AUDITORIA E SEGURANA
INFORMTICA
Unidade III
ii
ndice
INTRODUO ............................................................................................................... iii
ESTRUTURA DA UNIDADE III .................................................................................... 5
CONTEXTUALIZAO ................................................................................................ 5
RESULTADOS DE APRENDIZAGEM DA UNIDADE III........................................... 6
CAPTULO I TCNICAS E FERRAMENTAS DE AUDITORIA ............................. 7
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................... 7
1.1 TCNICAS DE AUDITORIA .......................................................................... 7
1.2 FERRAMENTAS DE AUDITORIA DE SISTEMAS ................................... 18
EXERCCIOS ....................................................................................................... 24
CAPTULO II TCNICAS DE AUDITORIA DE SISTEMAS ................................. 26
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................. 26
2.1. CONTROLO AO NVEL DA ENTIDADE .................................................. 26
2.2. CENTROS DE DADOS E RECUPERAO DE DESASTRES ................. 29
2.3. SWITCHES, ROUTERS E FIREWALLS ..................................................... 36
2.4. SISTEMAS OPERATIVOS ........................................................................... 38
2.5. SERVIDORES WEB ..................................................................................... 40
2.6. BASES DE DADOS ...................................................................................... 41
2.7. APLICAES ............................................................................................... 42
2.8. WLAN E DISPOSITIVOS MVEIS ............................................................ 44
2.9. PROJECTOS .................................................................................................. 48
EXERCCIOS ....................................................................................................... 51
QUADRO SINPTICO ................................................................................................. 53
BIBLIOGRAFIA ............................................................................................................ 56
AVALIAO DA DISCIPLINA DE AUDITORIA E SEGURANA INFORMTICA58
ANEXO I - QUESTIONRIO
ESTUDANTES
DE
AVALIAO
DA
SATISFAO
ii
DO
60
TRODUO
Caro Estudante,
Seja Bem-vindo(a) unidade III da disciplina de Auditoria e Segurana
Informtica.
Para ter sucesso nesta unidade necessita de estudar com ateno todo o manual,
no deixando de rever as unidades anteriores.
Para complementar os seus conhecimentos recomenda-se que realize uma
leitura pelos recursos auxiliares recomendados ao longo desta unidade, no
s pela bibliografia indicada como pelos websites sugeridos. Para aceder a
outras bibliotecas faa-se acompanhar do seu carto de estudante.
A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e
outras referncias importantes para esta e outras disciplinas, que dever utilizar
na realizao de casos prticos. A biblioteca virtual pode ser consultada em
http://www.ismonitor.ac.mz/.
O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo
em:
www.saber.ac.mz
www.books.google.com
Recomenda-se que o aluno no guarde as suas dvidas para si e que as
apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre em
contacto com a respectiva faculdade atravs do e-mail dir.gec@ismonitor.info
ou pelo contacto telefnico 82 36 99 885
Os exerccios prticos tm como objectivo a consolidao do conhecimento
dos temas apresentados nesta unidade. O Instituto Superior Monitor fornece as
solues de muitos desses exerccios de forma a facilitar o processo de
aprendizagem, mas ateno caro estudante, voc deve resolver os exerccios
de auto-avaliao antes de consultar as solues fornecidas.
No final desta unidade encontra-se o teste de avaliao. A avaliao deve ser
submetida ao Instituto Superior Monitor at 30 (trinta) dias aps a recepo da
unidade. A avaliao da unidade pode ser submetida por e-mail
(testes@ismonitor.info), fax, carta, entrega directa na instituio ou usando
outros meios de comunicao.
Esta unidade pressupe que a realizao de 37,5 horas de aprendizagem,
distribudas da seguinte forma:
iv
iv
CONTEXTUALIZAO
Conforme aprendemos nas unidades anteriores, necessrio proteger os
sistemas e tecnologias da organizao, os meios de comunicao e as instalaes
que processam e armazenam as informaes de extrema importncia para essa
organizao (FFIEC, 2004). No entanto, preciso identificar as vulnerabilidades
e suas possveis alternativas para eliminar.
Podemos nos servir da auditoria para identificar essas vulnerabilidades. A
auditoria utiliza diversas tcnicas e ferramentas para a concretizao dos seus
objectivos.
Na Unidade I o estudante aprendeu conceitos fundamentais sobre auditoria,
auditoria informtica, funes de controlo interno e auditoria de sistemas de
gesto de tecnologias de informao e comunicao. Na unidade II abordamos
as metodologias de controlo interno, onde aprendemos as metodologias mais
comuns, o plano de auditoria, relatrio de auditoria, o perfil de um auditor
informtico e a organizao do departamento de auditoria informtica. Na
presente unidade o estudante ir aprender conceitos relacionados com as
tcnicas e ferramentas de auditoria informtica.
