Escolar Documentos
Profissional Documentos
Cultura Documentos
com
Sumrio
Segurana da informao:
Conceitos e princpios de segurana da informao; Segurana e o ciclo de vida da informao; Classificao e controle dos ativos de informao; Aspectos humanos da segurana da informao; Segurana de ambientes fsico e lgico; Controle de acesso; Organizao de segurana; Segurana em governana de TI.
2
Sumrio
Auditoria em sistemas de informao:
Fundamentos em auditoria de SIs; Metodologia de auditoria de SIs; Ferramentas de auditoria de SIs; Tcnicas de auditoria de SIs; Melhores prticas de auditoria de Sis.
SEGURANA DA INFORMAO
Conceitos e princpios de SI
Trs aspectos principais em segurana de
informao:
permitir que alguns usurios acessem determinadas informaes ao mesmo tempo que impede que outros, no autorizados, as vejam; Integridade: A informao deve estar correta, ser verdadeira e no estar corrompida; Disponibilidade: A informao deve estar disponvel para todos que precisarem dela para a realizao dos objetivos corporativos.
Conceitos e princpios de SI
Outros aspectos importantes:
Autenticao: Garantir que um usurio de fato quem
alega ser; No-repdio: Capacidade do sistema de provar que uma usurio executou determinada ao; Legalidade: Garantir que o sistema esteja de acordo com a legislao pertinente; Privacidade: Capacidade do sistema de manter um usurio annimo; Auditoria: Capacidade do sistema de auditar tudo que foi realizado pelos usurios, detectando fraudes ou tentativas de ataque.
Conceitos e princpios de SI
Segurana de informao a tomada de aes
para garantir os aspectos de segurana das informaes dentro das necessidades do cliente; Um incidente de segurana a ocorrncia de um evento que possa causar interrupes nos processos de negcio em conseqncia da violao de algum dos aspectos de SI.
7
Conceitos e princpios de SI
Um incidente de segurana pode ser causado
Conceitos e princpios de SI
Ativo de informao:
A informao um bem de grande valor para os
processos de negcios da organizao. No entanto, devem ser considerados tambm a tecnologia e o meio que a suporta, as pessoas que a manipulam e o ambiente onde ela est inserida; Um ativo de informao composto pela informao e tudo aquilo que a suporta ou se utiliza dela.
9
Conceitos e princpios de SI
Ataque:
Um tipo de incidente de segurana caracterizado
pela existncia de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor.
Vulnerabilidade:
Pontos fracos de um ativo que podem gerar,
intencionalmente ou no, a indisponibilidade, a quebra de confidencialidade ou a integridade da informao. Podem ou no ser exploradas.
10
Conceitos e princpios de SI
Ameaa:
Ataque potencial a um ativo da informao. Agente
externo que se aproveita de uma vulnerabilidade para quebrar um ou mais dos principais aspectos da segurana da informao;
Probabilidade:
Chance de uma falha de segurana ocorrer levando
Conceitos e princpios de SI
Impacto:
O impacto de um incidente de segurana medido
pelas conseqncias que possa causar aos processos de negcio suportados pelo ativo em questo; Os ativos possuem valores diferentes, pois suportam informaes com relevncias diferentes para o negcio da organizao. Quanto maior o valor, maior o impacto.
12
Conceitos e princpios de SI
Controle:
Vulnerabilidades e ameaas de um ativo da
informao podem ser medidas e quantificadas dando a exata noo da probabilidade de acontecer um incidente de segurana e do impacto causado; No possvel ter o controle sobre ameaas por se tratarem de agentes externos, impossibilitando a tomada de medidas preventivas. Devemos ento concentrar nossos esforos em diminuir as vulnerabilidades.
13
Conceitos e princpios de SI
Controle:
Controle todo e qualquer mecanismo utilizado
para diminuir as vulnerabilidades de um ativo da informao, seja um equipamento, tecnologia, pessoa ou processo.
14
requisitos da informao o ponto inicial do ciclo. A partir destas definies, possvel dar seqncia aos processos de obteno, tratamento, armazenamento, distribuio, uso e descarte da informao.
15
requisitos: Um grupo de pessoas ou processos precisa conhecer suas necessidades de informao, bem como suas caractersticas; Tornar a informao mais til para os processos ou as pessoas aplicarem na melhoria da tomada de deciso um dos maiores benefcios desta identificao.
