Aula 6 - Auditoria

Auditoria e Segurana de Sistemas
Prof.: Mauricio Pitangueira Instituto Federal da Bahia
AUDITORIA DE SISTEMAS
IMPORTNCIA DA AUDITORIA DE SISTEMAS
Altos
investimentos das organizaes em sistemas computadorizados Necessidade de garantir a segurana dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organizao a avaliar e validar o ciclo administrativo
CONCEITOS DE AUDITORIA
AUDITORIA
uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentrias, regras, normas ou padres.
Compreende 3 fases
Planejamento Execuo Relatrio
ALGUNS CONCEITOS BSICOS relacionados com qualquer tipo de auditoria CAMPO
Compe-se de aspectos como Objeto a ser fiscalizado, perodo e natureza da auditoria
CONTROLE
a fiscalizao exercida sobre as atividades de pessoas, rgos, departamentos ou sobre produtos, para que no se desviem das normas preestabelecidas.
Controles Preventivos
Prevenir erros (senhas de acesso)
Controles Detectivos
Detectar erros, omisses ou atos fraudulentos (tentativas de acessos no autorizados)
Controles Corretivos
Reduzir impacto ou corrigir erros detectados
PROCEDIMENTOS DE AUDITORIA
Lista de pontos a serem verificados durante a auditoria (manuais de auditoria TCU)
ACHADOS DE AUDITORIA
Fatos significativos observados pelo auditor durante a execuo da auditoria. No s falhas e irregularidades, mas tambm pontos fortes. Para que conste no relatrio, deve ser relevante e baseado em fatos e evidncias irrefutveis.
PAPEIS DE TRABALHO
So registros que evidenciam atos e fatos observados pelo auditor (planilhas, tabelas, etc.)
RELATRIO
So feitas as recomendaes da auditoria.
NATUREZA DA AUDITORIA
Auditoria Interna
Realizada por departamento interno responsvel pela verificao e avaliao de sistemas e procedimentos internos de uma entidade. Deve ser independente e prestar contas diretamente direo da instituio
Auditoria Externa Realizada por instituio externa e independente da entidade fiscalizada Auditoria Articulada Trabalho conjunto de auditorias internas e externas.
FORMA DE ABORDAGEM
Auditoria Horizontal
Com tema especfico realizada em vrias entidades ou servios paralelamente.
Auditoria Orientada Focada em uma atividade especfica qualquer ou em atividade com fortes indcios de erros ou fraudes.
PONTO DE CONTROLE Situao do ambiente computacional considerada pelo auditor como sendo de interesse para validao e avaliao
CONTROLE INTERNO
Verificao e validao dos seguintes parmetros do Sistema de Informao:

Fidelidade da informao em relao ao dado Segurana fsica Segurana lgica Confidencialidade Obedincia legislao em vigor Eficincia Eficcia Obedincia s polticas e s regras de negcio da organizao
QUANTO AO TIPO OU REA ENVOLVIDA
Auditoria contbil Auditoria programas de governo Auditoria planejamento estratgico Auditoria administrativa Auditoria de sistemas
CONCEITOS DE AUDITORIA DE SISTEMAS
CONCEITO AUDITORIA DE SISTEMAS
Avaliao dos procedimentos de controle e segurana vinculados ao processamento eletrnico das informaes
OBJETIVOS DA AUDITORIA DE SISTEMAS
OBJETIVOS

As informaes so corretas e oportunas Existem um processamento adequado das operaes As informaes esto protegidas contra as fraudes Existe a proteo das instalaes e equipamentos Existe a proteo contra situaes de emergncia
Tem como funo promover a adequao, reviso, avaliao e recomendaes para o aprimoramento dos controles internos nos sistemas de informao da empresa, bem como avaliar a utilizao dos recursos humanos, materiais e tecnolgicos envolvidos no processamento dos mesmos.
Deve atuar em qualquer sistema de informao da empresa, quer no nvel estratgico, quer no gerencial, quer no operacional.
PAPEL DO AUDITOR DE SISTEMAS
PAPEL DO AUDITOR DE SISTEMAS

Validao
do fluxo administrativo (planejamento, execuo e controle) nfase nos processos computacionais Comprovao da efetividade dos sistemas computadorizados Garantia da segurana lgica e fsica e da confidencialidade dos sistemas
PERFIL DO AUDITOR DE SISTEMAS
PERFIL DO AUDITOR DE SISTEMAS

Ser Ter
independente s reas a serem auditadas
formao em auditoria de computao, conhecendo o ambiente a ser auditado
NECESSIDADES NA REA AUDITORIA DE SISTEMAS
NECESSIDADES NA REA DE AUDITORIA DE SISTEMAS

