveis candidatos, é importante
também decidir, antecipadamente, os critérios que serão utilizados na análise das propostas
dos consultores.
9. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 9 -
Relacionamento com os Consultores Externos
Para a realização de qualquer trabalho de qualidade, é essencial o bom entrosamento na
equipe, ainda mais se alguns de seus componentes não fizerem parte do quadro de
funcionários da organização. Em auditorias com a participação de consultoria externa é
imprescindível que todos os aspectos relevantes estejam sob o controle do auditor
coordenador da equipe, que deverá ser sempre funcionário da organização.
Avaliando o trabalho realizado
Ao final do trabalho, é importante avaliar seus resultados, em uma discussão franca entre
os consultores externos, membros da equipe de auditoria, coordenador e gerência da
organização contratante. O objetivo dessa discussão é destacar seus pontos fortes e fracos e
relatar as dificuldades encontradas ao longo do trabalho para que, no futuro, sejam
realizadas auditorias mais produtivas, eficientes e eficazes.
Comparar os objetivos esperados e os resultados alcançados, o orçamento previsto e custo
real, os prazos estimado e real, e os níveis de qualidade esperado e alcançado. Verificar se
houve cooperação entre a consultoria externa e o resto da equipe, se há sugestões para o
aprimoramento das futuras auditorias.
Capacitando Auditores para atuarem como Auditores de Sistemas
Para muitos, a informática pode ser difícil de compreender. É uma área recheada de jargões
técnicos e que enfrenta transformações constantes de produtos e tecnologias. O auditor
com formação básica em contabilidade e auditoria geral se depara com uma dificuldade
adicional: muitos profissionais de informática, ao serem auditados, não se propõem a
explicar os assuntos técnicos ao auditor que não tenha os conhecimentos básicos
necessários para realizar auditoria naquele departamento. Muitas vezes o auditor nem
sequer entende o que é respondido pelo auditado, pois este utiliza vocabulário técnico e
siglas, dificilmente compreendidos por quem não é da área.
Capacitando Profissionais de Informática em Auditorias
Pode-se obter resultados mais efetivos e com maior rapidez se, nos quadros da
organização, existirem profissionais de informática para serem treinados na área de
auditoria.
Treinamento
O treinamento constante dos auditores de sistema é imprescindível para que estejam
preparados para realizar auditorias de qualidade com grau de profundidade técnica
adequado. Todos os auditores especialistas ou não em sistemas, deveriam receber
treinamento básico de auditoria da tecnologia da informação, já que dificilmente auditarão
entidades que não utilizam informática em seus processos e controles. As técnicas e
métodos básicos de auditoria de sistemas computadorizados devem ser disseminados a
todos os auditores da organização.
Participação em Seminários e Cursos de Especialização
Faz-se necessário estimular a participação dos auditores em seminários, cursos de
especialização, workshops e congressos.
Qualificação Profissional
10. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 10 -
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus
conhecimentos estão atualizados e compatíveis com os padrões profissionais.
Alguns exemplos de organizações certificadoras:
Information System Audit and Control Association (ISACA) – Certificado de
Auditor de Sistemas de Informação
Bristish Computer Society - Exame da Sociedade Britânica de Informática
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional
(IIA Qualition in Computer Auditing)
A IIA e ISACA desempenham um papel ativo no desenvolvimento de padrões de auditoria
e controle de sistemas de informação.
Como a tecnologia da informação está em constante evolução, é essencial que o
treinamento do auditor de sistemas acompanhe essa evolução, incluindo em seu currículo
novas técnicas de auditoria e aspectos de informática de tecnologias mais avançadas. O
desenvolvimento profissional contínuo não é apenas desejável, mas essencial.
Manuais de Auditoria da Tecnologia da Informação
A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e
difundir o conhecimento nessa área, deve ser responsável pela elaboração de uma ou mais
manuais contendo instruções para a condução de auditorias de sistemas, exemplos de
objetivos de controle e procedimentos de auditoria, explanações técnicas sobre alguns
tópicos considerados importantes na área de informática, técnicas e metodologias de
auditoria, instruções sobre o uso de ferramentas de informática de apoio à auditoria.
Biblioteca Técnica
Os auditores devem ter, à sua disposição, uma biblioteca técnica para consulta. Dessa
forma poderão orientar seus trabalhos de acordo com os padrões conhecidos na área, se
manter atualizados com relação às novas tecnologias e utilizar publicações técnicas como
fonte de consulta durante a auditoria e na elaboração do relatório.
Organização da Equipe Especializada
Dada a complexidade e a extensão dos conhecimentos necessários em auditoria da
tecnologia da informação, dificilmente uma única pessoa deterá todos esses
conhecimentos. É comum encontrar, em equipes de auditoria da TI de várias organizações,
auditores com formação e especialização em diferente áreas. Cabe à gerência desenvolver
as especializações que faltam e administrar o grupo como um time coeso que se
complementa tecnicamente. Através de treinamento adequado, a equipe deve tentar cobrir
todas as áreas de auditoria da tecnologia da informação utilizadas pela instituição.
Administrando Recursos Humanos Escassos
Na maioria das organizações dedicadas a auditoria, controle e segurança, os auditores de
sistemas são considerados recursos escassos e seu tempo é administrado criteriosamente.
Suas atividades são definidas apenas nos casos em que sua atuação é realmente necessária.
Além do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse
conhecimento é treinar alguns auditores para atuarem como suporte básico de informática
nas equipes de auditoria de caráter genérico, sendo este denominado auditor generalista.
Ele executará análise preliminar de ambientes de informática ou sistemas considerados
pouco complexos para determinar a estratégia de auditoria mais adequada e avalia os
11. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 11 -
controles genéricos do ambiente computacional que não exijam experiência técnica mais
apurada.
É recomendável que a chefia estabeleça claramente as responsabilidades de cada tipo de
auditor, o suporte técnico a ser dado pelos auditores especialistas, os limites de atuação e o
relacionamento entre auditores de sistemas e especialistas e generalistas, para evitar
omissão ou duplicidade de trabalho.
A gerência deve estabelecer um plano de auditorias de sistemas, de preferência anual,
relacionando os recursos disponível (generalistas e especialistas) e as prioridades dos
trabalhos.
Planejamento de Atividades
Em organizações de auditoria, geralmente as atividades são planejadas em três níveis,
baseados em períodos de tempo diferentes. Cada nível de planejamento gera um
documento, denominado plano, com atividade e detalhes para o período de tempo.
Plano Estratégico de Longo Prazo
O plano estratégico de longo prazo é estabelecido, normalmente, para um período de 3 a 5
anos. Seus objetivos são mais amplos, atingem toda a instituição e são aprovados pela
gerência superior. Seus conteúdo define as metas da gerência de auditoria da TI, seu modo
de atuação, os recursos necessários (pessoal, equipamentos e recursos financeiros) e as
necessidades de treinamento. É aconselhável revisar e atualizar o plano anualmente.
Plano Estratégico de Médio Prazo
Este traduz o plano de longo prazo em um program de atividades para o ano que se inicia.
Em geral procura atender à demanda das equipes de auditoria genérica por especialistas na
área de informática para realizarem, no ano seguinte, em conjunto ou não, auditorias da TI
em entidades previamente escolhidas. Esse plano, normalmente aprovado pela gerência
intermediária, define os objetivos macro das principais auditorias do próximo ano e é
suficientemente flexível para aceitar as alterações que se façam necessárias.
Plano Operacional
Baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem
atingidos, as áreas a serem auditadas, os recursos necessários e em que prazo, os objetivos
de controle e os procedimentos de auditoria a serem seguidos. O plano operacional nada
mais é do que o plano específico de uma determinada auditoria.