16
necessite ser organizada, formatada, analisada ou classificada antes de ser consumida para poder ser mais acessvel e de fcil utilizao. preciso garantir que a integridade e a confidencialidade de uma informao seja mantida aps o tratamento.
18
informao at seus consumidores. Quanto maior for a rede de distribuio, mais eficiente ser esta etapa, fazendo com que a informao correta chegue a quem necessita dela para a tomada de deciso.
19
gerar valor para a organizao. Os conceitos de disponibilidade, integridade e confidencialidade devem ser aplicados em sua plenitude.
20
conservao da informao para uso futuro. Pode se tornar mais onerosa dependendo da quantidade e dos tipos de mdia utilizados.
21
torna-se obsoleta ou perde a utilidade para a organizao. Deve obedecer as normas legais, polticas operacionais e exigncias internas; A excluso de informaes inteis melhora o processo de gesto da informao. No entanto, apenas pessoas capacitadas devem ser capaz de realizar esta etapa, mantendo assim a confidencialidade.
22
importncia das informaes frente a seu impacto no negcio ou processo que elas suportam; Quanto mais estratgica e decisiva para o sucesso do negcio, mais importante ser a informao.
23
24
informao, fundamental o conhecimento do negcio para que o julgamento da importncia seja o mais previsto possvel; Os critrios que sero utilizados no processo de classificao devem ser adotados de forma clara, respeitando as regras internas, exigncias legais e normas corporativas.
25
classificao:
Classificao: Atividade de atribuir o grau de sigilo
a um ativo de informao; Proprietrio: Responsvel pelo ativo da informao. Auxilia na definio do meio de proteo; Custodiante: Responsvel pela guarda do ativo da informao. Assegura que o ativo est sendo protegido conforme determinado pelo proprietrio.
26
claramente descrita na poltica de segurana, evitar nveis excessivos de classificao e servir para demonstrar a diferenciao entre a importncia dos ativos; A classificao do ativo da informao deve estar centrada em quatro pontos especficos: confidencialidade, disponibilidade, integridade e autenticidade.
27
engloba ativos pblicos ou no classificados. Informaes que, caso sejam divulgadas fora da organizao, no causam impacto para o negcio. Sua integridade no vital e seu uso livre; Nvel 2: Informao Interna: Categoria que engloba ativos cujo acesso do pblico externo deve ser evitado. No entanto, em caso de ser tornar pblico, as conseqncias no so crticas;
28
deve ter acesso restrito dentro da organizao e protegidos do acesso externo. Sua integridade vital e o acesso no autorizado destas informaes pode trazer prejuzo s operaes da organizao; Nvel 4: Informao Secreta: Acesso interno e externo extremamente crtico para a organizao. A quantidade de pessoas que tem acesso a essas informaes deve ser muito controlada. A integridade vital e devem existir regras restritas para o uso destas informaes.
29
informao faz. possvel classificar em nveis de criticidade e estabelecer ordem para recuperao:
Nvel 1: Informaes que devem ser recuperadas em minutos; Nvel 2: Informaes que devem ser recuperadas em horas; Nvel 3: Informaes que devem ser recuperadas em dias; Nvel 4: Informaes que no so crticas.
30
problemas aos processos de uma organizao. Desta forma, deve-se saber quais informaes so fundamentais para saber em qual ponto deve ser feito o controle para prevenir, detectar e corrigir a produo de informaes sem integridade ou alterao indevida das mesmas.
31
devem apresentar requisitos de verificao de autenticidade (ISO 17799). Estabelecer quais so estas informaes facilita a identificao dos requisitos de segurana e a definio de processos para controlar a autenticidade de informaes e documentos.
32
procedimentos de reavaliao peridica dos mesmos devem ser elaborados e mantidos. A rea de SI deve trabalhar em conjunto com os proprietrios da informao com o objetivo de reavaliar a pertinncia da categoria atribuda a cada um dos ativos para assegurar que os mesmos estejam devidamente classificados.
33
Sistema de Informao devido ao fato de sempre estarem envolvidas em incidentes de segurana, seja do lado das vulnerabilidades exploradas, seja do lado das ameaas que exploram essas vulnerabilidades.
