Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria de Sistemas Informatizados PDF
Auditoria de Sistemas Informatizados PDF
Auditoria de Sistemas
Informatizados
Disciplina na modalidade a distncia
Palhoa
UnisulVirtual
2007
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:17:00
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:17:04
Apresentao
Parabns, voc est recebendo o livro didtico da disciplina
Auditoria de Sistemas Informatizados.
O processo de ensino e aprendizagem na UnisulVirtual leva
em conta instrumentos que se articulam e se complementam,
portanto, a construo de competncias se d sobre a articulao
de metodologias e por meio das diversas formas de ao/
mediao.
So elementos desse processo:
O livro didtico;
auditoria_de_sistemas_informatiz3 3
22/12/2006 12:17:04
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:17:04
Auditoria de Sistemas
Informatizados
Livro didtico
Design instrucional
Dnia Falco de Bittencourt
Viviane Bastos
3 edio
Palhoa
UnisulVirtual
2007
auditoria_de_sistemas_informatiz5 5
22/12/2006 12:17:05
005.8
B94 Bueno Neto, Ablio
Auditoria de sistemas informatizados : livro didtico / Ablio Bueno Neto, Davi
Solonca ; design instrucional Dnia Falco de Bittencourt, Viviane Bastos. 3. ed.
Palhoa : UnisulVirtual, 2007.
190 p. : il. ; 28 cm.
Inclui bibliografia.
ISBN 978-85-60694-16-7
Crditos
Unisul- Universidade do Sulde Santa Catarina
UnisulVirtual- Educao Superiora Distncia
Cam pusUnisulVirtual
Rua Joo Pereira dos Santos, 303
Palhoa - SC- 88130-475
Fone/fax:(48)3279-1541 e
3279-1542
E-m ail:cursovirtual@unisul.br
Site:www.virtual.unisul.br
ReitorUnisul
Gerson LuizJoner da Silveira
Vice-Reitore Pr-Reitor
Acadm ico
Sebastio Salsio Heerdt
Chefe de gabinete da Reitoria
Fabian Martins de Castro
Pr-ReitorAdm inistrativo
Marcus Vincius Antoles da Silva
Ferreira
Cam pusSul
Diretor:Valter Alves Schm itzNeto
Diretora adjunta:Alexandra Orsoni
Cam pusNorte
Diretor:Ailton Nazareno Soares
Diretora adjunta:Cibele Schuelter
Cam pusUnisulVirtual
Diretor:Joo Vianney
Diretora adjunta:Jucim ara Roesler
Equipe UnisulVirtual
Adm inistrao
Renato AndrLuz
Valm ir Vencio Incio
Bibliotecria
Soraya Arruda W altrick
Cerim onialde Form atura
Jackson Schuelter W iggers
Coordenao dosCursos
Adriano Srgio da Cunha
Ana Luisa Mlbert
Ana Paula Reusing Pacheco
Equipe Didtico-Pedaggica
Angelita MaralFlores
Carm en M aria Cipriani Pandini
Caroline Batista
Carolina Hoeller da Silva Boeing
Cristina Klipp de Oliveira
Daniela Erani M onteiro W ill
Dnia Falco de Bittencourt
Enzo de Oliveira Moreira
Flvia Lum i M atuzawa
Karla Leonora Dahse Nunes
Leandro Kingeski Pacheco
Ligia Maria Soufen Tum olo
M rcia Loch
Patrcia Meneghel
(secretria de ensino)
Ana Lusa M ittelztatt
Ana Paula Pereira
Djeim e Sam m er Bortolotti
Carla Cristina Sbardella
Franciele da Silva Bruchado
Grasiela Martins
Jam es M arcelSilva Ribeiro
Lam uniSouza
Liana Pam plona
Marcelo Pereira
Marcos Alcides M edeiros Junior
Maria IsabelAragon
Olavo Lajs
Priscilla Geovana Pagani
Silvana Henrique Silva
Vilm ar Isaurino Vidal
Secretria Executiva
Viviane Schalata Martins
Tecnologia
Osm ar de Oliveira BrazJnior
(coordenador)
Ricardo Alexandre Bianchini
Rodrigo de Barcelos M artins
Edio --- Livro Didtico
ProfessoresConteudistas
Ablio Bueno Neto
Davi Solonca
Design Instrucional
Dnia Falco de Bittencourt
Viviane Bastos
Projeto Grfico e Capa
Equipe UnisulVirtual
Diagram ao
Vilson M artins Filho
Evandro Guedes Machado
(3edio)
Reviso Ortogrfica
Revisare
Sumrio
Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09
Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
UNIDADE
UNIDADE
UNIDADE
UNIDADE
1
2
3
4
auditoria_de_sistemas_informatiz7 7
22/12/2006 12:17:05
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:17:06
auditoria_de_sistemas_informatiz9 9
22/12/2006 12:17:06
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:17:06
Plano de estudo
O plano de estudo tem por objetivo orientar voc no
desenvolvimento da disciplina. Ele possui elementos que
o ajudaro a conhecer o seu contexto e a organizar o seu
tempo de estudo.
Ementa da disciplina
Fundamentos. Responsabilidades legais. Classicao
de servios. Procedimentos genricos e especcos
para exames e seus respectivos relatrios e certicados.
Aspectos de auditoria de controle geral, segurana,
aplicaes, desempenho, fraude, uso do sistema e
equipamentos. Pontos de controle e trilhas de auditoria.
Controle pr-operacional, operacional, de processamento
e documental. Relatrio de auditoria de sistemas.
Auditoria computadorizada: validao de valores,
programas especcos de auditoria, vericao lgica dos
programas, monitoria on-line do sistema.
Crditos: 4
Objetivo(s)
Geral
Desenvolver habilidades para realizao de auditoria de
sistemas nos diversos campos de atuao.
Especcos
auditoria_de_sistemas_informatiz11 11
22/12/2006 12:17:06
Agenda de atividades
Verique com ateno o cronograma no EVA e organize-se
para acessar periodicamente o espao das disciplinas cursadas.
Lembre-se que o sucesso nos seus estudos depende da priorizao
do tempo para a leitura, da realizao de anlises e snteses do
contedo e da interao com os seus colegas e professor tutor.