Envolvimento com Outros Auditores
Ao estabelecer uma equipe mista para realização de uma auditoria genérica, isto é, sem o
enfoque de auditoria da TI, é conveniente dividir o trabalho em várias fases para que os
auditores atuem, conforme sua especialização, apenas nas fases em que seus
conhecimentos sejam necessários. Em uma auditoria genérica, normalmente os auditores
de sistemas participam das seguintes fases:
Levantamento de auditoria - o auditor de sistemas pode ser requisitados para
analisar um sistema da entidade auditada, explicando, em seu relatório, seu
funcionamento e fornecendo informações básicas para auditoria principal.
Coleta de dados – o auditor de sistemas pode auxiliar na coleta e transferência de
dados do computador do órgão auditado para o computador da equipe de auditoria.
Análise de dados – após a coleta de dados, o auditor de sistemas pode ser solicitado
a analisar os dados coletados e entrevistar o auditado em relação a seu conteúdo.
12. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 12 -
Opinião técnica – o auditor de sistemas pode ser requisitado a dar sua opinião
técnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de
dados.
Já o envolvimento entre auditores de sistemas generalistas e especialista é bem mais
próximo. No caso de auditorias da TI feitas por auditores generalista, a equipe de
especialistas em TI deve dar todo o suporte necessário, seja elaborando manuais de
orientação, repassado os conhecimentos técnicos básicos, esclarecendo suas dúvidas ou
atendendo às solicitações de consultoria, quando for preciso. A troca de experiências
deve ser estimulada pela gerência.
PLANEJAMENTO E EXECUÇÃO
PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua
realização. Além de estabelecer os recursos necessários à execução dos trabalhos de
auditoria, a área de verificação, as metodologias, os objetivos de controle e os
procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de
informação sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerência.
Pesquisa de Fontes de Informações
Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possível de
informações sobre a entidade auditada e seu ambiente de informática (plataforma de
hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento,
principais sistemas, etc.). Com essas informações poderá esboçar seu plano de auditoria e
partir para a fase de delimitação dos trabalhos.
Esse conhecimento prévio do ambiente de informática da entidade auditado permite ao
auditor ter uma noção do grau de complexidade de seus sistemas e, então, estabelecer os
recursos e os conhecimentos técnicos necessários à equipe da auditoria.
Saber com antecedência o tipo de ambiente computacional com o qual o auditor vai se
deparar é, sem dúvida, bastante vantajoso, já que haverá mais tempo para se preparar
tecnicamente ou para incluir um especialista na equipe.
A equipe precisará manter contato e entrevistar pessoas-chaves da entidade.]
As principais fontes de informações sobre a entidade auditada são relatórios de auditorias
anteriores, base de dados, documentos ou páginas da entidade na Internet, notícias
veiculadas na imprensa, visitas anteriores à entidade e relatórios da auditoria interna.
Definindo Campo, Âmbito e Sub-áreas
A partir do momento em que foi decidida a realização de uma auditoria e já existem
informações suficientes sobre a entidade e seu ambiente computacional, a equipe delimita
sua atuação, definindo o campo, o âmbito e as sub-áreas a serem auditadas. O campo da
auditoria é composto por objeto, período de fiscalização e natureza.
No caso de auditorias de informática, a natureza é auditoria da tecnologia da informação,
quase sempre com enfoque operacional (exame dos aspectos econômicos, de eficiência e
eficácia). O objeto auditado pode englobar um sistema computacional específico; uma,
várias ou todas as seções do departamento de informática; ou até mesmo toda a
organização (em termos de políticas de informática e segurança de informações ou nos
13. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 13 -
casos em que o negócio da organização resume-se à prestação de serviços
computacionais). O período de uma auditoria da TI depende diretamente do âmbito (grau
de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe.
Além da definição do campo, são determinadas a amplitude e a exaustão dos processos de
auditoria, incluindo uma limitação racional dos trabalhos a serem executados.
Tendo sido definido o conjunto campo e âmbito da auditoria, é fixada, então, a área de
verificação. Essa área delimita de modo muito preciso os temas da auditoria e, em função
do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas.
É aconselhável coordenar o número de sub-áreas a serem auditadas com a magnitude ou
complexidade do objeto da auditoria, isto é, para ambientes extensos ou de grande
complexidade, convém limitar a quantidade de controles a serem verificados para que a
equipe realize um trabalho de qualidade.
Após a definição das áreas e sub-áreas a serem auditadas, o auditor retorna à fase de
pesquisa para relacionar as fontes de consulta especializadas necessárias durante a
auditoria, tais como livros técnicos, manuais de auditoria, artigos especializados, sites na
Internet especializados em segurança ou outras áreas específicas de informática.
NEGOCIANDO COM A GERÊNCIA
A definição dos aspectos citados no item anterior facilita o trabalho da equipe de auditoria
e evita as falsas expectativas, tanto nos membros da equipe como de sua gerência.
Área de
Verificação
Controles de
Acesso Lógico
Backup
Avaliação da
eficácia dos
controles
Campo
Segurança de
informações da
empresa
De 01/01/2007 a
01/07/2007
Auditoria da TI
Controles de
acesso físico
14. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 14 -
Evitando Falsas Expectativas
Quando a gerência da equipe de auditoria espera um trabalho de verificação breve, sucinto
e preliminar de um sistema de informática e a equipe executa uma auditoria extremamente
detalhada e aprofundada, ninguém fica satisfeito. A gerência tende a cobrar
insistentemente a conclusão do trabalho, por considerá-lo apenas uma análise superficial,
enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas dentro do
prazo exíguo.
Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, não
necessariamente em auditorias da TI. Antes de iniciar a execução propriamente dita da
auditoria, é recomendável que a equipe sempre discuta e defina claramente, com sua
gerência, o campo da auditoria, o grau de profundidade de sua verificações e o nível de
capacitação técnica e profissional necessário para auditar as sub-áreas escolhidas. Dando
assim uma noção próxima da realidade dos resultado da auditoria e permite à equipe
definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os
procedimentos de auditoria mais adequados para garantir a realização de um trabalho de
auditoria compatível com as expectativas da gerência.
Definindo os Recursos Necessários
● Recursos humanos
● Recursos econômicos
● Recursos técnicos
METODOLOGIAS
Entrevistas
o Entrevistas de apresentação
- Apresentação da equipe, cronograma das atividades, objetivos, áreas,
período, metodologias. Estrutura do relatório (resultado da auditoria).
o Entrevistas de coleta de dados
- Coleta de dados sobre os sistemas ou ambiente de informática. Nessa
entrevista podem ser identificados os pontos fortes e fracos de controle,
falhas e possíveis irregularidades. O entrevistado deve saber de antemão
como serão usados esses dados e conhecer o relatórios a cerca da entrevista.
o Entrevistas de discussão de deficiências encontradas
- Ao término das investigações são apresentadas as deficiências
encontradas. Ao discuti-las podem ser apresentadas justificativas para essas
deficiências, podendo ser desconsiderada as falhas ou relatadas as
justificativas.
o Entrevista de encerramento
É apresentado o resumo dos resultados (pontos fortes, falhas mais
relevantes, comentários, recomendações).
Uso de Técnica ou Ferramentas de Apoio (Catas)
15. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 15 -
Técnicas Para Análise de Dados
o dados coletados e auditados com auxílio de softwares de extração de dados,
de amostragem, de análise de logs e módulos ou trilhas de auditoria
embutidas nos próprios sistemas aplicativos da entidade.
Técnicas Para Verificação de Controles de Sistemas
o testar a efetividade dos controles dos sistemas do auditados. Analisar sua
confiabilidade, determinar se estão operando corretamente a ponto de
garantir a fidedignidade dos dados.
o Massa de dados de teste, simulações, software de comparação de programas
e rastreamento de processamento.
Outras Ferramentas
o planinhas eletrônicas, editores de texto, bancos de dados e softwares para
apresentações.
OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a
serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de
auditoria.
Os objetivos de controle norteiam a auditoria, para realizar uma avaliação, é necessário um
modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.
Este modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor
em cada área específica.
Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas
razões:
Segurança – dados e sistemas importantes para a organização, onde a
confidencialidade, integridade e a disponibilidade são essenciais.
Atendimento a solicitações externas – verificação de indícios de
irregularidade motivados por denúncia ou solicitação de órgão superior.