Programas de computador
Programas de computador fazem parte de uma categoria de tcnicas de
auditoria. Esta tcnica baseada em programas de computador (Magalhes,
2011), como veremos a seguir:
Simulao paralela
Programas de auditoria tm como funo realizar o cruzamento das informaes
de arquivos, analisando o contedo dos mesmos.
O mtodo que consiste na elaborao de programas de computador para
simular as funes da rotina do sistema em operao que est sendo
auditado.
Utilizam-se os mesmos dados de input, da rotina em produo, como
input do programa de simulao.
Passos:
Anlise do fluxo do sistema
Identificao do arquivo a ser auditado
Entrevista com o analista /utilizador
Identificao do cdigo / layout do arquivo
Elaborao do programa para auditoria
Cpia do arquivo a ser auditado
Aplicao do programa de auditoria
Anlise dos resultados
Emisso de relatrios
Documentao
Anlise de dados
Anlise de dados um mtodo que consiste na anlise de arquivos atravs de
programas de computador que podero realizar, entre outras, as seguintes
funes:
Seleco de registos;
Contagem de registos;
Soma, clculo da mdia, varincia, desvio padro, moda, mediana, etc;
Construo de histogramas;
Anlise horizontal = comparao entre campos de um mesmo registo;
Anlise vertical = comparao de campos entre registos.
Comparao de dados
O mtodo que consiste na comparao entre os registos de dois arquivos a e
b, diferentes, atravs de programas de computador, com o objectivo de
averiguar a existncia de possveis inconsistncias que podero realizar, entre
outras, as seguintes funes:
Seleco de registos (a que no est em b; b que no est em a ou
que est em a e em b).
Contagem de registos.
Soma, clculo da mdia, varincia, desvio padro, moda, mediana etc.
Confirmao de dados
O mtodo que consiste na confirmao dos dados armazenados em um
arquivo, atravs de programas de computador, possibilitando verificar a
veracidade dos mesmos.
8
Questionrios
Questionrio uma tcnica de investigao composta por um nmero variado de
questes com o objectivo de propiciar determinado conhecimento ao
pesquisador.
No contexto de auditoria informtica corresponde elaborao de um conjunto
de perguntas com o objectivo de verificar um determinado ponto de controlo do
ambiente computacional.
Esses aspectos permitem verificar a adequao do ponto de controlo aos
parmetros de controlo interno (segurana lgica, segurana fsica, obedincia
legislao, eficcia, eficincia, etc.).
Dois aspectos so crticos na aplicao da tcnica de questionrio:
Caractersticas do ponto de controlo;
Momento histrico empresarial ou objectivos da verificao do ponto de
controlo.
Os objectivos de verificao do ponto de controlo vo determinar a nfase a ser
dada ao parmetro de controlo interno.
As caractersticas do ponto de controlo tm agregada a natureza da tecnologia
computacional e o correspondente perfil tcnico do auditor que ir aplicar o
questionrio.
Dessa forma, podemos ter questionrios voltados para pontos de controlo cujas
perguntas guardaro caractersticas intrnsecas referentes a:
Segurana em redes computacionais
Segurana do centro de computao
Eficincia no uso dos recursos computacionais
Eficcia de sistemas aplicativos
A tcnica do questionrio pode ser aplicada com outras tcnicas: entrevistas,
visita in loco entre outras. O questionrio pode ser aplicado distncia, pois
no necessita a presena fsica dos indivduos envolvidos.
Desta forma possvel que ocorra uma auditoria maior com menor nmero de
auditores.
A sequncia bsica de aplicao de questionrios distncia :
Analisar o ponto de controlo e elaborar o questionrio;
10
Simulao de dados
a tcnica aplicada para teste de processos computacionais. Corresponde
elaborao de um conjunto de dados de teste a ser submetido ao programa de
computador ou a determinada rotina que o compe, que necessita ser verificada
em sua lgica de processamento.
Evidentemente, uma vez comprovada a inadequao da lgica do processo
auditado, podemos decidir pela correco de todos os resultados que forem
gerados por aquela rotina irregular.
Os dados simulados de teste necessitam prever situaes correctas e situaes
incorrectas de natureza:
Transaces com campos invlidos;
Transaces com valores ou quantidades nos limites de tabelas de clculos
Transaces incompletas;
Transaces incompatveis;
Transaces em duplicidade.