Antes de iniciar a realizao das atividades de avaliao, leia com
ateno os critrios de avaliao apresentados pelo professor tutor
no plano de ensino da disciplina no EVA.
No perca os prazos das atividades. Registre no espao, a seguir,
as datas-chave com base no cronograma disponibilizado no EVA.
12
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:17:06
Atividades
Avaliao a distncia 1 (AD 1)
Avaliao presencial (AP)
Avaliao nal (AF)
Demais atividades (registro pessoal)
auditoria_de_sistemas_informatiz13 13
22/12/2006 12:17:06
14
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:17:06
UNIDADE 1
Introduo auditoria de
sistemas informatizados
Objetivos de aprendizagem
Ao final desta unidade, voc ter subsdios para:
Sees de estudo
Apresentamos, a seguir, as sees para voc estudar.
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:17:06
16
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:17:06
Unidade 1
auditoria_de_sistemas_informatiz3 3
17
22/12/2006 12:17:07
Quais so as ameaas?
18
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:17:07
Unidade 1
auditoria_de_sistemas_informatiz5 5
19
22/12/2006 12:17:07
Preventivos
Detectivos
usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos
de tentativas de acesso a um determinado recurso informatizado)
Corretivos
usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos
de contingncia, por exemplo)
20
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:17:07
auditoria_de_sistemas_informatiz7 7
21
22/12/2006 12:17:07
Tipos de auditoria
Descrio
Auditoria horizontal
Auditoria orientada
Auditoria interna
Auditoria externa
Auditoria articulada
Quanto ao rgo
scalizador:
22
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:17:08
Auditoria de programas de
governo
Auditoria administrativa
Auditoria contbil
Auditoria nanceira
Auditoria operacional
Quanto rea
envolvida
Auditoria de sistemas
informatizados
auditoria_de_sistemas_informatiz9 9
23
22/12/2006 12:17:08
Controles ambientais.
Controles organizacionais.
Controles de mudanas.
24
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:17:08
Unidade 1
auditoria_de_sistemas_informatiz11 11
25
22/12/2006 12:17:08
26
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:17:09
Unidade 1
auditoria_de_sistemas_informatiz13 13
27
22/12/2006 12:17:09
28
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:17:09
Unidade 1
auditoria_de_sistemas_informatiz15 15
29
22/12/2006 12:17:09
Fsicas
Naturais
Hardware
erros na aquisio de softwares sem proteo ou na congurao podem ter como conseqncia
uma maior quantidade de acessos indevidos, vazamentos de informaes, perda de dados ou
indisponibilidade do recurso quando necessrio.
discos, tas, relatrios e impressos podem ser perdidos ou danicados. A radiao eletromagntica
pode afetar diversos tipos de mdias magnticas.
Software
Mdias
Comunicao
rotatividade de pessoal,
falta de treinamento,
compartilhamento de informaes condenciais na execuo de rotinas de segurana,
erros ou omisses;
ameaa de bomba, sabotagens, distrbios civis, greves, vandalismos, roubos, destruio da
propriedade ou dados, invases ou guerras.
Humanas
30
auditoria_de_sistemas_informatiz16 16
22/12/2006 12:17:09
Unidade 1
auditoria_de_sistemas_informatiz17 17
31
22/12/2006 12:17:09
32
auditoria_de_sistemas_informatiz18 18
22/12/2006 12:17:10
Unidade 1
auditoria_de_sistemas_informatiz19 19
33
22/12/2006 12:17:10
34
auditoria_de_sistemas_informatiz20 20
22/12/2006 12:17:11
Unidade 1
auditoria_de_sistemas_informatiz21 21
35
22/12/2006 12:17:11
Medidas de Segurana
Antivrus
90
Sistema de backup
76,5
Firewall
75,5
Poltica de segurana
72,5
Capacitao tcnica
70
64
63
Proxy server
62
Criptograa
57
10
Anlise de riscos
56
Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)
36
auditoria_de_sistemas_informatiz22 22
22/12/2006 12:17:11
Unidade 1
auditoria_de_sistemas_informatiz23 23
37
22/12/2006 12:17:11
38
auditoria_de_sistemas_informatiz24 24
22/12/2006 12:17:47
Unidade 1
auditoria_de_sistemas_informatiz25 25
39
22/12/2006 12:17:47
40
auditoria_de_sistemas_informatiz26 26
22/12/2006 12:17:47
Unidade 1
auditoria_de_sistemas_informatiz27 27
41
22/12/2006 12:17:48
auditoria_de_sistemas_informatiz28 28
22/12/2006 12:17:48
Unidade 1
auditoria_de_sistemas_informatiz29 29
43
22/12/2006 12:17:48
44
auditoria_de_sistemas_informatiz30 30
22/12/2006 12:17:48
Unidade 1
auditoria_de_sistemas_informatiz31 31
45
22/12/2006 12:17:48
46
auditoria_de_sistemas_informatiz32 32
22/12/2006 12:17:49
Unidade 1
auditoria_de_sistemas_informatiz33 33
47
22/12/2006 12:17:49
48
auditoria_de_sistemas_informatiz34 34
22/12/2006 12:17:49
Unidade 1
auditoria_de_sistemas_informatiz35 35
49
22/12/2006 12:17:49
Atividades de auto-avaliao
Efetue as atividades de auto-avaliao e acompanhe as respostas
e comentrios a respeito no final do livro didtico. Para melhor
aproveitamento do seu estudo, realize a conferncia de suas respostas
somente depois de fazer as atividades propostas.
Leia com ateno os enunciados e realize, a seguir, as atividades:
1) Basicamente, descreva quais ao os riscos que as informaes em meio
digital ou no correm dentro das empresas?
50
auditoria_de_sistemas_informatiz36 36
22/12/2006 12:17:49
Sntese
Com o estudo desta primeira unidade, voc conferiu os conceitos
que permeiam o assunto de auditoria de sistemas informatizados.
Constatou que o crescente uso de solues informatizadas dentro
das empresas cresceu muito nos ltimos anos. Um novo mundo
de oportunidades surgiu com o uso descontrolado dos sistemas
de informao, havendo a necessidade iminente de controle e as
empresas optaram por um plano de auditoria.