Materialidade – alto valor econômico-financeiro dos sistemas
computacionais.
Altos custos de desenvolvimento – sistemas de alto custos envolvem
altos riscos.
Grau de envolvimento dos usuários – o não envolvimento dos usuários
no desenvolvimento de sistemas, acarreta sistemas que em geral não
atendem satisfatoriamente às suas necessidades.
Outsourcing/Terceirização – efeitos da terceirização no ambiente de
informática.
16. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 16 -
Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações)
que permitem obter e analisar as informações necessárias à formulação do parecer do
auditor.
Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de
auditoria descrevem padrões individualizados, mais detalhados, dentro de cada objetivo de
controle.
A partir do momento em que foram definidas a área de verificação e as sub-áreas a serem
auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza
procedimentos de auditoria para testar se os respectivos objetivos de controles estão sendo
seguidos pela entidade.
EXECUÇÃO
No transcurso da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis
para a consecução dos objetivos da auditoria. Os resultados da auditoria (achados e
conclusões) devem ser suportados pela correta interpretação e análise dessas evidências.
Evidência física – observações de atividades desenvolvidas pelos
funcionários e gerentes, sistemas em funcionamento, local
equipamentos, etc.
Evidência documentária – resultado da extração de dados, registro de
transações, listagens, etc.
Evidência fornecida pelo auditado - transcrições de entrevistas, cópias
de documentos cedidos, fluxogramas, políticas internas, e-mails
trocados com a gerência, justificativas, relatórios, etc.
Evidência analítica - comparações, cálculos e interpretações de
documentos.
Toda essa documentação, geralmente organizada em papéis de trabalho, deve estar
disponível para auxiliar a equipe na elaboração do relatório. Nem todas as evidências
podem ser investigadas detalhadamente e descritas no relatório final, o auditor deve
analisar cada caso segundo a sua importância para a consecução dos objetivos, tempo e
esforço necessários para esclarecer todos seus pontos nebulosos.
Uma evidência considerada incompatível com a auditoria em execução, pode servir como
indicativo para outra auditoria. A manutenção dos papéis de trabalho é essencial tanto para
a elaboração do relatório da auditoria em questão, como para o planejamento de futuras
auditorias.
RELATÓRIO
17. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 17 -
Nos relatórios da auditoria, a equipe, apresenta seus achados e conclusões, bem como os
fatos sobre a entidade auditada, comprovações recomendações e determinações. A
linguagem utilizada nos relatórios deve ser compatível com quem irá recebê-los.
A quem se Dirige o Relatório?
Dependendo do motivo que levou à realização da auditoria, o relatório pode se
encaminhado à diretoria da organização, ao organismo que financia a entidade auditada ou
ao organismo responsável pelo controle de auditoria geral da entidade. Faz-se necessário
identificar os pontos mais relevantes e adaptar o relatórios de acordo com o público alvo.
Relatórios preliminares
Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são
coletadas informações preliminares sobre a entidade, seus sistemas, os recursos
necessários, a composição da equipe, metodologias, objetivos de controle e procedimentos
a serem adotados. Uma estrutura de relatório deve ser definida e todas essas informações
devem ser transcritas para o relatório.
Durante os trabalhos de campo, é importante documentar tudo que foi feito, observado e
dito pelos entrevistados. Os textos referentes a cada entrevista podem ser utilizados no
relatório. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado, antes da
revisão final do relatório os assuntos tratados durante a entrevista, evitando mal-entendidos
ou desvios de interpretação.
Ao término das investigações de cada área, um relatório parcial deve ser apresentado
contendo as deficiências encontradas (entrevista para discussão de deficiências
encontradas). As justificativas apresentadas podem ser anexadas ao parecer.
Relatório final
O relatório final deve se revisado por toda a equipe de auditores, a fim de evitar
inconsistências, erros ou lacunas em relação aos padrões e práticas da organização
auditada. Uma crítica externa, também e conveniente nesse ponto.
Estrutura
Dados da entidade auditada - nome, endereço, natureza jurídica,
relação de responsáveis, etc.
Síntese - um breve resumo do conteúdo. É útil para a alta direção obter
uma visão geral e rápida dos principais pontos da auditoria.
Dados da auditoria - objetivos, período de fiscalização, composição da
equipe, metodologia adotada, natureza da auditoria, e objeto (controles
gerais, desenvolvimento de sistemas, aplicativo específico, etc.).
18. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 18 -
Introdução - histórico da entidade, conclusões de auditorias anteriores,
estrutura hierárquica do departamento de informática, sua relação com
outros departamentos, descrição do ambiente computacional, evolução
tecnológica, principais sistemas e projetos.
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades
detectadas durante a auditoria. Além das descrições, são apresentados
comentários iniciais, justificativa do auditado e o parecer final da equipe
para cada falha (preferências e recomendações). É aconselhável dividi-la
por sub-áreas fiscalizadas, para haver um encadeamento lógico de
idéias.
Conclusão - síntese dos pontos principais do relatório e as
recomendações ou determinações finais da equipe para a correção das
falhas ou irregularidades encontradas.
Pareceres da gerência superior - as gerências superiores podem dar
seu parecer a respeito dos achados e recomendações da equipe de
auditores, concordando integralmente ou em partes com os pontos de
vista da auditoria, ou ainda discordando inteiramente.
AUDITORIA – PLANEJAMENTO E EXECUÇÃO
Organização do trabalho da auditoria
Planejamento
1. Passo - conhecer o ambiente: levantamento de dados do ambiente, fluxos de
processamento, recursos humanos, materiais, arquivos, relatórios, telas, etc.
2. Passo - determinar pontos de controle (processos críticos)
3. Passo - definir objetivos da auditoria: técnicas, prazos, custos, nível de
tecnologia a ser utilizada.
4. Passo - estabelecer critérios para a análise de risco.
5. Passo - análise de risco.
6. Passo - hierarquização dos pontos de controle.
Definição da equipe
1. Passo - escolher equipe: perfil e histórico profissional, experiência na
atividade, conhecimentos específicos, formação acadêmica, línguas
estrangeiras, disponibilidade para viagem, etc.
2. Passo - programar a equipe: gerar programas de trabalho, selecionar
procedimentos apropriados, incluir novos procedimentos, classificar
trabalho por visita, orçar tempo e registrar o realizado.
3. Passo - executar trabalho - dividir as tarefas de acordo com a formação,
experiência e treinamento dos auditores, efetuar supervisão para garantir a
qualidade do trabalho e certificar que as tarefas foram feitas corretamente.
19. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 19 -
4. Passo - revisar papéis: verificar pendências e rever o papel de cada auditor
para suprir as falhas encontradas.
5. Passo - avaliação da equipe: avaliar o desempenho, elogiando os pontos
fortes e auxiliando no reconhecimento e superação de fraquezas do auditor,
ter um sistema de avaliação de desempenho automatizado.
Documentação do trabalho
1. Relatório de fraquezas de controle interno
Objetivo do projeto de auditoria, pontos de controle auditados, conclusão
alcançada a cada ponto de controle, alternativas de solução propostas.
2. Certificado de controle interno
Indica se o ambiente está em boa, razoável ou má condição em relação aos
parâmetros de controle interno. Apresenta a opinião da auditoria em termos
globais e sintéticos.
3. Relatório de redução de custos
Explicita as economias financeiras a serem feitas coma a aplicação das
recomendações efetuadas. Base para a realização das análises de retorno de
investimento e do custo/benefício da auditoria de sistemas.
4. Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e
serve como referência para futuras auditorias. Compõe-se de toda a
documentação anterior já citada.
5. Pastas contendo a documentação da auditoria de sistemas
Contem toda a documentação do ambiente e dos trabalhos realizados como:
relação de programas, relação de arquivos do sistema, relação de relatórios e
telas, fluxos, atas de reuniões, etc.