10
Visita in loco
a visita ao local onde as actividades efectivamente so realizadas para, junto
ao pessoal responsvel pela operao do sistema, determinar as prticas e rotinas
utilizadas.
Corresponde actuao pessoal do auditor junto aos sistemas, procedimentos e
instalaes do ambiente computorizado.
Normalmente, combina com outras tcnicas de auditoria de computador,
particularmente o questionrio. A visita in loco implica o cumprimento dos
seguintes procedimentos:
Marcar data e hora com o pessoal responsvel que ir acompanhar as
verificaes, ou convoc-la no momento da verificao.
Anotar procedimentos e acontecimentos, colectar documentos, caracterizar
graficamente a situao via elaborao de fluxo de rotinas e de layout de
instalaes.
Anotar nomes completos das pessoas e data/hora das visitas realizadas;
Analisar os papis de trabalhos obtidos, avaliar respostas e a situao
identificada;
Emitir opinio via relatrio de fraquezas de controlo interno.
Essa tcnica aplicada em vrios pontos de controlo clssicos de auditoria de
sistemas, como:
Inventrio de volume de arquivos magnticos (discos, fitas, disquetes,
CDs, DVDs);
Inventrio de insumos computacionais armazenados em almoxarifado
(fitas de impressora, formulrios);
Visita sala de operao/utilizao de computadores com o objectivo de
verificar problemas de controlo de acesso, etc.;
11
12
Mapeamento estatstico
Esta tcnica de computao que pode ser utilizada pelo auditor para efectuar
verificaes durante o processamento dos programas:
Rotinas no utilizadas;
Quantidade de vezes que cada rotina foi utilizada quando submetida a
processamento de uma quantidade de dados.
A anlise dos relatrios emitidos pela aplicao do mapeamento estatstico
permite a constatao de situaes:
Rotinas existentes em programas j desactivadas ou de uso espordico;
Rotinas mais utilizadas, normalmente a cada processamento do programa;
Rotinas fraudulentas e de uso em situaes irregulares;
Rotinas de controlo accionadas a cada processamento.
H necessidade de ser processado um software de apoio em conjunto com o
processamento do sistema aplicativo, ou rotinas especficas devero estar
embutidas no sistema.
Rastreamento de programas
Permite seguir a execuo do programa determinando todo o caminho que foi
seguido por uma transaco durante todo o processamento do programa a ser
auditado.
Seu principal objectivo identificar as inadequaes e ineficincia na lgica de
um programa.
Tcnica que possibilita seguir o caminho de uma transaco durante o
processamento do programa. Durante a aplicao da tcnica, a sequncia de
instrues executadas listada. Dessa forma, obtemos os nmeros das
instrues segundo sua ordem de execuo. Por exemplo
00001-00002-00003-001150-001151-001152- 90190-90191-90192- etc.
Quando o teste de alimentao de determinada transaco a um programa
realizado, podemos identificar as inadequaes e ineficincia na lgica de um
programa.
Esta abordagem viabiliza a identificao de rotinas fraudulentas pela
alimentao de transaces particulares.
12
Entrevista
O mtodo de trabalho que corresponde realizao de reunio entre o auditor e
os auditados profissionais e utilizadores envolvidos com o ambiente ou o
sistema de informao sob auditoria.
A sequncia de procedimentos corresponde a:
Analisar o ponto de controlo e planear a reunio com os profissionais
envolvidos.
Marcar antecipadamente a data, hora e local com os auditados bem como
comunicar a natureza do trabalho a ser desenvolvido.
Elaborar um questionrio para a realizao da entrevista.
As questes devem ser divididas por parmetro do controlo interno, por rea
ou por assunto de processamento electrnico de dados (PED).
Realizao da reunio com aplicao do questionrio e anotao das
respostas e comentrios dos entrevistados a cada questo efectuada.
Dependendo do nvel de sensibilidade das questes, as reunies devem ser
individuais;
Os nveis hierrquicos das reas auditadas devem ser respeitados,
comunicando aos superiores a natureza das entrevistas com os subordinados.
Elaborao de uma acta de reunio com o registo dos principais pontos
discutidos a cada questo apresentada.
Distribuir cpia da acta da reunio para cada participante da entrevista.
Anlise das respostas e formao de opinio acerca do nvel de controlo
interno do ponto de controlo.
Emisso do relatrio de fraquezas de controlo interno.
A tcnica de entrevistas frequentemente usada com outras tcnicas de
auditoria, visita in loco, questionrio, entre outros.