Esta auditoria tem como objetivo a manuteno do investimento
feito sobre as solues de tecnologia da informao, fazendo com
que o custo total de propriedade da soluo se mantenha baixo.
Deste modo, voc entendeu os motivos pelos quais a auditoria em
sistemas informatizados se faz necessria dentro das corporaes.
Por m, estudou tambm que essas lacunas abertas nos levam
a verdadeiros desaos em nossa prosso, pois tendo em mos
informaes, programas e dados de maneira to fcil e to rpida,
um verdadeiro desao tica surge e nos coloca em cheque na
hora de decidir como agir.
Unidade 1
auditoria_de_sistemas_informatiz37 37
51
22/12/2006 12:17:49
Saiba mais
Para aprofundar as questes abordadas nesta unidade, voc
poder pesquisar os seguintes materiais:
52
auditoria_de_sistemas_informatiz38 38
22/12/2006 12:17:50
UNIDADE 2
Organizao da auditoria
Objetivos de aprendizagem
Sees de estudo
A seguir, apresentamos as sees para voc estudar:
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:17:50
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:17:50
Unidade 2
auditoria_de_sistemas_informatiz3 3
55
22/12/2006 12:17:50
56
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:17:50
Unidade 2
auditoria_de_sistemas_informatiz5 5
57
22/12/2006 12:17:50
58
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:17:51
possuir integridade;
possuir objetividade.
Unidade 2
auditoria_de_sistemas_informatiz7 7
59
22/12/2006 12:17:51
60
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:17:51
assurance;
consultoria gerencial;
planejamento;
certicao de normas.
Unidade 2
auditoria_de_sistemas_informatiz9 9
61
22/12/2006 12:17:51
62
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:17:51
Unidade 2
auditoria_de_sistemas_informatiz11 11
63
22/12/2006 12:17:52
64
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:17:52
Unidade 2
auditoria_de_sistemas_informatiz13 13
65
22/12/2006 12:17:52
66
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:17:52
Unidade 2
auditoria_de_sistemas_informatiz15 15
67
22/12/2006 12:17:52
68
auditoria_de_sistemas_informatiz16 16
22/12/2006 12:17:53
Unidade 2
auditoria_de_sistemas_informatiz17 17
69
22/12/2006 12:17:53
70
auditoria_de_sistemas_informatiz18 18
22/12/2006 12:17:53
Unidade 2
auditoria_de_sistemas_informatiz19 19
71
22/12/2006 12:17:53
72
auditoria_de_sistemas_informatiz20 20
22/12/2006 12:17:53
Unidade 2
auditoria_de_sistemas_informatiz21 21
73
22/12/2006 12:17:53
74
auditoria_de_sistemas_informatiz22 22
22/12/2006 12:17:54
Unidade 2
auditoria_de_sistemas_informatiz23 23
75
22/12/2006 12:17:54
Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades.
76
auditoria_de_sistemas_informatiz24 24
22/12/2006 12:17:54
Unidade 2
auditoria_de_sistemas_informatiz25 25
77
22/12/2006 12:17:54
78
auditoria_de_sistemas_informatiz26 26
22/12/2006 12:17:54
Sntese
Nesta unidade, voc estudou que uma auditoria tradicional
envolve a reviso do histrico nanceiro da empresa com o
intuito de validar a exatido e a integridade das declaraes
nanceiras. O controle interno representa uma metodologia
primria usada pela classe executiva da organizao para
assegurar a proteo dos ativos e a disponibilidade da informao.
No advento dos sistemas de informao, o computador j
demonstrou impacto em muitas reas distintas dos negcios e
de vrias prosses. Com esta nova tecnologia, os processos de
revises destes controles ou o processo de auditoria mudaram
e os auditores atualmente, tambm devem saber a respeito da
tecnologia do processamento eletrnico de dados.
Como voc pde perceber, vrios desaos devem ser vencidos na
prosso de auditor, pois ela envolve muitas responsabilidades
alm de muita organizao.
Muitos sistemas no foram projetados para serem seguros. A
segurana que pode ser alcanada por meios tcnicos limitada e
convm ser apoiada por gesto e procedimentos apropriados.
Na prxima unidade voc ir estudar maneiras, mtodos e
procedimentos que podem ser utilizados para suprir a decincia
tecnolgica encontrada nos sistemas de segurana. At l!
Unidade 2
auditoria_de_sistemas_informatiz27 27
79
22/12/2006 12:17:54
Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize
pesquisa nos seguintes livros:
auditoria_de_sistemas_informatiz28 28
22/12/2006 12:17:54
UNIDADE 3
Poltica de segurana de
informaes
Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para:
Sees de estudo
A seguir, apresentamos as sees para voc estudar:
Seo 1
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:17:54
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:17:55
Unidade 3
auditoria_de_sistemas_informatiz3 3
83
22/12/2006 12:17:55
84
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:17:55
Unidade 3
auditoria_de_sistemas_informatiz5 5
85
22/12/2006 12:17:55
86
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:17:55
Caractersticas
Objetivo da segurana
Alvo
Responsabilidades
Requisitos de acesso
Responsabilizao
Generalidades
Unidade 3
auditoria_de_sistemas_informatiz7 7
87
22/12/2006 12:17:56
88
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:17:56
Unidade 3
auditoria_de_sistemas_informatiz9 9
89
22/12/2006 12:17:56
Figura 3.2 Diagrama que representa uma poltica de segurana de informao agindo sobre o
principal ativo de uma empresa, a informao.
Fonte: Smola (2003)
90
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:17:56
Unidade 3
auditoria_de_sistemas_informatiz11 11
91
22/12/2006 12:17:56
92
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:17:57
Unidade 3
auditoria_de_sistemas_informatiz13 13
93
22/12/2006 12:17:57
94
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:17:57
Unidade 3
auditoria_de_sistemas_informatiz15 15
95
22/12/2006 12:17:57
96
auditoria_de_sistemas_informatiz16 16
22/12/2006 12:17:57
auditoria_de_sistemas_informatiz17 17
97
22/12/2006 12:17:57
Recursos e informaes
Aplicativos
(Programas fonte objeto)
O acesso no-autorizado ao cdigo fonte dos aplicativos pode ser usado para alterar suas
funes e lgica do programa, como por exemplo, em um aplicativo bancrio, pode-se zerar os
centavos de todas as contas correntes e transferir o total dos centavos para uma determinada
conta, beneciando ilegalmente este correntista.