Apresentação dos resultados
Objetividade na transmissão dos resultados
Esclarecimento das discussões realizadas entre a auditoria e os auditados
Clareza nas recomendações das alternativas de solução
Coerência da atuação da auditoria
Apresentação da documentação gerada
Explicação do conteúdo de cada documento
Técnicas de auditoria em programas de computador
Correlação de arquivos e análise dos dados
1. Análise do fluxo do sistema
2. Identificação do arquivo a ser auditado
3. Entrevista com o analista / usuário
4. Identificação do código / layout do arquivo
5. Elaboração do programa para auditoria
6. Cópia do arquivo a ser auditado
20. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 20 -
7. Aplicação do programa de auditoria
8. Análise dos resultados
9. Emissão de relatórios
10. Documentação
Simulação de dados
Elaboração de massa de teste a ser submetida ao programa ou rotina, deve prever as
seguintes situações:
1. Transações com campos inválidos,
2. Transações com valores no limite,
3. Transações incompletas,
4. Transações incompatíveis,
5. Transações em duplicidade.
Passos:
1. Compreensão da lógica do programa
2. Simulação dos dados (pertinentes ao teste a ser realizado)
3. Elaboração dos formulários de controle
4. Transcrição dos dados para o computador
5. Preparação do ambiente de teste
6. Processamento do teste
7. Avaliação dos resultados
8. Emissão de opinião sobre o teste
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
CONTROLES ORGANIZACIONAIS
Os controles organizacionais são políticas, procedimentos e estrutura organizacional
estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades
relacionadas à área da informática. Abrangem todos os controles adotados pela gerência
em termos administrativos e institucionais.
Os controles organizacionais são os pontos de partida da maioria das auditorias de
sistemas, é a partir deles que se pode ter uma idéia das políticas adotadas pela instituição e
como os aspectos de segurança são considerados pela alta administração.
É necessário que durante o planejamento da auditoria, o auditor, analise a estrutura adotada
pela entidade auditada, seus diversos componentes e o relacionamento do departamento
com outros setores da organização. De acordo com a estrutura, o auditor deve adaptar os
objetivos de controle e os procedimentos a serem adotados e, posteriormente, verificar se
os controles organizacionais são adequados.
É importante que o auditor determine se as medidas administrativas estabelecidas pelo
auditado são suficientes para garantir o controle adequado das atividades do departamento
de informática e se essas atividades satisfazem os objetivos de negócio da organização.
Responsabilidades Organizacionais
21. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 21 -
O departamento de informática deve ter uma estrutura organizacional bem definida, com as
responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas.
É aconselhável que o departamento de informática seja suficientemente importante na
estrutura hierárquica para que possa estabelecer seus objetivos estratégicos e ter certa
independência dos demais departamentos.
Dependendo do tamanho da organização, pode existir uma gerência para controle de
qualidade e uma gerência, ou departamento, responsável por segurança da informações,
geralmente com estreitas ligações com o setor de informática.
As unidades internas do departamento devem ser bem definidas, com níveis de autoridade
e responsabilidades. As descrições dos cargos no departamento e as habilidades técnicas
necessárias para exerce-las devem ser estabelecidas e documentadas, podendo ser
utilizadas, posteriormente, na avaliação de desempenho dos funcionários.
É necessário que o auditor verifique, primeiramente, se existe uma gerência superior de
informática, com influência junto ao comitê executivo da organização. A inexistência
dessa gerência, por si só, já pode sinalizar uma falta de prestígio ou de reconhecimento dos
serviços prestados pelo departamento de informática. Nesse caso, há maior probabilidade
de o departamento não receber os recursos e atenção necessários para atingir seus
objetivos. A falta de recursos pode causar maiores riscos de segurança e baixa qualidade de
sistemas.
A equipe de auditoria deve também verificar se os funcionários do departamento têm
conhecimento de suas responsabilidades e seu papel na organização. È aconselhável que
essas definições sejam documentadas formalmente.
Políticas, Padrões e Procedimentos
Políticas, padrões e procedimentos são a base para o planejamento gerencial, o controle e a
avaliação das atividades do departamento de informática. A experiência tem demonstrado
que pelo menos as políticas e os padrões devem ser estabelecidos pela alta gerência para
que sejam considerados na prática pelas gerências intermediarias. É importante ter em
mente que as políticas definem as diretrizes institucionais e o relacionamento entre os
diversos departamentos.
Portanto, é essencial que as políticas, para merecerem a atenção das gerências
intermediárias e de todos os funcionários, sejam estabelecidas pelo nível hierárquico
superior da organização e divulgada a todos. A partir das políticas, são estabelecidos os
padrões que, no caso do departamento de informática, podem ser padrões para aquisição de
recursos; projetos, desenvolvimentos, alteração e documentação de sistemas; operação do
centro de informática e prestação de serviços de informática.
O passo seguinte é a definição de procedimentos mais detalhados que atendam às políticas
e aos padrões preestabelecidos. Os procedimentos descrevem a forma como as atividades
deverão ser executadas e, muitas vezes, são definidos pelo departamento de informática e
aprovadas pela alta gerência.
22. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 22 -
Para o auditor, as políticas delineiam os controles gerenciais da organização. A partir delas,
surgem padrões, procedimentos e controles mais específicos, relacionados a uma
determinado assunto. Quando mais efetivo o cumprimento às políticas da organização,
maior a probabilidade de os controles organizacionais serem também eficazes.
Entretanto, é importante que o auditor leve em consideração que cada entidade tem
objetivos gerenciais e organizacionais diferentes e, consequentemente, as políticas, os
padrões e procedimentos também serão diferentes. O auditor deve ser flexível e considerar
as particularidades de cada entidade para que suas recomendações sejam realmente
aplicáveis em cada caso. Recomendações absurdas depõem contra a qualidade da auditoria
e o bom nome do auditor.
Estratégia de Informática
O comitê de informática ou a alta gerência, após inúmeras discussões, formaliza a
estratégia de informática à organização em um documento conhecido como plano diretor
de informática ou estratégia de informática. Esse documento serve como base para
qualquer investimento na área de informática, já que traça os objetivos e projetos futuros
da organização.
O maior risco associado à falta ou ineficiência de uma estratégia de informática é o
desenvolvimento de sistemas que não satisfaçam os objetivos de negócio da organização,
acarretando perdas econômicas e investimentos sem resultado.
É interessante que a equipe de auditoria tenha conhecimento do plano estratégico da
entidade para reunir informações importantes ao planejamento de futuras auditorias. A
equipe poderá saber o direcionamento que será dado ao ambiente computacional da
entidade nos próximos anos.
Em sua análise, é necessário que o auditor considere o tamanho da organização e a
importância da informática para a continuidade de seus negócios e sua sobrevivência no
mercado. Com relação ao plano estratégico, o auditor deve analisar o relacionamento entre
a estratégia de informática e a estratégia de negócios da organização e as previsões de
mudanças a curto e médio prazos. É importante também verificar a forma de divulgação do
plano e seu nível de aprovação. Por se tratar de um plano estratégico, normalmente deve
ser aprovado pela alta gerência.
Política Sobre Documentação
É recomendável que a organização defina uma política sobre documentação, estabelecendo
padrões de qualidade e classificação quanto à confidencialidade (documentos secretos,
confidenciais, de uso interno, de uso restrito). A documentação de todos os sistemas
computacionais deve ser completa, atualizada e pelo menos uma cópia deve ser mantida
em local seguro. A classificação dos documentos pretende restringir o acesso não
autorizado a informações cruciais para a organização.
23. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 23 -
A política de documentação estabelece padrões para edição, formatação, apresentação
visual e estrutura básica de documentação e ainda regras para classificação, aprovação e
alterações na documentação já existentes.
Sem uma documentação adequada e atualizada, identificar as causa de erros nos
aplicativos pode se tornar uma tarefa complexa e demorada. Com uma política de
documentação correta, pode-se ainda evitar a repetição de erros e práticas não autorizadas
pela equipe de desenvolvimento de sistemas.