34
ser de todos os envolvidos na organizao; Security Officer ou Chief Security Officer: Profissional responsvel pela coordenao do planejamento, implementao, monitoramento e melhoria do Sistema de Segurana da Informao.
35
estrutura organizacional; Planejamento dos investimentos de segurana; Definio dos ndices e indicadores para a segurana corporativa; Elaborao, divulgao, treinamento, implementao e administrao da poltica de segurana, plano de continuidade de negcios e plano de contingncia;
36
mecanismos de segurana, o Security Officer deve ter tambm um profundo conhecimento sobre o negcio da organizao de forma a melhor direcionar as aes de segurana dentro da empresa.
37
quebrar a segurana sem que a vtima sequer perceba que foi manipulada. SANS Institute Algumas pessoas distradas fornecem informaes importantes apenas por serem educadas e confiarem em outras pessoas, sem ter conscincia de que pode estar prejudicando a organizao.
38
conseguir informaes suficientes para formular um ataque. Engenharia Social Fsica: Procura de informaes no lixo, presena de fsica, observao do comportamento, escutas telefnicas, etc. Engenharia Social Psicolgica: Tendncia humana de sermos corteses e acreditarmos na honestidade das pessoas.
39
envolve, geralmente, a interao com humanos; Por medidas de segurana, necessrio omitir certos mecanismos de segurana dos usurios; Problemas comportamentais ocorrem nos nveis operacional, ttico e estratgico.
40
uma responsabilidade de todos; Aes de usurios devem estar aderentes poltica de segurana; Termos e condies de trabalho esto relacionados ao cargo ocupado pelo funcionrio, suas obrigaes e condutas relativas segurana da informao; Todos estes termos, alm de um termo de confidencialidade devem fazer parte do contrato de admisso de um novo funcionrio.
41
segurana da informao, o processo seletivo deve ser feito com ateno para prevenir que pessoas desqualificadas tenham acesso s informaes da organizao; Verificaes que devem ser feitas para contratao:
Confirmao de referncias com empresas e pessoas citadas; Anlise detalhada de currculo e anlise de conduta; Confirmao de diplomas nas instituies de ensino.
42
de todos para que a conduta seja compatvel com as boas prticas da segurana da informao; O treinamento deve ser peridico para que haja uma contnua atualizao em relao s tcnicas e ferramentas de controle.
43
deteco e reao a possveis incidentes de segurana para garantir a segurana fsica dos ativos da informao (barreiras de segurana ISO 17799). Ex: muros, trancas, senhas, etc; Permetro de segurana: rea ou regio protegida por barreiras de segurana e separada de outras reas com nveis de segurana diferentes. Ex: prdios, salas, cofres, etc;
44
escritrios fechados ou com vrias salas dentro de um permetro seguro que considere as ameaas de fogo, poeira, fumaa, vibrao, vazamento de gua, exploso, manifestaes civis e desastres naturais.
45
demandam medidas de proteo contra acesso no autorizado, dano ou furto; Mecanismos de bloqueio; Treinamento especfico para os prestadores de servios de limpeza e manuteno.
46
e anomalias da rede eltrica com nobreaks, uso de mltiplas fontes e geradores; Problemas de mau funcionamento do hardware podem ser evitadas ou minimizadas atravs de manutenes preventivas.
47
ser controladas e fisicamente protegidas; O grande objetivo deste tipo de segurana garantir que as cpias de segurana estejam ntegras quando forem necessrias; Armazenamento, controle de acesso s mdias devem ser discutidas em uma poltica especfica.
48
eletrnicos:
O armazenamento de documentos de valor para a
organizao exige mecanismos de proteo de acordo com o meio em que o documento foi produzido; Procedimentos seguros de tratamento de cpias, armazenamento, transmisso e descarte; Cuidados especiais com documentos de papel contra acidez do papel, umidade, insetos, etc.
49
50
51
interceptaes no autorizadas ou danos; Separao dos cabos eltricos dos cabos de comunicao; Uso de conduites blindados e salas trancadas para os sistemas crticos.
52
interna e a rede pblica ou de outra organizao; Mecanismos de proteo de redes (gateways, proxys e firewalls) para controles de acesso e contedo; Tcnicas de criptografia, VPNs, antivirus, etc (Willian Stalings Segurana em Redes).
