auditores
NOÇÕES DE
AUDITORIA DE SISTEMAS
MÓDULO 2
Fevereiro de 2002
martinelli
auditores
SUMÁRIO
1. TECNOLOGIA DA INFORMAÇÃO
1.1 O que é Tecnologia da Informação?
1.2 Por que usar Sistemas de Informação?
1.3 Como funciona o Departamento de Tecnologia da Informação?
5. SEGURANÇA DE SOFTWARE
5.1 Auditoria de Sistemas
5.2 Segurança Lógica
5.3 Mecanismos de Controle de Acesso
5.4 Procedimentos Gerais de Verificação de Auditoria de Rede
5.5 Pirataria
8. SEGURANÇA NA INTERNET
8.1 Controle de Utilização da Internet
8.2 Transações de Comércio Eletrônico
2
martinelli
auditores
9. ORGANIZAÇÃO DA AUDITORIA
9.1 Utilitários Necessários
9.2 Aplicações dos Utilitários
3
martinelli
auditores
1. TECNOLOGIA DA INFORMAÇÃO
4
martinelli
auditores
Administração
Suporte de produção
Software de sistemas
Comunicação de dados
5
martinelli
auditores
6
martinelli
auditores
Investimento em sistemas de TI
7
martinelli
auditores
Sigilo
Integridade
Disponibilidade
8
martinelli
auditores
9
martinelli
auditores
Modelagem do negócio
Análise de impacto
Análise de dependência
10
martinelli
auditores
11
martinelli
auditores
12
martinelli
auditores
a) Desenvolvimento Interno
b) Desenvolvimento Contratado
- Levantamento de Dados
- Projeto do Sistema
- Construção - desenvolvimento propriamente dito
- Testes
- Implantação
13
martinelli
auditores
14
martinelli
auditores
5. SEGURANÇA DE SOFTWARE
Os Programas
- a data da alteração;
- impacto da alteração na área do usuário;
- outros impactos (em outros programas, rotinas ou sistemas);
- as instruções alteradas dentro dos programas.
Rotina:
15
martinelli
auditores
A Entrada de Dados
Como?
16
martinelli
auditores
- impacto;
- novos testes.
Como?
17
martinelli
auditores
18
martinelli
auditores
- Tentativas de Acesso
- Violações
- Modificações nos parâmetros da rede
- Outras consideradas relevantes
a) conta;
b) horário;
c) dia da semana;
d) estação de trabalho;
e) volume e limites de espaço em disco.
- Senhas:
19
martinelli
auditores
5.5 Pirataria
Em fevereiro de 1998 foi criada a Lei do Software (9609) que diz respeito
às infrações de direito autoral, determinando penas de detenção ou
reclusão de até quatro anos, além de multa pesada.
Denúncias
Prevenção
20
martinelli
auditores
Contrato de Responsabilidade
21
martinelli
auditores
Penas e Multas
CRIME :
O QUE É
PENA
CRIME
O QUE É
22
martinelli
auditores
PENA
23
martinelli
auditores
Localização
Construção
Ações da Natureza
24
martinelli
auditores
Fatores Humanos
25
martinelli
auditores
26
martinelli
auditores
Os detectores, se existirem:
27
martinelli
auditores
Tipos de incêndio
CLASSE A
CLASSE B
CLASSE C
CLASSE D
Metais como o magnésio das rodas
28
martinelli
auditores
Agentes Extintores
Água
apaga por resfriamento incêndios de classe A.
Espuma
apaga por abafamento incêndios em líquidos (classe B). É corrosiva e
ataca metais; grande eficiência nos incêndios com combustível.
Pó químico
apaga por abafamento incêndios de classes B e C.
Pó seco
apaga por abafamento incêndios de classe D.
Energia Elétrica
29
martinelli
auditores
manutenção e garantia
Ø Desenhos de Alimentação Geral e Iluminação Externa
Ø Desenhos de Corte e Detalhes
Ø Desenhos do Pára-Raios e aterramento geral, mostrando tipo do
pára-raios e área de cobertura
Ø Planta de Força e Aterramento por Rede
Aterramento
Objetivos
30
martinelli
auditores
Inspeções Periódicas
- local do armazenamento
- geração dos dados
- risco idêntico ao do disco original
- risco diferente ao do disco original (indicar + ou -)
- local do armazenamento
- geração dos dados
- risco idêntico ao do disco original
- risco diferente ao do disco original (indicar + ou -)
Transporte
31
martinelli
auditores
- Treinamento adequado.
- Competência profissional.
- Segregação de responsabilidades que fragilizem os controles interno da
empresa.
- Plano de cargos e salários, etc.
32
martinelli
auditores
8. SEGURANÇA NA INTERNET
Alguns dos controles que devem ser objeto de verificação pelo Auditor
são:
- Existência de firewall’s.
33
martinelli
auditores
- Anti-vírus atualizado.
- Softwares de detecção de trojam-horse (podem ser os anti-vírus
atualizados).
- Política de senhas.
- Bloqueio de portas de comunicação.
- Ações contra a engenharia social (não jogar informações sigilosas
do sistema no lixo).
- Controla acessos de terceiros (externos) aos sistemas das
empresa (Ex.: PCAnywhere).
34
martinelli
auditores
9. ORGANIZAÇÃO DA AUDITORIA
- Organização
- Trabalho de campo
35
martinelli
auditores
- Gerenciadores de Projeto
c) Para fluxogramação:
- Infobases
h) Para testes:
36