SEGURANA E AUDITORIA DE
SISTEMAS
Cynara Carvalho
cynaracarvalho@yahoo.com.br
Ementa:
Auditoria de sistemas, PED nas empresas; segurana, formao
de Departamentos de auditoria, levantamentos, procedimentos.
Contedo:
1- Conceitos e Organizao de Auditoria
2 Segurana nas informaes
3 Auditoria da Tecnologia da Informao
4 Segurana em Redes e Internet.
Bibliografia:
Dias, Cludia. Segurana e Auditoria da Tecnologia da Informao. 1
Edio, AXCEL BOOKS, 2000.
LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao.
Gil; Antonio de Loureiro. Auditoria de Computadores 5 Edio, Atlas 2000
Autor Annimo. Segurana Mxima, 2 Edio, Editora Campus, 2000
Tribunal de Contas da Unio, Manual de Auditoria de Sistemas, 1999.
SMOLA, Marcos. Gesto da Segurana da
Informao: uma viso executiva. Rio de Janeiro:
Campus, 2003.
1. CAMPO
Natureza da Auditoria
Quanto ao rgo Fiscalizador:
Auditoria Interna
Auditoria Externa
Auditoria Articulada
Quanto Forma de Abordagem do Tema:
Auditoria Horizontal Auditoria com tema especfico realizada
em vrias entidades ou servios paralelamente.
Auditoria Orientada Auditoria focada em uma atividade
especfica qualquer ou em atividade com fortes indcios de erros
ou fraudes.
Quanto ao Tipo ou rea Envolvida:
Auditoria de programas de governo
Auditoria de planejamento estratgico
Auditorias administrativa, contbil, financeira, legalidade
Auditoria operacional
Auditoria de TI
AMBITO
Constitui-se da amplitude e exausto dos processos de auditoria,
incluindo uma limitao racional dos trabalhos a serem
executados. Define ento at que ponto sero aprofundadas as
tarefas de auditoria e seu grau de abrangncia.
3. REA DE VERIFICAO
o conjunto formado por campo e mbito da auditoria. Delimita
de modo preciso os temas da auditoria, em funo da entidade a
ser fiscalizada e da natureza da auditoria.
Abrangncia de Auditoria
rea de Verificao
Campo
mbito
Sub 1
Objeto
Perodo
Sub 2
Sub 3
Naturez
a
Controles
a fiscalizao exercida sobre as atividades de pessoas, rgos,
departamentos para que tais atividades, ou produtos, no se
desviem das normas preestabelecidas.
Tipos de Controle:
Controle Preventivo - Usados para prevenir erros, omisses ou atos
fraudulentos.
Controle Detectivos - Usados para detectar erros, omisses ou atos
fraudulentos e ainda relatar sua ocorrncia
Controles Corretivos - Usados para reduzir impactos ou corrigir erros
uma vez detectados.
Objetivo de Controle
So metas de controle a serem alcanadas, ou efeitos negativos a
serem
evitados, para cada tipo de transao, atividade ou funo
fiscalizada.
Procedimentos
Achados de Auditoria
So fatos significativos observados pelo auditor durante a
execuo da auditoria. Podem ser falhas ou irregularidades ou
mesmo pontos fortes da instituio auditada.
9
Papis de Trabalho
So registros que evidenciam atos e fatos observados pelo
auditor. Podem estar na forma de documentos, arquivos
informatizados, etc... Estes papis do suporte ao relatrio
final da auditoria, pois registram a metodologia adotada,
procedimentos, verificaes, fontes, etc..
Relatrio de Auditoria
Onde so feitas as recomendaes ou determinaes da
auditoria, para corrigir eventuais falhas detectadas, alm de
apontar responsveis, quando for o caso.
10
Escopo:
Avaliao da poltica de segurana
Controles de acesso lgico
Controles de acesso fsico
Controles ambientais
Planos de contingncias e continuidade dos servios
12
Controles:
Organizacionais
De mudanas
De operao dos sistemas
Sobre bancos de dados
Sobre microcomputadores
Sobre ambientes cliente-servidor
13
Auditoria de aplicativos
Controles:
Desenvolvimento de sistemas aplicativos
Entrada, processamento e sada de dados
Sobre contedo e funcionamento do aplicativo, com relao a rea
por ele atendida
14
Exerccios
1. Definir AUDITORIA.
2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma.
3. Definir CONTROLE.
4. A Auditoria uma atividade de controle?
5. Como pode ser classificado os Controles? Fale sobre cada um.
6. O que so OBJETIVOS DE CONTROLE?
7. O que so PROCEDIMENTOS DE AUDITORIA? Exemplifique.
8. Falar da relao Objetivos de Controle X Procedimentos de Auditoria.
9. Citar os tipos mais comuns (NATUREZA) de Auditoria.
10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAO.