Para a equipe de segurança e auditoria, a documentação também é muito importante, pois é
por meio dela que consegue muitas informações sobre os sistemas auditados ou ambiente
computacional, relevantes para as investigações de segurança. A falta de documentação
adequada pode dificultar os trabalhos da equipe.
Gerência de Recursos Humanos
As causas mais frequentes de acesso não autorizado, perda de dados ou pane nos sistemas
informatizados são erros, omissões, sabotagem, extorsão ou invasões criminosas
provocados por pessoas contratadas pela própria organização. Os acidentes ambientais, as
falhas de hardware e software e os invasores externos aparecem em segundo plano.
Os funcionários mal intencionados têm tempo disponível e liberdade de vasculhar as mesas
de outros funcionários, ler e copiar documentos e informações internas ou confidenciais.
Sabem como a organização funciona e que tipo de informações seriam valiosa para a
concorrência. A espionagem industrial, por exemplo, costuma utilizar funcionários
insatisfeitos como mão-de-obra.
Os ex-funcionários são igualmente interessantes para a concorrência. Muitas vezes essas
pessoas prejudicam sua antiga instituição de maneira não intencional, simplesmente pelo
fato de saberem o que sabem. Apesar de não terem mais acesso direto às informações
internas, eles conhecem os procedimentos de segurança, a forma de atuação da empresa,
seus hábitos e vulnerabilidades.
Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usuários internos,
é aconselhável que a organização estabeleça políticas, controles e procedimentos
enfocando a área de pessoal. As atividades dos funcionários devem ser controladas por
meio de procedimentos de operação e supervisão documentados, e políticas adequadas de
seleção, treinamento, avaliação de desempenho, segregação de funções e interrupção de
contratos de trabalho.
Plano de Contratação e Desenvolvimento de Pessoal
A gerência de informática deve traçar um plano de contratação e desenvolvimento de
pessoal, visando manter uma equipe tecnicamente preparada para atender aos objetivos do
departamento, com capacidade para operar o ambiente computacional atual e acompanhar
24. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 24 -
os avanços tecnológicos na área de informática. É essencial que a gerência anteveja as
futuras necessidades do departamento em termos técnicos e quantitativos.
Seleção de Pessoal
As políticas de seleção de pessoal devem ser definidas de tal maneira que a equipe seja
composta de pessoas confiáveis, com nível técnico compatível com sua atividades, de
preferência, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo
garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As políticas
podem se aplicadas tanto na contratação temporária de prestadores de serviços ou
consultores. Em alguns casos, a contratação de pessoal deve ainda atender a requerimentos
legai, tais com exigência de concursos públicos para quadros do governo e apresentação de
certificados técnicos emitidos por associações profissionais.
Nas contratações de novos funcionários, normalmente são analisadas suas referências,
incluindo empregos anteriores, formação profissional, experiência técnica e ficha criminal.
É recomendável instituir um acordo de confidencialidade e códigos de conduta. Os novos
contratados devem ter conhecimento de suas responsabilidade e de seu papel na
organização. O mesmo cuidado deve ser tomado na contratação de consultores ou
prestadores de serviços.
Treinamento
A gerência deve manter seu quadro de profissionais tecnicamente atualizado e apto a
desempenhar suas funções atuais e futuras, de acordo com o plano estratégico de
informática. É importante estimular a toca de experiências e o repasse de conhecimentos
adquiridos a outros membros da equipe, dessa forma, a capacitação profissional se
multiplica internamente na organização e o conhecimento não fica restrito a uma única
pessoa ou grupo.
Avaliação de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e
padrões preestabelecidos. Toda avaliação é intrinsecamente subjetiva, pois, envolve
aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa
subjetividade, é aconselhável que o processo avaliativo se baseie em critérios mais
objetivos, levando em consideração formação profissional, nível de responsabilidade,
experiência, treinamento, conduta e consecução de metas.
Rodízio de Cargos e Férias
O rodízio de cargos e a instituição de férias regulares podem atuar como controles
preventivos contra fraudes ou atividades não autorizadas. O funcionário, sabendo que outra
pessoa pode, de uma hora para outra, exercer suas funções e detectar irregularidades por
ele cometidas, ficará menos inclinado a praticar atos não autorizados ou fraudulentos.
25. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 25 -
Essas medidas não são infalíveis, é claro, mas podem reduzir os riscos de atos não
autorizados por um longo período de tempo.
Segregação de Funções
A segregação de funções tem como objetivo evitar que um indivíduo detenha o controle de
todas as fases de um processo qualquer e caia na tentação de praticar algum ato ilícito,
fraudulento ou não autorizado. Segregação significa basicamente que os estágio de uma
transação ou processo são distribuídos a pessoas diferentes, de forma que uma única pessoa
não seja capaz de ter controle do início ao fim. A divisão de responsabilidades, entre
grupos ou funcionários distintos dentro do departamento, de certa forma promove o
controle mútuo das atividades desempenhadas por cada grupo ou funcionário. Com isso,
aumenta a probabilidade de serem detectados erros, omissões e fraudes.
Dependendo do risco associado, do tamanho da organização e de sua estrutura hierárquica,
a segregação de funções pode ser mais, ou menos, rígida, específica ou detalhada. Quanto
menor a organização, mais difícil é separar suas funções. Normalmente as atividades que
envolvem recursos financeiros são as mais críticas para a organização e,
conseqüentemente, as mais controladas. Em geral, essas atividades são distribuídas a vários
indivíduos e sujeitas a um controle mais rígido. A supervisão gerencial é imprescindível
para que a política de segregação de funções tenha resultados satisfatórios.
Na época em que começaram a ser feitas auditorias de sistemas, os auditores costumavam
verificar apenas se os operadores dos computadores não tinham acesso aos programas e se
os programadores não operavam os equipamentos. Isso fazia sentido e era suficiente
naquele tempo. Hoje, com a complexidade dos sistemas operacionais modernos e as
diferentes plataformas de hardware e software, o auditor deve avaliar a segregação de
funções sob outro prisma, já que novas funções foram introduzidas no modelo
organizacional do departamento de informática.
O acesso aos recursos computacionais e às informações sobre bases de dados, programas,
controles internos das aplicações, etc. só deve ser dado a quem realmente necessita desses
recursos e informações para desempenhar suas funções. Se todos tiverem o conhecimento e
os meios para alteração de dados, por exemplo, basta haver um motivo para que ocorram
fraudes contra a organização.
A segregação de funções pretende assegurar que as transações e os processos são
autorizados e registrados adequadamente e os recursos (equipamentos, software e
informação) estão protegidos.
Pode também ser uma forma de controle de qualidade e detecção de erros por inabilidade
ou incompetência técnica.
Na prática, no entanto, com os constantes cortes de investimentos nas organizações, o
quadro de pessoal do departamento de informática tem sido cada vez mais reduzido. Em
algumas organizações, devido à diminuição do quadro, pode ser difícil implementar a
segregação de funções. Se o auditor se deparar com um caso semelhante, é aconselhável
adaptar sua análise e suas recomendações de acordo com a problemática da organização e
buscar outros controles que possam compensar os riscos da falta de segregação de funções.
26. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 26 -
Interrupção do Contrato de Trabalho
Assim como as políticas de contratação de pessoal, são igualmente importantes as políticas
e os procedimentos para lidar com o afastamento, voluntários ou não, de funcionários.
Essas políticas devem definir as medidas a serem adotadas no caso do término de um
contrato de trabalho, principalmente no que diz respeito ao acesso aos sistemas, dados e
recursos patrimoniais da organização. Seu objetivo é a proteção dos recursos
computacionais e das informações da organização contra ex-funcionários insatisfeitos.
Normalmente, ao interromper o contrato de trabalho, os ex-funcionários são solicitados a
devolver crachás de identificação, chaves e quaisquer equipamentos ou material da
organização (bips, laptops, calculadoras, microcomputadores, impressoras, livros). Além
disso são desativadas as rotinas de pagamento de pessoal, senhas e privilégios de acesso
lógico aos recursos computacionais e informações.