53
redes de computadores; Barreira lgica de proteo entre o ambiente externo e um computador ou rede interna; Bloqueio de informaes que no atendem aos critrios definidos pela poltica de segurana; Pode se tornar um gargalo na rede uma vez que todo o trfego passar obrigatoriamente por ele.
54
protegem um equipamento ou segmento de rede que fica entre uma rede interna e a Internet; Atua como intermediria para os trfegos de entrada e de sada; Uso de VPNs para estabelecer um canal seguro para troca de informaes entre dois pontos autorizados; Utilizar uma VPN para usar a Internet como meio de transmisso de informaes corporativas, ao invs de linhas privadas e mais lentas.
55
incidentes de segurana em computadores pessoais; Atua com o objetivo de proteger um computador de forma individual e, por conseqncia, os demais componentes de uma rede; Altamente recomendado para qualquer sistema que esteja conectado Internet.
56
informao dentro de outra. Ex: informaes ocultas em arquivos de vdeo ou som; Criptografia: a cincia ou arte de escrever em cifras ou em cdigos, combinando a cifra previamente com o destinatrio; Utilizada no meio digital para garantir a autenticao, a privacidade e a integridade dos dados e dos meios de comunicao.
57
codificar e decodificar uma mensagem. A divulgao da chave compromete a segurana do processo; Criptografia assimtrica ou de chave pblica: Utiliza duas chaves diferentes matematicamente relacionadas. Chave pblica disponvel para todos que quiserem criptografar uma mensagem ou verificar uma assinatura gerada com a chave privada correspondente. Chave privada de uso exclusivo do proprietrio e serve para assinar ou decodificar mensagens e deve ser mantida em segredo.
58
com o objetivo de encontrar e emitir alertas de acessos no autorizados aos recursos de rede; Servio que procura por indcios de invaso; No caso de encontrar ocorrncias, aciona as rotinas definidas pela organizaoa fim de bloquear o acesso.
63
Controle de acesso
O acesso informao deve ser controlado mas
no deve impedir os processos de negcio da organizao; Controle de acesso pode ser dividido em lgico e fsico.
64
Controle de acesso
Controle de acesso lgico:
Os recursos que devem ter o acesso lgico
65
Controle de acesso
Tipos de controle de acesso lgico:
O que voc sabe:Mtodo de autenticao baseado em senha de usurio que um usurio tenha conhecimento. Boas prticas envolvem a troca peridica das senhas, identificao de senhas de fcil deduo e bloqueio aps algumas tentativas mal sucedidadas. b) O que voc tem: Autenticao baseada em algo que o usurio possui. Ex: Carto magntico, smart card, carto com chip, etc. Associao comum entre os tipos o que voc sabe + o que voc tem. c) O que voc : Mtodo baseado em caractersticas fsicas de um usurio atravs de sistemas biomtricos. Ex: reconhecimento facil, voz, ris, digital, etc.
a)
66
Controle de acesso
Administrao dos privilgios de usurios:
Melhoria na segregao de funes e na proteo
dos ativos de informao contra acessos no autorizados realizando a administrao adequada dos privilgios concedidos aos usurios do sistema; Uso de perfis e grupos de usurios com diferentes necessidades e permisses para gerenciar os privilgios de forma mais eficiente; Manuteno e reviso peridica dos perfis de usurio para verificar se as necessidades de acesso foram modificadas.
67
Controle de acesso
Monitoramento do uso e acesso ao sistema:
Um sistema deve possuir registros de atividades
realizadas pelos usurios (logs); Logs devem registrar o usurio que realizou a atividade, a hora e o tipo da atividade; Processo utilizado para auditoria em caso de violao da integridade da informao.
68
Controle de acesso
Controle de acesso fsico:
Locais que oferecem riscos para a segurana da
informao devem ser protegidos por controles de entrada apropriados, dependendo da importncia do ativo; Os controles de acesso a ambientes fsicos podem ser realizados utilizando estratgias de segurana lgica (O que voc sabe, O que voc tem, O que voc ).
69
Organizao da Segurana
Modelo de gesto de segurana:
Criar um Comit de Segurana da Informao; Conhecer a fundo as etapas que compem os
processos de Segurana da Informao; Formalizar e organizar os processos que daro vida e dinamismo gesto de SI.