Anlise de relatrios/telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria no
tocante a:
Nvel de utilizao pelo utilizador;
Esquema de distribuio e nmero de vias emitido;
Grau de confiabilidade do seu contedo;
Forma de utilizao e integrao entre relatrios/telas/documentos;
Distribuio das informaes segundo o layout vigente.
Implica no cumprimento das seguintes etapas:
13
14
14
15
16
16
17
18
18
Audimation
a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve
consultoria e d suporte para o produto.
O Audimation ajuda profissionais de contabilidade e da rea financeira a
aumentar suas capacidades analticas de auditoria, detectar fraudes e atender aos
padres de documentao. Permite importar rapidamente, juntar, analisar, a
amostra e extrair dados de quase qualquer fonte, incluindo relatrios impressos
19
20
em um arquivo. Este Possui recursos para detectar fraudes, avaliar riscos, testar
controlos internos em conformidade com as polticas internas e
regulamentaes.
Segundo o stio Web da AUDIMATION, essa ferramenta disponibiliza uma
interface com o utilizador projectada com assistentes para funes-chave.
baseada em caractersticas do padro Windows, o que significa que no precisa
ser um tcnico especializado para obter resultados.
Galileo
um software integrado de gesto de auditoria. Inclui gesto de riscos de
auditoria, documentao e emisso de relatrios para auditoria interna;
um gestor de auditoria integrada, desenvolvido pela Risk & Assurance, uma
empresa prestadora de servios de auditoria interna.
O Galileo disponibiliza um sistema de documentao e informao que pode ser
adaptado s necessidades especficas de uma auditoria interna, investigaes,
conformidade com as leis, etc.
O Teruel (2010) citando o stio Web da GALILEO, afirma que essa ferramenta
oferece uma metodologia baseada em auditoria completa dos riscos e cobre:
O planeamento estratgico anual, que garante orientao das reas de alto
risco, mantendo a cobertura;
Actividade de monitoramento e garantia de que problemas sejam
identificados e atendidos com a maior brevidade;
Levantamentos de auditoria para obter um feedback sobre o processo de
auditoria, indicadores de desempenho e gesto de informaes para todas as
actividades realizadas pelo departamento.
Pentana
um software de planeamento estratgico da auditoria, sistema de planeamento
e monitoramento de recursos, controlo de horas, registo de checklists e
programas de auditoria, inclusive de desenho e gesto de plano de aco.
O stio Web da PENTANA, afirma que as principais caractersticas dessa
ferramenta so:
Apresenta resultados em grficos coloridos com alta resoluo;
Produz relatrios sensveis ao contexto e popula automaticamente
documentos MS Office com base em relatrios de auditoria e formulrios;
20
Programas utilitrios
Segundo Magalhes (2011) existem softwares, embora no especficos para
actividade de auditoria, que tambm so utilizados com esse propsito, sendo
possvel citar como exemplos as planilhas electrnicas, como excel, softwares
de gesto de base dados, como Acess e MySQL, ferramentas de Business
Intelligence, como Business Objects, softwares estatsticos entre outros.
Nesta caso, o auditor utiliza softwares utilitrios para executar funes muito
comuns de processamento, como ordenar arquivo, sumarizar, concatenar, gerar
relatrios.
21
22
MailDetective
Segundo o sito Web da HENIQ, o MailDetective um software desenvolvido
pela empresa russa AdvSoft e comercializado no Brasil pela empresa HENIQ
NET.
uma ferramenta utilizada para o monitoramento do uso do correio electrnico
na organizao. Ele analisa os registos de utilizao (arquivos log) do servidor
de correio electrnico, fornecendo relatrios de utilizao, mensagens enviadas
e recebidas e volume de trfego (inclusive por utilizadores e endereos de
destinatrios).
O MailDetective permite controlar o percentual de e-mails pessoais e
profissionais, identificar quem so os interlocutores dos funcionrios, estimar o
trfego de e-mails gerado por cada utilizador e criar relatrios para intervalos de
tempo especficos.
A HENIQ.NET tambm comercializa o WebSpy, uma soluo que oferece
anlises detalhadas, monitoramento e relatrios a respeito da utilizao da
Internet e e-mail, individualmente, por departamentos ou toda organizao.
WebSpy oferece tambm solues para captura de dados completos e alerta em
tempo real.
Velop Escudo
A Inova desenvolve e fornece sistemas de e-mail e colaborao, auditoria no
trfego de e-mails e produtos que agregam valor a conectividade para empresas,
provedores, e operadoras de celular. Possui uma ferramenta para realizar
auditoria no trfego de e-mails que permite auditar, controlar, proteger e
monitorar em tempo real os utilizadores de e-mail.