Gerência de Recursos
Os recursos computacionais devem ser gerenciados de tal forma que atendam às
necessidades e objetivos da organização com relação à informática, levando em
consideração os aspectos de economicidade, eficiência e eficácia.
Aquisição de Equipamentos e Softwares
É recomendável que o departamento estabeleça um plano de equipamentos e softwares,
baseado na análise de desempenho do ambiente atual, na demanda reprimida de serviços de
informática, no planejamento de capacidade e no plano estratégico de informática. Deve
seguir os padrões de contratação adotados na organização, as regras estabelecidas em leis,
se for o caso (obrigatoriedade de processo licitatório, por exemplo), e comparar preços e
requisitos técnicos de produtos de fornecedores diferentes. É importante ter em mente que
nem sempre o mais barato é o melhor ou o mais adequado para atender às suas
necessidades. Os critérios de seleção devem aliar aspectos econômicos, de eficiência, de
eficácia, efetividade e qualidade.
Manutenção e Hardware e Software
Para reduzir a possibilidade de ocorrência de falhas e interrupções inesperadas que possam
causar impacto no funcionamento normal dos sistemas computacionais, é aconselhável que
a manutenção preventiva de hardware ocorra de acordo com os padrões de cada
equipamento (normalmente sugeridos pelo próprio fabricante).
Também os pacotes de software devem sofrer manutenções, tais como aplicação de
correções (distribuídas pelo fornecedor) e atualizações de releases ou versões mais seguras
e confiáveis).
Outsourcing, Terceirização e
Contratação de Consultoria Externa
A terceirização ou prestação de serviços de informática ocorre quando uma empresa
independente presta qualquer tipo de serviço relacionado à informática para outra
organização. Essa prestação de serviços pode envolver alguns ou todos os estágios de
27. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 27 -
processamento e desenvolvimento dos sistemas, e utilização de mão-de-obra especializada,
em ambiente computacional de propriedade da empresa contratada ou da organização
contratante. Normalmente, os motivos que levam uma organização a optar pela contratação
de serviços externos de informática são custos, problemas de espaço físico para instalação
dos equipamentos e quadro reduzido de especialistas em informática.
O termo outsourcing é usado quando o cliente contrata uma empresa especializada para
prover por completo todos os serviços de informática necessários para a organização.
Local, equipamentos, software e pessoal são da empresa contratada. Com o outsourcing, a
organização pode concentrar esforços em sua área de negócios e apenas gerenciar os
serviços de informática providos pela empresa contratada.
A organização pode restringir a prestação de serviços de informática em algumas áreas
específicas, contratando a melhor opção no mercado para desempenhar as atividades
especializadas. As áreas do departamento de informática geralmente terceirizadas são
manutenção de hardware e software, desenvolvimento de sistemas, operação do centro de
processamento de dados (CPD) e suporte técnico a microcomputadores.
Mesmo quando a organização decide manter um ambiente computacional próprio, pode
necessitar de serviços externos providos por consultores especializados para desempenhar
atividades bem definidas. Isso ocorre quando o quadro de funcionários do departamento de
informática não está suficientemente capacitado ou treinado para desempenhar tais
atividades e a gerência considerou a contratação de consultoria externa uma opção melhor
do que o investimento em treinamento de pessoal.
Os trabalhos de auditoria em uma organização que optou pela terceirazação de alguns
serviços, outsourcing ou contratação de consultoria externa devem enfocar as cláusulas
contratuais, as políticas e os procedimentos de segurança de informações de organização.
Eventualmente, dependendo do tipo de terceirização, pode ser necessário auditar a própria
instalação do prestador de serviços, para verificar os controles aplicados.
Principais Motivos
Os principais motivos que levam uma organização a decidir pela terceirização, outsourcing
ou contratação de consultoria técnica externa são:
● Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos,
software e manter um quadro técnico de profissionais de informática).
● Restrições de fluxo de caixa (a compra de equipamentos pode envolver quantias
muito altas, acima das possibilidades da organização, por outro lado o pagamento
pela prestação de serviços terceirizados pode ser bem inferior).
● Mão-de-obra especializada (a organização pode necessitar de serviços de um
especialista apenas por um determinado período de tempo. Manter esse especialista
em sua folha de pagamento pode ser mais oneroso, considerando que seus serviços
sejam utilizados ocasionalmente).
● Resolução de problemas (quando um prestador de serviços é contatado, assume
todas as responsabilidades de entregar o serviço dentro do prazo e de acordo com
28. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 28 -
os padrões e preços predefinidos. Caso ocorram problemas, a responsabilidade de
solucioná-los é inteiramente do prestador de serviços. A organização apenas cobra
o cumprimento do contrato sem se envolver na resolução dos problemas).
● Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos
por prestadores de serviços são entregues em prazos menores, devido às exigências
contatuais e à sua maior experiência prática na área).
Riscos Envolvidos
A contratação de serviços externos sempre envolve alguns riscos. É importante que a
equipe de auditoria revise o contrato e certifique-se de que a gerência detém controle
adequado sobre o serviço propriamente dito e sobre informação institucional manipulada
por pessoas externas à organização. Independentemente de o processamento ser efetuado
nas instalações da organização ou da firma prestadora de serviços, o auditor deve ter
acesso a todas as informações de controle. Em alguns casos, para que o auditor possa atuar
na firma prestadora de serviços, é necessária a inclusão de cláusula específica no contrato
de prestação de serviços.
Entre outros aspectos, a organização deve se assegurar de que os controles de segurança
praticados pelo prestador de serviços são compatíveis com os padrões e os procedimentos
adotados internamente. Para reduzir esse risco, são recomendadas cláusulas contratuais que
responsabilizem o contratado a garantir a segurança dos dados de seu cliente.
Outro risco que vale a pena ser lembrado é a possibilidade de a organização, com o passar
dos anos, tornar-se dependente do prestador de serviços, a tal ponto de comprometer seus
negócios caso o prestador de serviços interrompa suas atividades ou faça exigências
descabidas pra dar continuidade a seu trabalho. Além disso, a experiência adquirida pelo
prestador de serviços nos sistemas da organização dificulta a troca de prestador de serviços
ao término do contrato. Podem se passar meses até que um novo contratado assuma as
mesmas atividades com qualidade equivalente. Para reduzir esse risco, devem ser incluídas
cláusulas contratuais que definam o repasse de informações e documentação do prestador
de serviços para o cliente ou para um novo contratado.
É essencial que a organização ainda tome o cuidado de incluir cláusulas contratuais que
permitam alterações nos sistemas ou outros serviços, de acordo com as novas diretrizes
traçadas pela organização. Essas cláusulas são especialmente importantes no caso de
entidades do setor público, onde as mudanças das chefias de Governo implicam em
mudanças de metas e estratégias das instituições governamentais.
Com a contratação de serviços técnicos externos corre-se o risco de perder ou diminuir a
experiência e a habilidade técnicas de seus próprios profissionais. Isso acaba reduzindo
também a capacidade de o cliente lidar com problemas técnicos futuros ou negociar os
aspectos especializados com o prestador de serviços, por desconhecimento dos termos
técnicos e de novas tecnologias.
Além disso, a contratação de técnicos fora do quadro do departamento de informática pode
originar ressentimentos na equipe interna, por ter sido considerada incapaz para executar as
mesmas atividades. Pode surgir um clima de descontentamento, queda de produtividade ou
29. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 29 -
boicote dos profissionais do quadro com relação aos prestadores de serviços, dando origem
a um ambiente propício para atos não autorizados, fraudes, erros, omissões e sabotagem.
Por experiência prática, pode-se dizer que uma vez terceirizados os serviços de
informática, dificilmente a organização retornará essa atividade. A probabilidade de
continuarem sendo terceirizados é muito maior. Portanto, é uma decisão relativamente
definitiva a ser tomada com todo o cuidado, face à quantidade de riscos envolvidos.