70
Organizao da Segurana
Etapas de um modelo de gesto corporativa de
Segurana da Informao:
Comit Corporativo de Segurana da Informao; Mapeamento de Segurana; Estratgia de Segurana; Planejamento de Segurana; Implementao de Segurana; Administrao de Segurana; Segurana na cadeia produtiva.
71
Organizao da Segurana
Comit Corporativo de Segurana da Informao :
Orientar as aes corporativas de segurana
relacionadas a todas as etapas do modelo; Anlise de resultados para reparar possveis desvios de foco; Coordenao dos agentes de segurana; Garantir o sucesso de implantao do Modelo de Gesto Corporativo de Segurana da Informao (autonomia da empresa em relao aos seus desafios de segurana); Consolidao do Modelo de Gesto Corporativo de Segurana da Informao como um processo dinmico auto-gerido.
72
Organizao da Segurana
Mapeamento de Segurana:
Identificar os graus de relevncia entre os processos de
negcio, definio de permetros, infra-estrutura, etc; Inventrio dos ativos fsicos, tecnolgicos e humanos que sustentam a operao da empresa; Identificar ameaas, vulnerabilidades e impacto, de forma a projetar a segurana necessria para sustentar os processos de negcio; Mapeamento das necessidades empresariais relacionadas ao manuseio, armazenamento, transporte e descarte de informaes; Organizao das demandas de segurana do negcio.
73
Organizao da Segurana
Estratgia de Segurana:
Definio de um plano de ao que considere as
particularidades estratgicas, tticas e operacionais do negcio, alm dos aspectos de risco fsico, tecnolgico e humano; Aproximar o cenrio atual do desejado com o objetivo de aumentar o comprometimento com as medidas previstas no plano de ao.
74
Organizao da Segurana
Planejamento de Segurana:
Coordenao dos comits interdepartamentais, definir
os escopos e promover a integrao entre eles; Iniciar aes preliminares de capacitao de executivos e tcnicos, envolvendo-os na responsabilidade pelo sucesso do modelo de gesto; Elaborao de uma Poltica de Segurana da Informao Slida; Realizao de aes corretivas emergenciais em funo do risco iminente percebido na etapa de mapeamento.
75
Organizao da Segurana
Implementao de Segurana:
Divulgao da Poltica de Segurana no ambiente
corporativo para torn-la de conhecimento de todos; Capacitao e conscientizao dos usurios em relao ao manuseio, armazenamento, transporte e descarte da informao; Implementao de mecanismos de controles fsicos, tecnolgicos e humanos para reduzir ou eliminar as vulnerabilidades a um nvel desejado pela organizao.
76
Organizao da Segurana
Administrao de Segurana:
Monitorar os diversos controles implementados, medindo a
eficincia e sinalizando mudanas que influenciem nos nveis do risco dos negcios; Projetar o Retorno sobre o Investimento (ROI) com base nas medies realizadas; Garantir a adequao e a conformidade o negcio com as normas associadas e regras internas de acordo com a legislao incidente; Manter planos estratgicos paracontingncia e recuperao de desastres; Administrar os controles implementados, adequando suas regras de operao aos critrios definidos na Poltica de Segurana.
77
Organizao da Segurana
Segurana na cadeia produtiva:
Equalizar as medidas de segurana adotadas pela
empresa aos processos de negcio comuns, mantidos junto com os parceiros da cadeia produtiva: fornecedores, clientes, governo, etc; Nivelar o fator risco sem que uma das partes exponha informaes compartilhadas e represente uma ameaa operao de ambos os negcios.
78
Organizao da Segurana
Comits da Segurana:
Escritrio de Segurana da Informao deve ser
independente e ligado diretamente diretoria ou presidncia (ISSO 17799); Responsabilidades do Comit da Segurana:
Organizao e planejamento das aes de segurana; Aprovao das polticas, normas e procedimentos de segurana da informao; Apoio implantao de solues para minimizar riscos; Deliberao sobre incidentes de segurana corporativa.
79
Segurana em Governana de TI
COBIT: Control Objectives for Information and
Related Technology:
Framework voltado para a gesto de TI; COBIT cobre os quatro domnios: Planejar e Organizar; Adquirir e Implementar; Entregar e dar Suporte; Monitorar e Avaliar
80
Segurana em Governana de TI
Planejar e Organizar:
Cobre o uso de informao e tecnologia e como isso
pode ser usado para a empresa atingir seus objetivos; Definio da infra-estrutura e da estrutura organizacional para atingir os objetivos.