Arquivo de dados
Base de dados, arquivos ou transaes de bancos devem ser protegidos para evitar que os dados
sejam apagados ou alterados sem autorizao adequada, como por exemplo, arquivos contendo
congurao do sistema, dados da folha de pagamento, dados nanceiros da empresas, etc.
Utilitrios e sistema
operacional
Arquivos de senha
A falta de proteo adequada aos arquivos que armazenam as senhas pode comprometer todo
o sistema, pois uma pessoa no-autorizada, ao obter uma userid (identicao) e a senha de
um usurio privilegiado, pode, intencionalmente, causar danos ao sistema e dicilmente ser
barrado por qualquer controle de segurana instalado, j que se faz passar por um usurio
autorizado.
Arquivos de log
Os arquivos de log so usados para registrar as aes dos usurios, constituindo-se em timas
fontes de informao para auditorias futuras e anlise de quebras de segurana.
Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e
utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas.
Se os arquivos de log no forem devidamente protegidos, um invasor poder alterar seus
registros para encobrir aes por ele executadas, tais como, alterao ou destruio de dados,
acesso a aplicativos de alterao da congurao do sistema operacional para facilitar futuras
invases.
98
auditoria_de_sistemas_informatiz18 18
22/12/2006 12:17:58
Unidade 3
auditoria_de_sistemas_informatiz19 19
99
22/12/2006 12:17:58
100
auditoria_de_sistemas_informatiz20 20
22/12/2006 12:17:58
as prprias pessoas.
Unidade 3
auditoria_de_sistemas_informatiz21 21
101
22/12/2006 12:17:58
102
auditoria_de_sistemas_informatiz22 22
22/12/2006 12:17:58
Unidade 3
auditoria_de_sistemas_informatiz23 23
103
22/12/2006 12:17:58
104
auditoria_de_sistemas_informatiz24 24
22/12/2006 12:17:59
Unidade 3
auditoria_de_sistemas_informatiz25 25
105
22/12/2006 12:17:59
106
auditoria_de_sistemas_informatiz26 26
22/12/2006 12:17:59
Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades:
Unidade 3
auditoria_de_sistemas_informatiz27 27
107
22/12/2006 12:17:59
108
auditoria_de_sistemas_informatiz28 28
22/12/2006 12:17:59
Sntese
Voc estudou que a informao e os processos de apoio, sistemas
e redes so importantes ativos para os negcios. O carter
condencial, a integridade e a disponibilidade da informao
podem ser essenciais para preservar a competitividade, o
faturamento, a lucratividade, o atendimento aos requisitos legais e
a imagem da organizao no mercado.
Cada vez mais as organizaes, seus sistemas de informao e
redes de computadores so colocados prova por diversos tipos
de ameaas segurana da informao de uma variedade de
fontes, incluindo fraudes eletrnicas, espionagem, sabotagem,
vandalismo, fogo ou inundao. Problemas causados por vrus,
hackers e ataques de denial of service esto se tornando cada vez
mais comuns, mais ambiciosos e incrivelmente mais sosticados.
A dependncia dos sistemas de informao e servios signica
que as organizaes esto mais vulnerveis s ameaas de
segurana. A interconexo de redes pblicas e privadas e o
compartilhamento de recursos de informao aumentam a
diculdade de se controlar o acesso. A tendncia da computao
distribuda diculta a implementao de um controle de acesso
centralizado realmente eciente.
Muitos sistemas no foram projetados para serem seguros. A
segurana que pode ser alcanada por meios tcnicos limitada e
convm que seja apoiada por gesto e procedimentos apropriados.
A identicao de controles convenientes para implantao
requer planejamento cuidadoso e ateno aos detalhes. A
gesto da segurana de informao necessita, pelo menos, da
participao de todos os funcionrios da organizao. Pode
ser que seja necessria tambm a participao de fornecedores,
clientes e acionistas, ou uma consultoria externa especializada.
Na prxima unidade voc estudar que alm de uma poltica de
segurana bem concisa, necessrio tambm que a corporao
possua um meio de garantir a continuidade de processos e
informaes vitais sobrevivncia da empresa atravs de um
plano de contingncia e continuidade de negcios.
At l!
Unidade 3
auditoria_de_sistemas_informatiz29 29
109
22/12/2006 12:17:59
Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize
pesquisa nos seguintes livros:
110
auditoria_de_sistemas_informatiz30 30
22/12/2006 12:17:59
UNIDADE 4
Plano de contingncia e de
continuidade de negcios
Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para:
Sees de estudo
A seguir, apresentamos as sees para voc estudar:
continuidade de negcios?
Como realizar a anlise de impacto?
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:18:00
112
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:18:00
Unidade 4
auditoria_de_sistemas_informatiz3 3
113
22/12/2006 12:18:00
Voc sabia?
O ataque terrorista ao World Trade Center em 11 de
setembro de 2001, teve impacto significativo nos
mercados dos Estados Unidos e mundial. A Bolsa de
Valores de Nova Iorque, o American Stock Exchange
e a NASDAQ no abriram em 11 de Setembro e
permaneceram fechadas at 17 de Setembro. As
instalaes e centros de processamento de dados
remotos da Bolsa de Valores de Nova Iorque (NYSE)
mais as empresas participantes, consumidores e
mercados, foram incapazes de se comunicarem
devido aos danos ocorridos instalao de
chaveamento telefnico prxima ao World Trade
Center. Quando os mercados de aes reabriram em
17 de setembro de 2001, aps o maior perodo de
fechamento desde a Grande Depresso em 1993,
o ndice do mercado de aes Dow Jones Industrial
Average (DJIA) caiu 684 pontos ou 7,1%, passando
para 8920 pontos, sua maior queda em um nico dia.
No fim da semana, o DJIA tinha cado 1369,7 pontos
(14,3%), sua maior queda em uma semana na histria.