23
24
EXERCCIOS
1) Diga para que servem os programas de auditoria e em que consiste a
simulao paralela
2) Em que consiste o questionrio de uma auditoria informtica?
3) O que entende por simulao de dados?
4) Liste quatro tcnicas de auditoria informtica
5) O que e para que serve o ciclo PDCA?
24
RESPOSTAS
1) Programas de auditoria tm como funo realizar o cruzamento das
informaes de arquivos, analisando o contedo dos mesmos. A simulao
paralela consiste na elaborao de programas de computador para simular as
funes da rotina do sistema em operao que est sendo auditado.
2) O questionrio de auditoria informtica corresponde elaborao de um
conjunto de perguntas com o objectivo de verificar um determinado ponto de
controlo do ambiente computacional.
3) a tcnica aplicada para o teste de processos computacionais que consiste na
elaborao de um conjunto de dados de teste a ser submetido ao programa de
computador ou a determinada rotina que o compe, que necessita ser verificada
em sua lgica de processamento.
4) Simulao paralela, questionrio, simulao de dados, e mapeamento
estatstico.
5) um ciclo de gesto a ser seguido para que seja feita a auditoria de forma
mais organizada. Apresenta as seguintes caractersticas:
Definir as metas (Planear P);
Definir os mtodos que permitiro atingir as metas propostas (Planejar P);
Educar e treinar (Executar D);
Executar a tarefa colectar dados (Executar D);
Verificar os resultados da tarefa executada (Verificar C);
Actuar correctivamente (Actuar A).
6) As ferramentas de auditoria podem ser classificadas em generalistas,
especializadas e de uso geral. As ferramentas generalistas possuem as seguintes
vantagens:
Pode processar vrios arquivos ao mesmo tempo;
Pode processar vrios tipos de arquivos com formatos diferentes, por
exemplo EBCDIC (Extended Binary Coded Decimal Interchange Code) ou
ASCII (American Standard Code for Information Interchange);
Poder tambm fazer uma integrao sistmica com vrios tipos de softwares
e hardwares;
25
26
26
27
28
28
2.2. CENTROS
DESASTRES
DE
DADOS
RECUPERAO
DE
Anatomia de um Desastre
Todo cuidado pouco no que diz respeito s tecnologias de informao
envolvidas numa organizao. Nas organizaes podemos encontrar servidores
de base dados, de aplicaes, de ficheiros entre outros. Para um pleno
funcionamento desses servidores imprescindvel a segurana dos mesmos, ou
seja, deve-se garantir a segurana lgica e fsica. Neste caso, o no cumprimento
da segurana pode originar desastres.
Tavares et al. (2003), afirma que um desastre consiste num acontecimento
imprevisto que origina perdas e dificuldades organizao, afectando
significativamente, de forma negativa, a sua capacidade para executar servios
essenciais.
A quantidade de possibilidades de concretizao destes acontecimentos
encontra-se em paralelo na variedade das formas como os danos so produzidos.
Tipos de Desastre
Os desastres podem ter as mais diversas origens, embora estas se enquadrem
29
30
Cronologia
Um incidente no resulta automaticamente ao desastre, preciso avaliar as
consequncias do tal incidente. Muitos dos casos provocam apenas um pequeno
perodo de indisponibilidade, ou seja uma emergncia. Por exemplo, a
indisponibilidade de sistema por motivo de manuteno do mesmo, trata-se de
emergncia.
Um desastre resulta de um incidente que afecte a capacidade da organizao em
realizar as actividades de suporte aos seus processos crticos, durante um
perodo superior ao limite mximo tolerado pelas funes do negcio (Tavares
et al., 2003):
O ideal termos um sistema que funciona 24 horas por dia, mas por inrcia
pode ocorrer um desastre. Neste processo, vrios sistemas da organizao ficam
inoperacionais. Por exemplo, quando h falhas de sistema de um servidor de
endereos IP, ou simplesmente servidor DHCP, nesta situao no h
comunicao na organizao.
Uma vez ocorrido o desastre, o principal objectivo do negcio ser, ento, o de
retomar todas as suas actividades crticas o mais rapidamente possvel, o que
acontecer no perodo de recuperao.
A figura 2.1. apresenta o esquema do desenrolar cronolgico de um acidente,
representando as vrias fases: perda de funes crticas, declarao de desastre,
recuperao das funes crticas e regresso normalidade.