81
Segurana em Governana de TI
Adquirir e Implementar:
Cobre os requisitos de TI, a aquisio de tecnologia,
sua implementao e utilizao dentro dos processos de negcio da companhia; Mantm o foco no desenvolvimento do plano de manuteno adotado para prolongar a vida do sistema de TI e seus componentes.
82
Segurana em Governana de TI
Entregar e dar Suporte:
Cobre a execuo de aplicaes dentro do sistema
de TI e seus resultados, bem como o suporte dos processos que habilitam a execuo de forma eficiente e efetiva; Processos incluem tambm questes de segurana e reinamento.
83
Segurana em Governana de TI
Monitorar e Avaliar:
Trabalha com a estimativa estratgica das
necessidades da companhia, avaliando se o atual sistema de TI atinge os objetivos especificados; Controla os processos internos da empresa atravs de auditorias internas e externas.
84
Segurana em Governana de TI
ITIL: Information Technology Infrastructure
Library:
Modelo de referncia para gerenciamento de
processos de TI; Desenvolver as melhores prticas para a gesto da rea de TI em empresas pblicas e privadas; Tornou-se a norma BR-15000, que um anexo da ISO/IEC 9000/2000.
85
Segurana em Governana de TI
Principais processos que fazem parte do
86
Segurana em Governana de TI
Disciplinas tticas (ou de planejamento) do ITIL:
Service Level Management; IT Service Continuity Management; Financial Management; Capacity Management; Availability Management. Incident Management; Problem Management; Configuration Management; Change Management; Release Management;
87
Segurana em Governana de TI
Exerccio:
Listar todos os objetivos de alto nvel dos quatro
domnios do COBIT; Descrever (explicar) todas as disciplinas tticas e operacionais do ITIL; Entrega: Prxima aula; Exerccio individual escrito a mo.
88
avaliao e recomendaes para o aprimoramento dos controles internos nos sistemas de informao das empresas; Deve atuar em todos os sistemas nos nveis operacional, tticos e estratgico da empresa.
90
processadas pelo sistema. Capacidade do sistema de garantir a consistncia e a correo das transaes. Confidencialidade: As informaes so reveladas somente s pessoas que necessitam conhec-las. Privacidade: Segregao de funes. Apenas informaes necessrias para a execuo de funes so visualizadas.
92
processadas. Verificao de consistncia de entrada de dados para auxiliar na verificao de dados fonte. Disponibilidade: Disponibilidade do sistema para o cumprimento das atividades empresariais. Auditabilidade: Documentao de logs para viabilizar trilhas de auditoria.
93
fcil adaptao com a estrutura operacional da empresa. Manutenibilidade: Polticas e procedimentos operacionais que devem contemplar controles relacionados a testes, converses, implantao e documentao de sistemas novos e modificados.
94
95
de sistemas de informao:
Planejamento inicial de aes e recursos necessrios para a execuo da auditoria; Considerar o enfoque desejado e a quantidade de sistemas a serem auditados; Uso de ferramentas, como o PMBoK (Project Management Body of Knowledge), para o planejamento das atividades.
97
auditado:
Obteno de informaes relevantes sobre o sistema; Deve ser possvel obter um entendimento amplo das caractersticas do sistema; Uso de entrevistas ou anlise da documentao de desenvolvimento (DFDs, DERs, Casos de uso, etc) para entender o comportamento do sistema; Definio clara do escopo para melhor direcionar a auditoria.
98
sistema auditado:
Devem ser efetuados com base em: Grau de risco existente no ponto: Consiste na verificao dos prejuzos que podem ser causados pelo sistema a curto, mdio ou longo prazo; Existncia de ameaas: Auditar primeiro os pontos que se encontram sob forte ameaa e depois os demais; Disponibilidade de recursos: Escolher os pontos que possam ser auditados com os recursos disponveis. A priorizao deve ser revisada ao longo do processo de auditoria.
100
101
103
Tecnologia da Informao:
Ferramentas que so capazes de processar, simular,
analisar amostras, gerar dados estatsticos, dentre outras funcionalidades que podem ser teis do ponto de vista de um auditor.