O mercado de aes americano perdeu 1,2 trilho de
dlares em valor em uma semana (Fonte: Wikipedia).
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:18:00
Unidade 4
auditoria_de_sistemas_informatiz5 5
115
22/12/2006 12:18:00
Processo de negcio
No-considervel
Relevante
Importante
Crtico
Vital
PN1
PN2
PN3
PN4
PN5
x
x
x
x
x
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:18:00
PN2
PN3
Tolerncia
Greve
Falta de luz
Ataque de D.O.S.
Sabotagem
5h
X
24h
PN4
PN5
48h
15 min
X
a) Hot-site
Recebe este nome por ser uma estratgia pronta para entrar em
ao assim que algum sinistro ocorrer. Mais uma vez, o tempo
de operacionalizao desta estratgia est diretamente ligado ao
tempo de tolerncia s falhas do objeto.
Unidade 4
auditoria_de_sistemas_informatiz7 7
117
22/12/2006 12:18:01
b) Warm-site
Esta estratgia se aplica a objetos com maior tolerncia
paralisao, os quais podem se sujeitar indisponibilidade por
mais tempo, ou seja, at o retorno operacional da atividade.
Como exemplo, temos o servio de e-mail dependente de
uma conexo de comunicao. Veja que o processo de envio
e recebimento de mensagens mais tolerante que o exemplo
usado na primeira estratgia, pois poderia car indisponvel
por minutos, sem, no entanto, comprometer o servio ou gerar
impactos signicativos, apesar de que para algumas empresas, o
e-mail considerado um servio altamente essencial.
c) Relocao de operao
Esta estratgia objetiva desviar a atividade atingida pelo sinistro
para outro ambiente fsico, equipamento ou link, pertencentes a
mesma empresa. Ela s possvel com a existncia de folgas de
recursos que podem ser alocados em situaes de desastre. Um
exemplo disto o redirecionamento do trfego de dados de um
roteador ou servidor com problemas para outro que possua mais
recursos.
d) Bureau de servios
Nesta estratgia, considera-se a possibilidade de transferir a
operacionalizao da atividade atingida para um ambiente
terceirizado, isto , fora dos domnios da empresa. O seu
uso restrito a poucas situaes por requerer um tempo de
tolerncia maior, em funo do tempo de reativao operacional
da atividade. Informaes manuseadas por terceiros requerem
uma ateno redobrada na adoo de procedimentos, critrios
e mecanismos de controle que garantam condies de
segurana adequadas relevncia e senso crtico da atividade de
contingncia.
118
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:18:01
e) Acordo de reciprocidade
Esta estratgia bastante conveniente quando os investimentos
necessrios na falta de uma infra-estrutura de segurana
adequada, pois nada mais do que um acordo entre duas
empresas que possuem um ambiente de TI que exija a possvel
relocao de servios, mas que no disponham de recursos
nanceiros para contratar uma empresa especializada no assunto.
Da mesma forma do bureau de servios, preciso ter cuidado na
hora de expor as informaes da sua empresa para outra, pois
o risco existe e grande. Este tipo de acordo comum entre
empresas de reas diferentes e no concorrentes.
f) Cold-site
Seguindo os modelos de classicao citados anteriormente,
Hot-site e Warm-site, o Cold-site prope uma alternativa de
baixo custo para ambientes de TI, ou seja, pouco budget
para investimentos na rea de continuidade de negcios. No
entanto, exige uma tolerncia alta, pois o mesmo no suporta
alta disponibilidade. Um exemplo deste modelo um ghost
de um HD de um servidor de Active Directory. Supondo que o
HD do servidor principal queimou, coloca-se o HD cold para
funcionar, e ao invs de ler, faz-se a restaurao dos dados. Este
um procedimento de resultados duvidosos, porm, de baixo
custo.
g) Auto-sucincia
Este caso ocorre quando nenhuma outra estratgia aplicvel,
pois prev aproximadamente 100% de disponibilidade,
integridade e carter condencial dos dados. Seria o ideal para
qualquer empresa, porm necessrio se fazer o clculo para
medir o quanto se perde, caso a informao no esteja disponvel.
Unidade 4
auditoria_de_sistemas_informatiz9 9
119
22/12/2006 12:18:01
120
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:18:01
Unidade 4
auditoria_de_sistemas_informatiz11 11
121
22/12/2006 12:18:01
122
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:18:02
Unidade 4
auditoria_de_sistemas_informatiz13 13
123
22/12/2006 12:18:02
124
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:18:02
Unidade 4
auditoria_de_sistemas_informatiz15 15
125
22/12/2006 12:18:02
c) Anlise de impacto
Nesta etapa, tambm conhecida como B.I.A. - Business Impact
Analyisis, ou seja, Anlise de impacto aos negcios, onde sero
identicados, avaliados e relatados os impactos resultantes dos
sinistros ocorridos. Alm disto, ser denida o senso crtico
dos processos de negcios e as prioridades de recuperao
e relacionamento entre elas com a nalidade de vericar a
dependncia entre um servio e outro. Com isto, o prazo para
restabelecimento dos sistemas de informao se dar de acordo
com o planejado.
126
auditoria_de_sistemas_informatiz16 16
22/12/2006 12:18:02
Unidade 4
auditoria_de_sistemas_informatiz17 17
127
22/12/2006 12:18:02
Descrio
Alto
Mdio
Baixo
Perda de alguns dos principais ativos e recursos Perda da reputao, imagem e credibilidade.
Fonte: Ferreira (2003).
128
auditoria_de_sistemas_informatiz18 18
22/12/2006 12:18:02
Unidade 4
auditoria_de_sistemas_informatiz19 19
129
22/12/2006 12:18:03
auditoria_de_sistemas_informatiz20 20
22/12/2006 12:18:03
Unidade 4
auditoria_de_sistemas_informatiz21 21
131
22/12/2006 12:18:03
f) Desenvolvimento do plano
Nesta fase, os componentes, at ento elaborados e planejados,
sero integrados em um plano de continuidade de negcios, a
m de permitir o atendimento s janelas de recuperao dos
componentes e dos processos da corporao.