O objectivo da criao de um plano de recuperao ou continuidade do negcio
, ento, o de garantir que a recuperao das funes crticas da organizao
ocorra de forma suficientemente rpida, de modo a garantir que a sua
30
31
32
centro de dados. A meta a atingir ser identificar as ameaas mais crticas que
podero surgir; para conseguir o auditor dever seguir as seguintes
recomendaes (Santos et al., 2008):
A orientao do edifcio, sinalizao, vizinhana, iluminao externa,
perigos ambientais e a proximidade com servios de emergncia.
Verificar se existem limites e controlo na proximidade de veculos e
entrada de pessoas no edifcio, o recinto externo dever ter barreiras para os
veculos. As barreiras devero tambm limitar os acidentes ou ataques com
carros bomba.
A sinalizao no dever existir, pois os centros de dados devem ser
annimos, longe das vias de comunicao principais e sem serem (ou
evitarem ser) visveis, i.e., passarem despercebidos.
Vizinhana, aqui a questo , que entidades esto localizadas na zona do
edifcio. Esto perto do edifcio? A que tipo de servios/produtos esto
associados? O facto de estar perto de uma fbrica ou armazm, por exemplo,
pode aumentar o risco do centro de dados ser afecto por fugas de materiais
venenosos ou incndios. O ideal seria um edifcio s para esse efeito e
isolado.
Outra situao a analisar a iluminao exterior. Uma iluminao
adequada pode evitar crimes e mesmo que as pessoas vagueiem por perto.
Edifcios crticos devem ter muros/vedaes e o seu permetro ser bem
iluminado e com uma boa intensidade de modo a permitir boa visibilidade a
uma distncia razovel.
O edifcio deve estar preparado para lidar com inundaes, mais uma vez
evitar reas de risco alm de evitar que o piso de entrada no edifcio esteja ao
nvel do solo. Deve igualmente evitar colocar um centro de dados em reas
com elevado risco de sismos ou de tempo inconstante, que permita
tempestades e furaces. Aconselhvel, como j se referiu, localizar o centro
de dados numa rea que seja possvel um rpido socorro pelos servios de
emergncia.
Existem muitos acessos a informao crtica e acidentes no centro de
dados devido a um deficiente controlo ao acesso do mesmo. Logo a forma
como feito o controlo e identificao das pessoas que acedem ao centro de
dados fundamental. Podemos identificar os seguintes mecanismos de
controlo de acesso: portas e paredes exteriores; procedimento de acesso;
mecanismos de autenticao fsica; seguranas e outros usados para proteco
de zonas especficas e sensveis.
32
33
34
Os centros de dados devem estar equipados com diversos tipos de alarme que
permitam monitorar e evitar o acesso aos sistemas, incndios, gua, temperatura
e humidade.
Provavelmente o alarme mais importante ser o que impede o acesso fsico ao
centro de dados, para isso podemos ter sensores em stios estratgicos e nas
portas e entradas. Poderemos ter tambm detectores de movimento, sensores por
contacto, por exemplo nas portas e janelas, e udio sensores que detectam
quebra de vidros, por exemplo, e outras alteraes ao nvel do ambiente sonoro
normal.
Quanto aos sensores de incndio o auditor poder ter que analisar:
Sensores de calor que so activados quando se atinge determinada
temperatura;
Sensores de fumo activados assim que seja detectado fumo;
Sensores de chamas activados quando acusam energia de infravermelhos
ou a vacilao de uma chama.
Outras recomendaes:
Os sensores de calor e fumo so os mais comuns. Quando o auditor
proceder auditoria dos sensores deve verificar o tipo usado, a sua
colocao, a manuteno dos registos e os procedimentos de testes. Estes
devem ser colocados em stios estratgicos e lgicos, sensores de gua
para assim tentar evitar inundaes. Neste caso o auditor dever detectar
e se necessrio indicar stios onde estes sensores devem ser colocados.
Tambm no que diz respeito humidade, dever ser verificada atravs
de sensores. Os sensores de humidade devem ser configurados de modo
que enviem alertas para as pessoas que estaro de preveno. Mais uma
vez, cabe ao auditor verificar que estes alarmes esto colocados no stio
correcto.
Devido ao grande risco de incndios num centro de dados, este dever
possuir um sofisticado sistema de preveno contra incndios, baseado
na construo do edifcio, na existncia de extintores nos pontos-chave, e
lidar eficazmente com materiais perigosos.