104
anlise de dados; IDEA (Interactive Data Extration and Analisys): Software canadense tambm com objetivos de extrao e anlise de dados; Audimation: Verso americana do IDEA; Galileo: Software de gesto de auditoria. Inclui gesto de risco de auditoria, documentao e emisso de relatrios voltados para auditorias internas; Pentana: Software de planejamento estratgico de auditoria com planejamento e monitoramento de recursos, controle de horas e gerenciamento de planos de ao.
105
mesmo tempo; Processamento de vrios tipos de arquivos em vrios formatos; Integrao sistemtica com outros softwares; Reduo da dependncia do auditor em relao ao especialista de informtica.
106
107
executar certas tarefas em situaes pr-estabelecidas. Podem ser desenvolvidas pelo auditor ou por terceiros. Vantagens:
Boa alternativa para atender demandas mais especficas. Ex: carto de crdito e crdito imobilirio.
Desvantagens: Pode ser custosa, por, muitas vezes, atender apenas a um objetivo especfico e apenas um cliente; Atualizaes podem gerar problemas de incompatibilidade.
108
ordenao de arquivos, concatenao de textos e gerao de relatrios. No so criados com o objetivo especfico de auditoria. Vantagens:
Podem ser utilizados como soluo alternativa na ausncia de outro recurso.
Desvantagens: Necessita do auxlio do auditor, do usurio e do analista do sistema.
109
especificamente para testar as funcionalidades de entrada de dados do sistema; Anlise dos resultados obtidos com os resultados planejados; Maior numero de combinaes exerce uma maior cobertura ao teste.
110
111
de processamento utilizando-se verses correntes da produo; O teste envolve a aplicao de entidades fictcias, como funcionrios fantasmas na folha de pagamento; Os resultados de transaes reais so confrontados com os resultados dos dados fictcios; Testes evitam que as bases reais sejam atualizadas com dados fictcios.
112
113
realizam testes, simulando as funcionalidades do programa empresarial; Resultados da simulao comparados com os do ambiente real; Interao do auditor para comparao e anlise dos dados obtidos nos dois ambientes.
114
de desenvolvimento; Sistemas com emisso de relatrios de auditoria e logs para acompanhamento dos procedimentos operacionais.
115
acompanhar os principais pontos da lgica do processamentodas transaes crticas; Comportamentos e resultados de transaes so armazenados para anlises futuras; Recuperao da informao de forma inversa (seguindo a trilha oposta).
116
mesmas especificadas na documentao; Pode ser feita manualmente ou suportada por ferramentas automatizadas de verificao de software.
117
auditores; Vrias associaes e empersas de auditoria apresentam regras no exerccio da profisso; Recomendaes emitidas pelo Comit de Padres da Associao de Controle e Auditoria de Tecnologia de Informao dos EUA com o objetivo de tentar padronizar os processos de auditoria.
118
contas: Responsabilidade, autoridade e prestao de contas sobre a funo de auditor de TI devem ser devidamente documentadas na defiio da rea de atuao; Independncia profissional: O auditor de TI deve ser independente no que diz respeito aos processos que envolvem a auditoria, inclusive em relao rea que est sendo auditada.
119
respeitar o cdigo de tica vigente (ACATI); Competncia: O auditor deve ser competente em suas habilidades tcnicas, possuindo conhecimento necessrio para a execuo do seu trabalho.
120
para direcionar os objetivos da auditoria com maior eficincia. A equipe de auditoria deve ser supervisionada para atender e respeitar o planejamento; Emisso de relatrio: O auditor de TI deve prover um relatrio de atividades realizadas e resultados obtidos para a autoridade competente. Este relatrio deve apresentar escopo, objetivos, perodo de abrangncia, natureza e extenso do trabalho executado.
121
deve requisitar e avaliar informaes apropriadas sobre pontos, concluses e recomendaes anteriores e relevantes para determinar se aes apropriadas foram implementadas em tempo hbil.
122
com os padres sugeridos dos procedimentos e controles dos Sistemas de Informao; Exercer suas funes com objetividade, de acordo com os padres profissionais e as melhores prticas; Servir aos interesses de seus contratantes de forma legal e honesta, preocupando-se com a manuteno de alto padro de conduta e carter profissional;
123
seus trabalhos, expondo todos os fatos significativos que tiver em seu alcance; Apoiar a conscientizao profissional dos seus superiores (stakeholders) para auxiliar sua compreenso dos sistemas de informaes, segurana e controle.
125