De acordo com a norma ISO 17799:1, o PCN deve ser
desenvolvido para a manuteno ou recuperao das operaes
do negcio, na escala de tempo requerida, aps a ocorrncia
de interrupes ou falhas dos processos crticos. Para isto,
recomenda-se que o processo de planejamento da continuidade
do negcio considere os seguintes itens:
132
auditoria_de_sistemas_informatiz22 22
22/12/2006 12:18:03
planejar a metodologia;
organizar o plano;
dirigir as responsabilidades;
implementar o plano;
testar o plano;
g) Treinamento
O processo de treinamento das equipes comea com a
distribuio do plano para cada um dos seus componentes,
sendo que cada parte do plano deve ser encaminhada para o
responsvel por ela, acompanhada da viso geral do plano e da
viso geral da sua equipe. Telefones de emergncia, dos demais
membros da equipe e de fornecedores tambm devem fazer parte
do conjunto de instrues bsicas.
Durante a contingncia, os membros de cada equipe no estaro
necessariamente desempenhando os mesmos papis de seus
cotidianos. Desta forma, necessrio que os membros sejam
pessoas aptas e preparadas para desempenhar satisfatoriamente
as funes e executar a contento as atividades que lhes couberem.
O objetivo do treinamento, por sua vez, familiarizar os
participantes com o plano e suas atribuies.
Unidade 4
auditoria_de_sistemas_informatiz23 23
133
22/12/2006 12:18:03
promover palestras;
h) Manuteno
Nesta fase, como o prprio nome diz, faz-se um pr-plano para
gerenciar os exerccios do plano de continuidade de negcios,
avaliando os resultados obtidos. Alm disso, sero desenvolvidos
processos para a manuteno das variveis dos planos de acordo
com os objetivos estratgicos da empresa.
importante que o plano de continuidade de negcios seja
mantido por meio de anlises crticas regulares e atualizaes,
de forma a assegurar a sua contnua efetividade, pois um plano
sem atualizao anlogo a um administrador de redes que faz
134
auditoria_de_sistemas_informatiz24 24
22/12/2006 12:18:03
gerenciar os exerccios;
i) Administrao da crise
Este documento tem o propsito de denir detalhadamente o
funcionamento das equipes envolvidas com o acionamento da
contingncia antes, durante e depois da ocorrncia do incidente.
Nesta etapa, encontra-se o desenvolvimento, coordenao,
avaliao e exerccio do manuseio de mdias e documentos
durante a ocorrncia de um desastre, bem como os possveis
meios de comunicao que minimizem atritos entre a
corporao, seus funcionrios e suas famlias, clientes-chave,
fornecedores, investidores e gestores corporativos.
Atravs dos procedimentos desta etapa, ser possvel assegurar o
fornecimento de informaes para todos os investidores, por meio
de uma fonte nica e constantemente atualizada.
Unidade 4
auditoria_de_sistemas_informatiz25 25
135
22/12/2006 12:18:03
j) Parcerias
Por m, esta a fase onde sero estabelecidos os procedimentos
e respostas necessrias para as atividades de continuidade e
restaurao de negcios, com o auxlio de parcerias, sejam elas
pblicas ou privadas.
136
auditoria_de_sistemas_informatiz26 26
22/12/2006 12:18:04
Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades:
1) Qual a funo de uma anlise de impacto?
Unidade 4
auditoria_de_sistemas_informatiz27 27
137
22/12/2006 12:18:04
Realize tambm as atividades propostas no EVA Espao UnisulVirtual de Aprendizagem. Interaja com a
sua comunidade de aprendizagem e amplie seu ponto
de vista.
138
auditoria_de_sistemas_informatiz28 28
22/12/2006 12:18:04
Sntese
O principal objetivo de um plano de continuidade de negcios
(BCP Business Continuity Plan) garantir a operao da
empresa em situaes de contingncia com o mnimo impacto
aos clientes. No atentado de 11 de setembro de 2001 s Torres
Gmeas do World Trade Center de Nova Iorque, as empresas
que tinham BCPs bem estruturados reiniciaram suas operaes
poucas horas depois do atentado terrorista.
Algumas empresas subestimam os riscos de um desastre e no
investem em BCPs. Os planos de continuidade de negcios
podem ser classicados em dois tipos: os planos de continuidade
das reas de negcios e os planos de recuperao de desastres
(DRP Disaster Recovery Plan) do Centro de Processamento de
Dados.
Em muitos casos, as reas de negcios das empresas dependem
fortemente do processamento de dados para suas atividades
e sua paralisao pra o negcio da empresa. Um exemplo
foi a paralisao do servio de e-mail do provedor de internet
Terra por dois dias devido a um problema no subsistema de
armazenamento de dados, em abril de 2003. O portal Terra teve
que abonar dois dias da mensalidade dos seus 800 mil assinantes
com um prejuzo de mais de R$400 mil.
Nesta unidade voc viu o que um plano de negcios, seus
componentes e suas caractersticas. Viu tambm, com detalhes,
os componentes que formam o desenvolvimento de um plano de
continuidade de negcios.
Na prxima unidade, voc ver que uma auditoria tradicional
envolve a reviso do histrico nanceiro da empresa com o
intuito de validar a exatido e a integridade das declaraes
nanceiras. O controle interno representa uma metodologia
primria usada pela classe executiva da organizao para
assegurar a proteo dos ativos e a disponibilidade da informao.
A prxima unidade ir abranger aspectos voltados para a
vericao de controles gerais da organizao, sua infra-estrutura
de informtica e segurana de informaes. At l!
Unidade 4
auditoria_de_sistemas_informatiz29 29
139
22/12/2006 12:18:04
Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder
pesquisar os seguintes livros:
140
auditoria_de_sistemas_informatiz30 30
22/12/2006 12:18:04
UNIDADE 5
Auditoria em Sistemas de
Informao
Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para:
Sees de estudo
A seguir, conhea as sees para voc estudar:
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:18:04
Complexidade de processamento;
142
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:18:04
Unidade 5
auditoria_de_sistemas_informatiz3 3
143
22/12/2006 12:18:05
Caractertisticas
Test-deck
consiste na aplicao do conceito de massa de teste para sistemas em operao, envolvendo testes
normais e corretos, com campos invlidos, com valores incompatveis, com dados incompletos, etc.