11. Quais as 3 grandes reas da Auditoria da Tecnologia da Informao?
Fale sobre cada uma delas.
12. Quais as sub-reas da Auditoria da Segurana da Informao?
13. Quais as sub-reas da Auditoria da Tecnologia da Informao?
14. Quais as sub-reas da Auditoria de Aplicativos?
15
Equipe de Auditoria
Profissionais de alta capacidade tcnica, em constante
aperfeioamento, comprometidos com a organizao e com postura
adequada.
Conhecimentos necessrios:
Na rea que atua, com experincias prticas anteriores.
Bom nvel em sistemas computacionais para planejar, dirigir,
supervisionar e revisar o trabalho executado.
Quanto mais complexos os elementos do ambiente computacional
e o grau de profundidade esperado dos exames de auditoria, maior
a necessidade de especializao da equipe e/ou do auditor.
Algumas vezes torna-se necessrio contratao externa.
Normalmente os conhecimentos bsicos englobam sistemas
operacionais, software bsico, bancos de dados, redes LAN/WAN,
avanando at softwares de controle de acesso, planos de
contingncias e de recuperao e metodologias de desenvolvimento
de sistemas
16
Equipe de Auditoria
Composio da Equipe:
17
Equipe de Auditoria
Contratao de consultoria externa
Recomendvel para sistemas de alta complexidade e
especializao.
Anlise minuciosa do custo-benefcio.
Extenso do trabalho dos consultores, utilizando externa somente
onde no houver disponibilidade na prpria equipe.
Em caso de contratao, os acertos financeiros e clusulas
contratuais devem ser o mais claros possveis. Deve-se optar por
empresas/pessoas j com experincia na atividade e checar seus
desempenhos em trabalhos anteriores.
A equipe externa deve se envolver desde o incio dos trabalhos.
Deve-se estabelecer etapas bem definidas e pontos de controle,
com superviso contnua de integrante da organizao contratante.
18
Equipe de Auditoria
Contratao de consultoria externa
Qual o tipo de consultoria mais adequada?
Deve ter recursos (humanos e tecnolgicos) adequados para
atingir os objetivos da auditoria dentro do prazo e com a qualidade
esperada.
Firmas ou organizaes podem dispor de mais recursos e
oferecer uma gama maior de servios ou profissionais para cada
tipo de atividade. No entanto isso no garante a qualidade dos seus
servios.
Profissionais autnomos podem atuar no planejamento
estratgico da auditoria ou nas verificaes de campo. Podem
complementar a equipe interna em todo a verificao ou em
determinadas fases do processo.
Tanto firmas como especialistas autnomos podem ser de grande
utilidade no planejamento da auditoria, na conduo de entrevistas
com o auditado, na avaliao de controles, na captao de dados
dos sistemas, na reviso dos resultados obtidos e nas19
Equipe de Auditoria
Contratao de consultoria externa
20
Equipe de Auditoria
Contratao de consultoria externa
21
Equipe de Auditoria
Contratao de consultoria externa
22
Equipe de Auditoria
Composio da Equipe:
Desenvolver habilidades em informtica nos
auditores com formao bsica em contabilidade e
auditoria
A compreenso pode ser mais difcil. A linguagem tcnica e as
evolues constantes podem dificultar um aprendizado adequado.
As dificuldades decorrentes da falta de boa vontade dos profissionais
de informtica ou o uso excessivo de vocabulrio tcnico.
Um bom nvel de especializao s conseguido aps anos de de
formao e prticas.
23
Equipe de Auditoria
Composio da Equipe:
Desenvolver habilidades em auditoria funcionrios com
formao em anlise de sistemas, cincia da
computao, etc...
Pode produzir resultados mais satisfatrios e em menor tempo.
Normalmente as ferramentas de auditoria so computacionais.
O potencial do profissional de informtica que se deseja capacitar e
sua capacidade de adaptao devem ser avaliados criteriosamente.
A preparao tem que ser contnua, mesmo um profissional j
experiente deve-se manter em dia com os assuntos referentes a
auditoria de sistemas. Participaes em seminrios e cursos de
especializao indispensvel. Participao em fruns e consultas a
sites de referncia tambm so vlidos.
A equipe deve se preocupar em montar um Manual de Auditoria da
TI para a organizao, alm de manter um acervo com livros e revistas
especializadas para consultas a qualquer tempo.