34
35
36
37
38
38
39
40
40
41
42
2.7. APLICAES
A auditoria de aplicaes informticas um procedimento em que o auditor se
pode certificar da correcta utilizao dos meios informticos, atravs da
verificao do contedo dos ficheiros que integram as aplicaes, a
conformidade dos processamentos e dos resultados, bem como a adequao dos
procedimentos de controlo e segurana, e da sua conformidade legal.
42
43
44
44
45
46
46
47
48
2.9. PROJECTOS
Segundo Westland (2003), projecto nico esforo para produzir um conjunto
de produtos dentro de um tempo especificado, custo e restries de qualidade.
Este nico e tem tempo e oramento definidos, recursos limitados e envolve
custos.
A gesto de projecto trata da competncia, instrumentos e gesto de processos
necessrios para concretizao do projecto (Westland, 2003).
Numa organizao, extremamente importante garantir a gesto eficiente do
projecto para alcanar os objectivos desejados. A gesto de projecto no
necessariamente um indicativo de sucesso do projecto, mas contribui muito para
o sucesso do projecto.
A auditoria a projectos tem como objectivos fundamentais, assegurar que
(Champlain, 2003):
Todas as partes interessadas esto envolvidas no desenvolvimento de
requisitos e testes do sistema e nesta fase garantir uma comunicao
eficaz entre todos os intervenientes. A incapacidade de recolher as
necessidades dos clientes e obter envolvimento do cliente, leva ao
desenvolvimento de software, sistemas e processos que no se alinham
com as necessidades de negcio;
Questes, oramentos, metas, entre outros so registados, uma linha base
(baseline) construda e monitorada no desenrolar do projecto. Sem
estes mecanismos, mais facilmente se cometem falhas, ultrapassam-se os
prazos e/ou o oramento;
Ocorrem e so programados testes efectivos, que so validados segundo
o documento de requisitos. Testes inadequados levam a sistemas
instveis de fraca qualidade, sem corresponder as exigncias dos
clientes;
Documentao apropriada desenvolvida e mantida;
A formao adequada fornecida aos utilizadores finais. Formao
inadequada conduz a sistemas, processos e software que so utilizados
indevidamente.
48
49
50
50
Quanto aos testes o auditor dever confirmar que os estes esto a ser
realizados num ambiente de desenvolvimento/teste e nunca no sistema
de produo. Rever e avaliar o processo de realizao de testes.
Assegurar-se de que o projecto tem um plano de testes adequado e que o
mesmo est a ser seguido.
O auditor dever verificar que todos os requisitos esto mapeados, tm
correspondncia no documento de casos de teste.
Assegurar o envolvimento dos utilizadores na realizao dos testes e
concordam que o sistema tem os requisitos mnimos para os poderem
efectuar. Estes testes devem ser acompanhados, numa fase inicial, por
um elemento da rea das TI.
Verificao dos testes de aceitao efectuados pelos utilizadores e que os
procedimentos de segurana foram cumpridos.
O auditor deve assegurar-se de que existe um processo que regista,
avalia e escala os problemas encontrados na fase de implementao e
que so resolvidos.
Verificar que existe um processo de passagem do projecto para suporte e
que existe uma equipa de suporte j definida.
O auditor deve confirmar que existe a documentao necessria para as
operaes do dia-a-dia, bem como para a realizao de suporte e
manuteno do sistema. Avaliao dos processos de actualizao da
documentao que permitam que est sempre actualizada.
Por fim, dever ser verificado o planeamento de formao e que este
corresponde a uma formao vlida e eficaz no novo sistema para os
utilizadores. Confirmar a existncia de manuais de formao e de outros
documentos que permitam os utilizadores efectuar as suas tarefas dirias
e que esclaream algumas dvidas que porventura venham a surgir.
EXERCCIOS
1. O que se deve fazer para garantir a uniformidade no controlo interno?
2. Indique dois controlos que um auditor deve ter em conta ao definir os
controlos a aplicar s entidades.
3. O que entende por desastre?
4. Qual o objectivo da criao do plano de recuperao ou continuidade
de negcio?
51
52
5. Indique trs tarefas gerais que o auditor dever ter em conta ao auditar os
sistemas de rede
6. Explique porque todas as transmisses sem fio devem ser encriptadas?
RESPOSTAS
1) Para garantir a uniformidade de controlo interno, necessrio estabelecer e
promover uma viso generalizada dos elementos envolvidos na organizao e
avaliar detalhadamente as actividades ao nvel de processos; deve-se tambm
levar em considerao as aplicaes menos tangveis, mas indispensveis no
processo em geral.