Simulao paralela
Teste de recuperao
avaliao de um sistema em operao quanto aos procedimentos manuais e/ou automticos para a
recuperao e retomada do processamento em situaes de falhas. Um exemplo tpico testar para ver
se o backup funciona.
Teste de desempenho
Teste de estresse
Teste de segurana
Mtodo que se concentra nos requisitos funcionais dos programas em operao. Os casos de testes,
normalmente derivados de diferentes condies de entrada, avaliam funes, interfaces, acessos a
bancos de dados, inicializao e trmino do processamento.
Mapping, tracing e
snapshot
Mtodos que prevem a insero de rotinas especiais nos programas em operao, usadas para depurlos (debug) aps serem executados. So estes:
Mapping: lista as instrues no utilizadas que determina a freqncia daquelas executadas.
Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto , visualizar
quais instrues de uma transao foram executadas e em que ordem.
Snapshot: fornece o contedo de determinadas variveis do programa durante sua execuo, de
acordo com condies preestabelecidas.
144
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:18:05
Unidade 5
auditoria_de_sistemas_informatiz5 5
145
22/12/2006 12:18:05
146
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:18:05
Unidade 5
auditoria_de_sistemas_informatiz7 7
147
22/12/2006 12:18:05
148
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:18:06
Controles de
aplicativos
Controles de entrada
de dados
So projetados para garantir que os dados sejam convertidos para um formato padro e
inseridos na aplicao de forma precisa, completa e tempestiva.
Os controles de entrada de dados devem detectar transaes no-autorizadas, incompletas,
duplicadas ou errneas, e assegurar que sejam controladas at serem corrigidas.
A autorizao para
entrada de dados
Controles do
processamento de
dados
Unidade 5
auditoria_de_sistemas_informatiz9 9
149
22/12/2006 12:18:06
150
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:18:06
Unidade 5
auditoria_de_sistemas_informatiz11 11
151
22/12/2006 12:18:06
152
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:18:06
Unidade 5
auditoria_de_sistemas_informatiz13 13
153
22/12/2006 12:18:07
154
auditoria_de_sistemas_informatiz14 14
22/12/2006 12:18:07
Projetos de sistemas;
Programao de aplicativos;
Programao de sistemas;
Operao de computador;
Controle de dados;
Segurana de dados;
Administrao de dados.
Unidade 5
auditoria_de_sistemas_informatiz15 15
155
22/12/2006 12:18:07
156
auditoria_de_sistemas_informatiz16 16
22/12/2006 12:18:07
Unidade 5
auditoria_de_sistemas_informatiz17 17
157
22/12/2006 12:18:07
158
auditoria_de_sistemas_informatiz18 18
22/12/2006 12:18:08
Unidade 5
auditoria_de_sistemas_informatiz19 19
159
22/12/2006 12:18:08
160
auditoria_de_sistemas_informatiz20 20
22/12/2006 12:18:08
Unidade 5
auditoria_de_sistemas_informatiz21 21
161
22/12/2006 12:18:08
162
auditoria_de_sistemas_informatiz22 22
22/12/2006 12:18:08
Unidade 5
auditoria_de_sistemas_informatiz23 23
163
22/12/2006 12:18:08
164
auditoria_de_sistemas_informatiz24 24
22/12/2006 12:18:09
os campos de dados de
preenchimento obrigatrio so
facilmente identicveis na tela;
Unidade 5
auditoria_de_sistemas_informatiz25 25
165
22/12/2006 12:18:09
166
auditoria_de_sistemas_informatiz26 26
22/12/2006 12:18:09
Unidade 5
auditoria_de_sistemas_informatiz27 27
167
22/12/2006 12:18:09
Cdigos vlidos;
Campos combinados;
Smbolos;
168
auditoria_de_sistemas_informatiz28 28
22/12/2006 12:18:09
Unidade 5
auditoria_de_sistemas_informatiz29 29
169
22/12/2006 12:18:09
170
auditoria_de_sistemas_informatiz30 30
22/12/2006 12:18:09
manuteno da documentao;
Unidade 5
auditoria_de_sistemas_informatiz31 31
171
22/12/2006 12:18:10
Tais como:
segurana de dados;
172
auditoria_de_sistemas_informatiz32 32
22/12/2006 12:18:10
procedimentos de emergncia;
planejamento de contingncia.
Unidade 5
auditoria_de_sistemas_informatiz33 33
173
22/12/2006 12:18:10
do sistema operacional;
174
auditoria_de_sistemas_informatiz34 34
22/12/2006 12:18:10
Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades:
1) Das inmeras tcnicas de auditoria, quais delas so utilizadas
em ambientes de produo, rodando em paralelo e que no
comprometem a sada de dados ou informaes?
Unidade 5
auditoria_de_sistemas_informatiz35 35
175
22/12/2006 12:18:10
Sntese
Nesta ltima unidade, voc conheceu algumas das mais usadas
tcnicas de auditorias, como test-deck, ITF, entre outras. Tambm
conheceu os parmetros necessrios para uma rede segura.
Voc viu que a utilizao da tecnologia da informao para a
manipulao e armazenamento de dados introduz novos riscos
para o controle, acrescentando outras variveis s questes
relacionadas segurana e por conseqncia ao trabalho de
auditoria.
Muitas vezes, redes corporativas bem estruturadas acabam
esbarrando em falhas internas, de usurios no preparados
para utilizar os sistemas ali instalados. Um bom comeo de
estruturao de uma poltica de segurana a conscientizao
dos usurios por parte do pessoal responsvel pela segurana
de dados. Educar a melhor poltica que pode ser aplicada
organizao, principalmente se apoiada pela classe executiva da
empresa.
A segurana no um projeto e sim um processo, portanto deve
ser revista constantemente. Deve-se ter na equipe pessoas alertas
e informadas de falhas de sistemas operacionais, gerenciadores de
bancos de dados, dispositivos de redes locais e de longa distncia
(LAN / WAN) que sejam sempre proativos em possveis
incidentes.