Contratos
Toda prestação de serviços deve ser formalizada por um contrato. É imprescindível que
esse contrato seja revisado pelo departamento jurídico da organização e apresentado ao
auditor, quando solicitado. A organização, na definição do contrato, deve atentar para os
seguintes detalhes:
● Custos básicos e taxas adicionais – o contrato deve apresentar claramente todos os
custos envolvidos.
● Direitos de ambas as partes ao término do contrato – especialmente importante
quando a organização não detém conhecimento suficiente para executar os mesmos
serviços sem contar com o prestador de serviços.
● Possíveis indenizações, no caso de perdas provocadas por uma das partes – quebra
de segurança de acesso a informações confidenciais, violação de direitos de
copyright ou de propriedade intelectual, etc.
● Direitos de propriedade sobre os dados – é essencial que fique bem claro no
contrato que os dados pertencem à organização e não ao prestador de serviços.
● Direitos de propriedade intelectual – deve ser estabelecido quem terá direitos sobre
o software desenvolvido ou mantido pelo prestador de serviços.
● Repasse de informações técnicas e documentação – cláusula particularmente
importante quando há troca de prestador de serviços ou extinção do contrato.
● Possibilidade de alterações – quanto mais longo o contrato, maior a probabilidade
de os sistemas precisarem de alterações. É necessário que o contrato estabeleça
quando, como e que tipo de alterações serão aceitas.
● Padrões de segurança – deve ser especificado que o prestador de serviços é
obrigado a se adequar aos padrões de segurança definidos pela organização.
● Padrões de qualidade – o contrato deve descrever os padrões de qualidade
esperados pela organização (tempo de resposta, disponibilidade dos serviços,
documentação padronizada, tempo de processamento, prazo de entrega de sistemas
desenvolvidos, suporte técnico, etc.).
Riscos Inerentes ao Controle
Organizacional Inadequado
30. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 30 -
A alta gerência tem a responsabilidade de salvaguardar os recursos que compõem o
patrimônio da organização. Para tanto, é necessário estabelecer políticas que assegurem o
controle organizacional adequado, compatível com os riscos envolvidos.
Os riscos mais comuns são a violação da segurança de aceso a recursos computacionais e
dados, implicando em fraudes, erros, perda de dados e roubo de equipamentos; e o
planejamento inadequado do crescimento computacional, podendo acarretar desperdício de
investimento ao subutilizar os recursos de informática ou, por outro lado, sobrecarregar o
sistema atual, degradando ou tornando indisponíveis os serviços computacionais oferecidos
aos usuários. Uma equipe insatisfeita ou ressentida com a gerência, capaz de sabotar o
sistema computacional, ou uma equipe ineficiente que não cumpre com suas
responsabilidades (falha causada por políticas de seleção de pessoal e treinamento
inadequado), podem aumentar o risco de ocorrência de erros e fraudes. A perda de dados e
informações sobre os dados e aplicativos manipulados por prestadores de serviços, são
outros riscos freqüentes.
Lista de Verificações
Os aspectos apresentados a seguir podem ser utilizados como uma lista de verificações,
tanto pela gerência de sistemas, quanto pela equipe de auditoria. Para essa gerência, a lista
pode servir como um conjunto de tarefas a serem realizadas para implementar os controles
organizacionais. Para a equipe de auditoria, essas mesmas verificações podem ser
traduzidas em procedimentos de auditoria a serem adotados.
A lista proposta a seguir não tem a pretensão de cobrir todos os pontos a serem verificados.
Seu objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem
fazer parte dessa lista. Cabe ao gerente de sistemas e ao auditor utilizá-la como um ponto
de partida na elaboração de suas próprias listas de verificações.
Lista de Verificações
Controles organizacionais:
✔ Estabelecer e divulgar um plano estratégico de informática compatível com as
estratégias de negócios da instituição, o qual deve ser periodicamente traduzido em
planos operacionais que estabeleçam metas claras de curto prazo.
✔ Estabelecer, documentar e divulgar, a todos os funcionários, as políticas de
informática e os padrões a serem adotados na instituição.
✔ Atender às obrigações legais e contratuais, em relação a aspectos administrativos e
de segurança.
✔ Definir as responsabilidades de cada unidade organizacional e seus cargos
hierárquicos para que os serviços de informática possam ser prestados
adequadamente.
✔ Instituir política de contratação e treinamento de pessoal.
✔ Monitorar e avaliar o desempenho dos funcionários.
31. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 31 -
✔ Evitar a centralização excessiva de poderes e atividades.
✔ Instituir segregação de funções.
✔ Estabelecer procedimentos de controle de trabalho de funcionários.
✔ Na constatação de serviços terceirizados, estabelecer critérios rígidos para seleção,
treinamento, controle de acesso a informações corporativas, controle de atividades
e aceitação de produtos.
✔ Estabelecer claramente em contrato os direitos e os deveres do prestador de
serviços, os padrões de qualidade e de segurança a serem seguidos.
✔ Definir uma política sobre documentação, estabelecendo padrões de qualidade e
classificação quanto à confidencialidade.
✔ Manter documentação atualizada dos sistemas, aplicativos e equipamentos
utilizados.
✔ Elaborar manuais de instrução para o desempenho das atividades no departamento
de informática.
✔ Elaborar plano de aquisição de equipamentos baseado na análise de desempenho
dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos
imprescindíveis para a continuidade dos negócios da instituição.
✔ Obedecer aos prazos recomendados de manutenção preventiva dos equipamentos e
aplicar as correções necessárias nos pacotes de software.
✔ Estabelecer acordos de nível de serviço quanto à disponibilidade dos recursos
computacionais e seu desempenho em condições normais e emergenciais.
✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter
genérico, tais como segurança de informações, controles de acesso, planejamento
de contingências e continuidade de serviços.
Controles de Mudanças
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, é quase
certo que será necessário, de tempos em tempos, atualizar a plataforma de hardware, a
versão do sistema operacional ou incorporar melhorias no código das aplicações
desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanças ou
detectar fraudes durante a fase de transição, é importante controlar o processo de
mudanças. Todas as alterações devem ser autorizadas, documentadas, testadas e
implementadas de forma controlada. Para tanto, as organizações devem definir um
procedimento padrão de mudanças, o qual norteará todo o processo. É imprescindível
garantir que a mudança não comprometa a funcionalidade do sistema além dos limites
previamente definidos.
O que Pode Provocar uma Mudança?
32. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 32 -
Raramente um ambiente computacional se mantém inalterado por um longo período de
tempo. As mudanças tecnológicas, muitas vezes, são as responsáveis por mudanças mais
radicais, como troca de equipamentos, metodologia de trabalho ou sistema operacional. A
seguir serão apresentados alguns fatores que levam a uma mudança no ambiente de
informática.
Atualização tecnológica do parque computacional.
Maior demanda por capacidade de processamento ou de armazenamento (troca ou
atualização de hardware – computador, discos, memória) identificada pela gerência
de planejamento de capacidade e desempenho.
Manutenção periódicas (troca de componentes de hardware, troca de versão de
software, aplicação de correções).
Identificação de problemas com o sistema a partir dos constantes registros feitos
pelo help-desk.
Insatisfação dos usuários com aspectos do sistema, tais como: telas de interface
pouco amigáveis, navegação confusa entre as diversas telas, baixo tempo de
resposta, constante indisponibilidade, dados incorretos nos relatórios gerados, etc.
Identificação de vulnerabilidades do sistema em termos de segurança.
Operação ineficiente ou complicada – uma mudança poderá facilitar o trabalho dos
operadores, administradores de bancos de dados, gerente de rede, atendentes do
help-desk, etc.
Mudança dos objetivos do sistema, incluindo alterações na legislação ou norma a
que o sistema atende.
Procedimentos de Controle de Mudanças
Os procedimentos de controle de mudanças podem variar de uma organização a outra e
dependem do tipo de mudança envolvida. Abaixo será apresentado um exemplo de
possíveis procedimentos relacionados com mudanças em aplicativos.
1. Uma solicitação de mudança é feita por um ou mais usuários.
2. É feito um registro da solicitação, análise de sua factibilidade e dos possíveis
impactos que a mudança pode acarretar no sistema e em outros sistemas
relacionados.