2)
Analisar a estrutura organizacional para compreender se esta fornece uma
clara distribuio de poderes e responsabilidades nas operaes efectuadas;
Analisar o planeamento de processos para ter a certeza de que estes vo ao
encontro dos objectivos da organizao.
2) Desastre consiste num acontecimento imprevisto que origina perdas e
dificuldades organizao, afectando significativamente, de forma negativa, a
sua capacidade para executar servios essenciais.
3) O objectivo da criao de um plano de recuperao ou continuidade do
negcio o de garantir que a recuperao das funes crticas da organizao
ocorra de forma suficientemente rpida, de modo a garantir que a sua
viabilidade no seja comprometida.
4)
Avaliar os controlos sobre o desenvolvimento e manuteno das
configuraes dos equipamentos;
Assegurar o controlo de vulnerabilidades associadas com as verses de
software. Estes controlos podem incluir actualizaes de software, mudanas de
configurao, ou outros processos que se julguem pertinentes de serem
monitorados;
Verificar se todos os servios desnecessrios esto desabilitados;
5) Todas as transmisses sem fios devem ser encriptadas para evitar escutas
ou acesso no autorizado s informaes constantes na transmisso;
52
QUADRO SINPTICO
O mtodo que consiste na elaborao de programas
de computador para simular as funes da rotina do
Simulao
sistema em operao que est sendo auditado.
paralela
um mtodo que consiste na anlise de arquivos
atravs de programas de computador que podero
realizar, entre outras, as seguintes funes:
Seleco de registos;
Contagem de registos;
Soma, clculo da mdia, varincia, desvio
Anlise de dados
padro, moda, mediana, etc;
Construo de histogramas;
Anlise horizontal = comparao entre
campos de um mesmo registo;
Anlise vertical = comparao de campos
entre registos.
O mtodo que consiste na comparao entre os
registos de dois arquivos a e b, diferentes,
Comparao de
atravs de programas de computador, com o
dados
objectivo de averiguar a existncia de possveis
inconsistncias
O mtodo que consiste na confirmao dos dados
Confirmao de
armazenados em um arquivo, atravs de programas
dados
de computador, possibilitando verificar a veracidade
dos mesmos.
uma tcnica de investigao composta por um
nmero variado de questes com o objectivo de
propiciar determinado conhecimento ao pesquisador.
Questionrio
Simulao
dados
Visita in loco
53
54
Snapshot
Ciclo PDCA
Ferramentas
auditoria
Software
generalista
Softwares
especialistas
auditoria
Auditoria
aplicaes
55
56
BIBLIOGRAFIA
Cannon, D. L. (2008) CISA Certified Information Systems
Auditor Study Guide, 2nd edition. Wiley Publishing, Inc.
Champlain, J. J. (2003) Auditing Information Systems. John Wiley
& Sons;
FFIEC (2004) Information Security.
Magalhes, C.E.G (2011) Auditoria em sistemas de informao,
disponvel em
<http://xa.yimg.com/kq/groups/21677002/1362646326/name/GTI1
26++Auditoria+em+Sistemas+de+Informa%C3%A7%C3%A3o.pdf>,
acedido a 21.12.2011;
Santos, P., Faim, C. Silva, P. Monteiro, R. (2008) Auditoria em
Sistemas de Informao.
Tavares, P.S, Carvalho, H. Torre, C.B (2003) Segurana dos
Sistemas de Informao - Gesto Estratgica da Segurana
Empresarial. Centro Atlntico, Lda.
Teruel, E.C (2010) Principais ferramentas utilizadas na auditoria
de sistemas e suas Caractersticas, disponvel em
http://www.centropaulasouza.sp.gov.br/pos-graduacao/workshopde-pos-graduacao-e-pesquisa/anais/2010/Trabalhos/gestao-edesenvolvimento-de-tecnologias-da-informacaoaplicadas/Trabalhos%20Completos/TERUEL,%20Evandro%20Car
los.pd, acedido a 21.12. 2011
Westland, J. (2003) Project management Guidebook. CEO.
Referncias on-line:
AUDIMATION.
About
IDEA,
disponvel
http://www.audimation.com/about.cfm, acedido a 20.12.2011.
em
HENIQ.
MailDetective,
disponvel
http://home.heniq.net/maildetective/, acedido a 20.12.2011.
em
57
58
NOME: __________________________________________________________
N DE MATRCULA ________________
NOTA _________________
58
Bom Trabalho!
59
60
ANEXO I AVALIAO
ESTUDANTES
QUESTIONRIO DE
DA SATISFAO DO
60