176
auditoria_de_sistemas_informatiz36 36
22/12/2006 12:18:10
Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder
pesquisar os seguintes livros:
Unidade 5
auditoria_de_sistemas_informatiz37 37
177
22/12/2006 12:18:10
auditoria_de_sistemas_informatiz38 38
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz2 2
22/12/2006 12:18:11
Referncias
BOSWORTH, Seymor. E KABAY, M. E. Computer Security
Handbook. Wiley, 2002
BREHMER, Larcio. Poltica de Segurana da Informao
no CIASC. 2003. Dissertao (Ps-graduao em Cincia da
Computao), Universidade do Vale do Itaja, So Jos.
CARISSIMI, Leonardo. Segurana da Informao agrega
valor? Modulo E-Security Magazine. Agosto 2001.
CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurana de
Informtica e de Informaes. SENAC. 1999.
CRONIN, Mary. Global Advantage on the Internet. New
York. Nostrand Reynholdsm, 1996.
CASANAS, Alex D. G. e MACHADO, Csar de S. O impacto da
implementao da Norma NBR ISO/IEC 17799 Cdigo
de prtica para a gesto da Segurana da Informao nas
Empresas. UFSC. 2000.
CETEC. Comit Estadual de Tecnologia da Informao.
Disponvel em www.cetec.sc.gov.br.
CSI/FBI 2005. Computer Crime and Security Survey.
Disponvel em http://www.gocsi.com .
DIAS, Claudia. Segurana e Auditoria da Tecnologia da
Informao. Axel Books. 2000.
FERREIRA, Fernando N. F. Segurana da informao
em ambientes informatizados. Rio de Janeiro: Cincia
Moderna, 2003.
JACOMINO. D. Voc um profissional tico? Voc S.A., So
Paulo, v.3, n.25, p.28-37, jul. 2000.
MARCIAL, Elaine Coutinho e GRUMBACH, Raul Jos dos
Santos. Cenrios Prospectivos: Como Construir um Futuro
Melhor. Rio de Janeiro: Editora FGV, 2002.
auditoria_de_sistemas_informatiz3 3
22/12/2006 12:18:11
182
auditoria_de_sistemas_informatiz4 4
22/12/2006 12:18:11
183
auditoria_de_sistemas_informatiz5 5
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz6 6
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz7 7
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz8 8
22/12/2006 12:18:12
Unidade 1
Respostas:
1) Basicamente, problemas com a integridade, o carter
confidencial e a disponibilidade das informaes.
2) Palavras-chaves para esta resposta so: proteo de
investimento de TI, aumento dos nveis de segurana de
informaes, aderncia a alguma norma de segurana,
exigncia de parceiros de negcio, garantir a continuidade
dos negcios.
3) Palavras-chaves que contm a resposta correta so:
facilidade de acesso a informaes confidenciais dentro
de uma corporao, a fraude simples pelo motivo de
dinheiro, a insubordinao perante superiores ditos como
incompetentes, o prazer de ter burlado a segurana de algum
alvo desprotegido, insatisfao com o emprego.
Unidade 2
Respostas:
1) A tendncia de sempre se aprimorar, pois com o advento da
informtica, coletar dados, mesmo no caso de uma auditoria
de finanas muito mais complexo do que antigamente,
forando o auditor a sempre se atualizar no que diz respeito a
softwares financeiros, sistemas informatizados de auditorias,
entre outras tecnologias.
2) Antes da assinatura do contrato, uma proposta comercial deve
ser apresentada empresa contratante de forma que se saiba
do escopo de trabalho, ou seja, todas as responsabilidades da
auditoria_de_sistemas_informatiz9 9
22/12/2006 12:18:12
Unidade 3
Respostas:
1) A funo dessa anlise obter uma medida da segurana existente
em determinado ambiente informatizado. A primeira considerao
relacionada com segurana de ativos de informaes, como qualquer
outra modalidade de segurana, a relao custo-benefcio. No
se gasta dinheiro em sistemas de segurana ou servios que no
tenham retorno ou que ao menos no garantam algum retorno de
investimento, isto , no se gasta mais dinheiro em proteo do que o
valor do ativo a ser protegido.
2) Basicamente, uma poltica de segurana tem como objetivos
preservar os ativos de informao da corporao, garantindo o
carter confidencial, integridade e disponibilidade da informao. O
carter confidencial garante que a informao ser acessada somente
pelo grupo de pessoas autorizadas. Integridade para garantir que a
informao estar intacta, sem distores ou possveis corrupes de
dados. Disponibilidade para garantir que a informao estar sempre
disponvel ao usurio.
188
auditoria_de_sistemas_informatiz10 10
22/12/2006 12:18:12
Unidade 4
Respostas:
1) A Anlise de Impacto no Negcio permite quantificar o valor das perdas
que podem ser causadas por incidentes de segurana da informao,
considerando os aspectos de carter confidencial, integridade e
disponibilidade. Os resultados da Anlise de Impacto no Negcio
do suporte ao planejamento estratgico de segurana, permitindo
priorizar os investimentos nos pontos mais crticos, ou seja, aqueles que
podem gerar as maiores perdas para a empresa.
2) Elas so bem distintas, basicamente a estratgia Hot Site muito
mais eficiente e eficaz, porm muito mais cara. O que vai diferenciar
a escolha basicamente a anlise de impacto e a anlise de riscos que
vo apontar a medida de segurana do ambiente e onde se encontra o
calo da estrutura.
3) Em um ambiente informatizado, as formas de ameaas mudam todos
os dias, cada vez mais aprimoradas. Da mesma forma, o plano de
continuidade de negcios deve estar sempre atualizado para ser
til. Outro fato que a manuteno do plano pode acusar falha de
processo, que podem ser corrigidas para aumentar a eficcia do plano.
Unidade 5
Respostas:
1) ITF Integrated Test Facility
2) Essa categoria de controle tem como parmetro limitar e supervisionar
o acesso aos programas e arquivos crticos do ambiente computacional
do cliente, com o objetivo de proteger as aplicaes presentes.
3) Procedimentos como a devoluo de crachs, chaves, excluso do login
do usurio, definio de perodo de sigilo que um ex-funcionrio deve
cumprir, entre outros.
189
auditoria_de_sistemas_informatiz11 11
22/12/2006 12:18:12
auditoria_de_sistemas_informatiz12 12
22/12/2006 12:18:12