24
Equipe de Auditoria
Treinamento
25
Equipe de Auditoria
Treinamento
26
Equipe de Auditoria
Qualificao Profissional
27
Equipe de Auditoria
Qualificao Profissional
28
Equipe de Auditoria
Manual de Auditoria Tecnologia da Informao
OBJETIVO:
29
Equipe de Auditoria
Biblioteca Tcnica
30
Equipe de Auditoria
Organizao da Equipe Especializada
31
Equipe de Auditoria
Administrando Recursos Escassos
32
Equipe de Auditoria
Administrando Recursos Escassos
Espera-se com o uso cada vez mais intenso do computador que haja
um aumento no mercado desse profissionais.
33
Equipe de Auditoria
Planejamento de Atividades
Em organizaes de auditoria geralmente as atividades so
planejadas em trs nveis, baseados em perodos de tempo
diferentes:
Plano Estratgico de Longo Prazo:
Normalmente para perodos de 3 a 5 anos;
Objetivos mais amplos, atinge toda a organizao e tem
que ser aprovado pela gerncia superior;
Define metas, forma de atuao, recursos necessrios,
necessidades de treinamento etc.
aconselhvel revisar a atualizar anualmente.
34
Equipe de Auditoria
Planejamento de Atividades
35
Equipe de Auditoria
Planejamento de Atividades
Em organizaes de auditoria geralmente as atividades so
planejadas em trs nveis, baseados em perodos de tempo
diferentes:
Plano Estratgico Operacional:
Baseia em auditorias individualizadas
Contem detalhes exatos dos objetivos, reas a serem
auditadas, recursos necessrios, prazos, objetivos de
controle e procedimentos de auditoria a serem seguidos.
o plano especfico de uma determinada auditoria;
Ser tratado a seguir (planejamento e execuo).
36
Exerccios
37
Campo
Objeto
Segurana de
informaes
Sub 1
Controles
de Acesso
Fsico
Perodo
01/08 a
30/09/2002
Sub 2
Sub 3
Controles
de Acesso
Lgico
Backup
Naturez
a
Audit. TI
40
Metodologias
Entrevistas
Apresentar o plano de auditoria, coletar dados, identificar falhas e
apresentar os resultados do trabalho.
Entrevista de Apresentao
Entrevistas de Coleta de Dados
Entrevistas de discusso das deficincias encontradas
Entrevistas de encerramento
42
Metodologias
Outras ferramentas
43
44
EXEMPLO:
Na rea de segurana, um dos objetivos de controle pode
ser o estabelecimento de regras para acesso aos recursos
computacionais.
Alguns procedimentos de auditoria relacionados ao objetivo
acima citado pode ser: verificar se h documento formal
que justifique a necessidade do usurio para acessar
determinados recursos computacionais;
ou verificar se existem procedimentos que definem os
recursos computacionais que podero ser acessados e os
tipos de transaes que podero ser executadas por cada
usurio autorizado.
45
ENFOQUES E MOTIVAES:
valor
significativo
dos
sistemas
computacionais, transaes, em termos econmicofinanceiro;
Altos custos de desenvolvimento sistemas com altos
custos de desenvolvimento envolvem riscos mais altos para
a organizao.
46
ENFOQUES E MOTIVAES:
47
Procedimentos de Auditoria
Execuo:
Na execuo, a equipe deve reunir evidncias confiveis, relevantes
e teis para os objetivos da auditoria.
Tipos:
Evidncia fsica
Evidncia documentria
Evidncia fornecida pelo auditado
Evidncia analtica
Todas essas evidncias devem estar organizadas nos papis de
trabalhos, para facilitar a elaborao do relatrio.
48
Relatrio
A forma como o auditor apresenta seus achados e concluses, com
comprovaes, incluindo recomendaes e, conforme o caso,
determinaes.
Deve ser claro, objetivo, sem uso exagerado de termos tcnicos.
Glossrio ao final, caso haja uso de termos e siglas.
Bem organizado.
Relatrios preliminares podem ser apresentados e discutidos com
a parte auditada e/ou com a autoridade contratante.
O relatrio final deve ser revisado por todos os membros da
equipe, para verificar sua consistncia, omisses como tambm
uma reviso gramatical.
49
Relatrio
Estrutura:
Dados da entidade auditada.
Sntese breve resumo do relatrio
Dados da auditoria objetivos, perodo, equipe, metodologia,
etc..
Introduo breve histrico, resumo de audit. Anteriores,
estrutura hierrquica dos dept auditados, etc...
Falhas detectadas Detalhamento das falhas e
irregularidades, com comentrios e justificativas e parecer da
equipe.
Concluso Resumo dos principais pontos e recomendaes
finais para correo das falhas e apontar pontos fortes.
Pareceres Quando necessrio, de instncias superiores.
50
Exerccios Propostos
51