3. Uma especificação da alteração de programa é feita e submetida à aprovação
gerencial.
4. Em um ambiente de teste, o programador efetua alterações ou desenvolve um novo
sistema.
5. São definidos procedimentos de retorno.
33. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 33 -
6. As modificações são testadas em um ambiente controlado de desenvolvimento.
7. Durante o teste, é verificado se as modificações seguem os padrões de programação
e documentação da organização.
8. É feita uma simulação no ambiente de produção, fora do horário normal de
funcionamento.
9. São feitos acertos em função dos resultados dos testes.
10. Depois de todos esses passos e de sua documentação, o programa está pronto para
ser colocado em produção.
Os controles sobre a modificação de programas aplicativos ajudam a garantir que somente
modificações autorizadas sejam implementadas.
Sem um controle apropriado, existe o risco de que características de segurança sejam
omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos ou
ameaças programadas sejam introduzidos. Por exemplo, um programador pode modificar o
código de um programa para burlar os controles e obter acesso a dados confidenciais; a
versão errada de um programa pode ser implantada, ocasionando processamentos errados
ou desatualizados; ou ainda um vírus pode ser introduzido, prejudicando o processamento.
Mudanças de Emergência
De tempos em tempos ocorrem problemas com os sistemas em produção, ou com os
equipamentos de informática, que precisam ser sonados o mais rápido possível. Nesses
casos, é necessário executar mudanças de emergência. Essas mudanças não podem
aguardar o procedimento normal de controle de mudanças e devem ser implementadas o
quanto antes.
Mesmo sendo uma emergência, é recomendável que a organização se planeje para esse tipo
de situação e seja capaz de controlá-la. Provavelmente muitos passos do procedimento
normal não serão seguidos de imediato, como documentação, por exemplo. Porém, assim
que a situação emergencial estiver resolvida, deve ser retomado o processo normal de
controle, complementando o que já foi feito durante a emergência.
Controle de Versão
Os procedimentos de controle de versão são importantes porque garantem que todos os
usuários utilizam a versão correta do pacote de software ou aplicativo. A utilização
indiscriminada de versões diferentes de software pode acarretar problemas sérios, já que as
transações são processadas de forma diferente, a partir de dados diferentes e gerando
resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e
confiabilidade.
A versão atual de software ou aplicativo pode ser colocada em uma biblioteca de
programas, distribuída ou acessada por todos da organização. Essa biblioteca deterá
informações sobre as alterações feitas e um histórico de versões.
Riscos Associados a Controles de Mudanças Inadequados
34. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 34 -
Os principais riscos associados a controles de mudanças inadequados são:
Uso de software ou hardware não autorizado, gerando incompatibilidade no
sistemas e dados.
Processamento e relatórios incorretos, levando, por exemplo, a decisões gerenciais
de negócios totalmente equivocadas, pagamentos errôneos ou registro incorreto de
transações.
Insatisfação do usuário, acarretando perda de produtividade, entrada de dados
incorretos, etc.
Dificuldades de manutenção por falta de documentação adequada.
Mudanças acidentais ou deliberadas, sem devida autorização, causando, por
exemplo, erros de processamento e liberação de informações confidenciais a
usuários não autorizados.
Mudanças de emergência não controladas, acarretando perda de dados e corrupção
de arquivos.
Lista de Verificações
Os aspectos de segurança apresentados a seguir podem ser utilizados como uma lista de
verificações, tanto pela gerência de sistemas, quanto pela equipe de auditoria. Para essa
gerência, a lista pode servir como um conjunto de tarefas a serem realizadas para
implementar os controles de mudanças. Para a equipe de auditoria, essas mesmas
verificações podem servir como procedimento de auditoria a serem adotados.
A lista proposta abaixo não tem a pretensão de cobrir todos os pontos a serem verificados.
Seu objetivo é dar uma noção ao leitor dos conceitos básicos e tipos de itens que podem
compor essa lista. Cabe ao gerente de sistemas e ao auditor utilizá-las como um ponto de
partida na elaboração de sus próprias listas de verificações.
Lista de Verificações
Controle de mudanças:
✔ Documentar todas as modificações e implementá-las apenas se aprovadas pela
gerência.
✔ Avaliar o impacto das mudanças antes de implementá-las e o efeito da sua não
implementação.
✔ Definir os recursos necessários para implementar a alteração e os recursos
futuros necessários para sua manutenção.
✔ Testar exaustivamente os programas antes de colocá-los em produção.
✔ Preparar um plano de restauração da situação anterior, caso algo dê errado na
implantação da mudança.
✔ Estabelecer procedimentos para alterações de emergência.
✔ Após os testes e a aprovação, impedir qualquer nova alteração. Se esta for
necessária, deve ser submetida a novos testes e aprovação.
✔ Planejar a mudança de forma a minimizar o impacto no processamento normal
dos sistemas e serviços prestados aos usuários.
35. AUDITORIA E SEGURANÇA DE SISTEMAS
Profesora. Mislene Dalila
Fonte:
Segurança e Auditoria da Tecnologia da Informação – Cláudia Dias – 2000
Auditoria de Sistemas de Informação – Joshua Onome Imoniana – 2004
Segurança em Informática e de Informações – Carlos Caruso e Flávio Steffen - 1999
- 35 -
✔ Comunicar com antecedência aos usuários sobre a programação de mudanças
que possam alterar o processamento normal dos sistemas por eles utilizados.
✔ Manter e analisar periodicamente log das atividades de mudanças.
✔ Manter controle das versões dos softwares utilizados.
✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de
caráter genérico, tais como controles organizacionais, segurança de
informações, controles de acesso, planejamento de contingências e
continuidade de serviços, etc.
Controles de Operação dos Sistemas
A operação dos sistemas está relacionada com aspectos de infra-estrutura de hardware e
software. Seu objetivo é liberar os usuários de atividades repetitivas e das
responsabilidades de garantir a disponibilidade dos sistemas e seu funcionamento
adequado.
A equipe de operação requer certos procedimentos ou instruções específicas para processar
cada aplicativo, além de procedimentos gerais relacionados com o ambiente operacional
em que esses aplicativos são executados. É aconselhável que o auditor reveja tanto os
procedimentos gerais quanto os específicos de cada aplicação.
Mudanças na Operação de Sistemas em Função das Novas Tecnologias
A maioria das organizações está sofrendo transformações tecnológicas que acarretam
mudanças significativas na operação dos sistemas, inclusive redução de pessoal. Além
disso, muitas delas, com vários centros de processamento, estão optando pelo
processamento e controle remoto das operações a partir de uma única localidade, já que a
tecnologia de rede de comunicação já possibilita essa facilidade.
Os softwares de automação já substituem algumas atividades dos operadores, como a
colocação de cartuchos de fita nas unidades ou ativação de rotinas a partir de certas
condições de processamento ou de tempo. Esses softwares eliminaram, em grande parte, os
riscos de erros e fraudes na operação. No entanto, os operadores ainda são necessários para
checar a correta ativação dessas rotinas automáticas.
A impressão de relatórios, antes feita somente na sala do computador, hoje, com o
processamento distribuído, é efetuada nos departamentos dos usuários. Não há a
necessidade de distribuição de relatórios aos usuários solicitantes. Mesmo em organizações
que optaram pela impressão centralizada, a intervenção dos operadores é menor, graças a
inovações tecnológicas no hardware e no software de controle de impressão.
Na antiga organização de processamento de dados, a área de operações era a principal
preocupação da auditoria. O operador tinha controle quase que total do processamento de
dados e aplicações, podendo burlar controles de acesso, adulterar seqüências de
processamento de programas ou inserir dados incorretos. Apesar de algumas dessas
atividades não autorizadas ainda serem possíveis, o controle sobre a atuação dos
operadores é maior, já que várias de suas atividades hoje são automatizadas e,
conseqüentemente, mais fáceis de serem controladas pela gerência.