Fortalecimento
das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos Criao de metodologias de auditoria de sistemas Estudo do custo / benefcio Ampliao do campo de atuao da auditoria de sistemas
ETAPAS DA ATUAO DO AUDITOR DE SISTEMAS
ETAPAS DA ATUAO DO AUDITOR DE SISTEMAS

Compreenso do ambiente Anlise do ambiente e determinao das situaes mais sensveis Elaborao de uma massa de testes Anlise das simulaes Emisso da opinio quanto ao ambiente auditado Debate com os profissionais da rea auditada para discusso das alternativas recomendadas Acompanhamento da implantao da soluo proposta Auditoria da soluo implantada Novas auditorias no ambiente
Auditoria de Sistemas o ramo da auditoria que revisa e avalia os controles internos informatizados, objetivando:
VERIFICAR A EFICINCIA No tocante a eficincia, verifica-se a utilizao de recursos de computao alocados aos sistemas. Esses recursos dizem respeito tanto ao uso de Sistemas ("Software") e de Equipamentos ("Hardware"), quanto ao trabalho dos profissionais envolvidos, atentando principalmente, para gerao de resultados corretos, no tempo programado e pelo custo esperado.
CONSTATAR A EFICCIA
A eficcia compreende a validao dos resultados gerados pelos sistemas, cujos produtos oferecidos, devero ter condies de atender adequadamente as necessidades de seus usurios
ATESTAR A SEGURANA Segurana Fsica
As instalaes, equipamentos, suprimentos, documentao, dados, pessoal, e outros recursos. Os sistemas ("software") e informaes. A veiculao de dados por meios de comunicao
Segurana Lgica
Segurana em Comunicao
FUXO DA INFORMAO NAS ORGANIZAES
FUNO DO AUDITOR DE SISTEMAS
Necessita conhecimentos na rea de auditoria, Sistemas de Informao e Processamento Eletrnico de Dados (PED). Impe treinamento constante e forte embasamento cultural.
Ao auditar sistemas em operao, conhecer:

Documentao de sistemas; Fluxogramao; Uma linguagem de programao.
Ao auditar sistemas em desenvolvimento, conhecer:

Metodologia de desenvolvimento de sistemas; Tcnicas de prototizao; Elaborao de Plano Diretor de Informtica.
Ao auditar centros de computao, conhecer:

Apurao de custos em centro de computao; Normas administrativo-tcnicooperacinais; Funes e mecnica operacional da rea de computao; Contratos de hardware e software.
ALGUNS CONCEITOS
O que Tecnologia da Informao? O termo Tecnologia da Informao, serve para designar o conjunto de hardware e software usado por uma organizao para armazenar, processar, transmitir, e disseminar informaes.
ALGUNS CONCEITOS
Por que usar Sistemas de Informao?

Algumas das razes que levaram a disseminao do uso dos sistemas de informao:
nica maneira de fazer determinado trabalho; Melhorar a eficincia; Aplicar controles melhores; Reduzir custos.
ALGUNS CONCEITOS
O principal benefcio que a tecnologia da informao traz para as organizaes e a sua capacidade de melhorar a qualidade e a disponibilidade de informaes e conhecimentos importantes para a empresa, seus clientes e fornecedores. Os sistemas de informao mais modernos oferecem s empresas oportunidades sem precedentes para a melhoria dos processos internos e dos servios prestados ao consumidor final.
ALGUNS CONCEITOS
O sucesso das empresas passou a depender de sua capacidade de inovar das reas de produtos, servios, canais e processos. Nesse contexto, a tecnologia da informao assume papel crtico, permitindo s empresas modificar-se rapidamente e levar essas inovaes at o mercado.
ALGUNS CONCEITOS
Como funciona o departamento Tecnologia da Informao?
de
O Departamento de Tecnologia da Informao responsvel por todas as funes de informtica de uma organizao. Os termos Sistemas de Informao ou Tecnologia da Informao, substituram o ttulo Processamento de Dados, que tende a ser associado a leitoras de carto perfurados e antigas mquinas de teleprocessamento.
ALGUNS CONCEITOS
O departamento de TI precisa ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades organizacionais claramente estabelecidas, documentadas e divulgadas, e polticas de pessoal adequadas, quanto seleo, segregao de funes, treinamento e avaliao de desempenho. Esta estrutura necessria para que se gerencie racionalmente os recursos computacionais da organizao, de modo a suprir as necessidades corporativas de informao de forma eficiente e econmica.
ALGUNS CONCEITOS O Departamento de Tecnologia da Informao de uma empresa de grande porte apresenta tipicamente, as seguintes divises: Administrao
A administrao do departamento de TI j vista como uma diviso corporativa separada, com seu prprio diretor executivo. Diviso dedicada ao projeto, desenvolvimento e manuteno de software aplicativo. Pode englobar muitas equipes de desenvolvimento, formadas por analistas de sistemas, projetistas de sistemas e programadores.
Desenvolvimento e suporte de aplicao
ALGUNS CONCEITOS Suporte de produo
Faz a interligao entre o usurio e as demais divises de TI, prestando servios na determinao de problemas, registro de defeitos, etc. Este grupo tambm pode prover servios de administrao de banco de dados. Diviso responsvel pela instalao e manuteno do software de sistemas, e pelo servio de suporte de natureza tcnica para o resto do pessoal de TI e usurios finais. Esto encarregados de providenciar para que o hardware e software do sistema operem com um desempenho timo.
Software de sistemas
ALGUNS CONCEITOS
Comunicao de dados Esta diviso oferece servios para os usurios de sistema que estejam experimentando problemas de teleprocessamento ou desejem comunicar-se com dispositivos ou usurios remotos. Eles so responsveis pelo desenvolvimento e manuteno de rede de comunicao da organizao.
LINHAS MESTRAS DE ATUAO D AUDITORIA
AUDITORIA EM SISTEMAS EM PRODUO Abrange os procedimentos e resultados dos sistemas de informao j implantados (caractersticas preventivas, detectivas e corretivas)
AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS Abrange todo o processo de construo de sistemas de informao, desde a fase de levantamento do sistema a ser informatizado at o teste e implantao (caracterstica preventiva)
AUDITORIA DO AMBIENTE DE TECNOLOGIA DA INFORMAO Abrange a anlise do ambiente de informtica em termos de estrutura orgnica, contratos de software e hardware, normas tcnicas e operacionais, custos, nvel de utilizao dos equipamentos e planos de segurana e de contingncia
AUDITORIA DE EVENTOS ESPECFICOS
Abrange a anlise da causa, da conseqncia e da ao corretiva cabvel, de eventos localizados que no se encontram sob auditoria, detectados por outros rgos e levados ao seu conhecimento (caracterstica corretiva)
CICLO DE VIDA DE UM SI
UM SISTEMA TEM O CICLO DE VIDA CONSTITUDO DE DUAS FASES:

DESENVOLVIMENTO PRODUO
O desenvolvimento do SI compreende: Aplicar recursos financeiros, humanos, materiais e tecnolgicos Process-los atravs da aplicao de mtodos e tcnicas de anlise e desenvolvimento de sistemas Gerar, como produto final, um sistema de informao
Geralmente, a anlise e o desenvolvimento de sistemas de informao computadorizados compe-se das seguintes etapas: Levantamento do sistema atual; Estudo de viabilidade; Anteprojeto do novo sistema, tambm conhecido como projeto lgico; Detalhamento do projeto; Programao e depurao, tambm conhecidos como projeto fsico; Implantao do sistema
A produo do sistema consiste em: Ter como entrada os dados; Process-los, mantendo-os em arquivos magnticos e/ou banco de dados; Divulgar as informaes teis.
Est relacionada a todas as etapas do fluxo da informao. Requisitos para garantir proteo da informao:

Sigilo proteo contra a divulgao indevida de informaes. Integridade proteo contra a modificao no autorizada de informao. Autenticidade garantia de que a informao seja proveniente da fonte qual ela atribuda. Disponibilidade garantia de que a informao e servios importantes estejam disponveis para os usurios quando requisitados.
SEGURANA DA INFORMAO
ASPECTOS QUE HOJE AUMENTAM A PREOCUPAO SOBRE A SEGURANA DAS OPERAES NAS EMPRESAS COM A IMPLANTAO DE SIG
Ausncia de papel Aprovaes eletrnicas Diminuio da quantidade de recursos humanos Complexidade de operaes Autorizaes especiais (superusurios) Poltica de segurana versus prtica
SEGURANA DA INFORMAO AMEAAS Prestadores de Servios Funcionrios insatisfeitos Falta de polticas Crime organizado Falta de conscientizao Tecnologia com proteo inadequada Hacker Falta de legislao Falhas de desenvolvimento
SEGURANA DA INFORMAO CRENAS No preciso controlar o acesso Todos os usurios so honestos A empresa vai ganhar dinheiro O pessoal da informtica resolve tudo No precisamos porqu temos o equipamento X Isso no se aplica a ns Hacker atacam empresas grandes e famosas Meu sistema no possui falhas Tenho 100% de segurana
PRINCIPAIS CAUSAS
Sinistros naturais e provocados (incndios/enchentes/exploses/desabamentos/ queda de energia) Fraudes e sabotagens (uso indevido da informao: espionagem, venda, vrus) Falhas de transmisso de dados Erros de hardware
PRINCIPAIS CAUSAS Erros de lgica Erros de operao Erros de entrada de dados Erros de arredondamento Erros intencionalmente desconsiderados
PLANOS DE SEGURANA RECOMENDAES

FSICA DO SISTEMA E BASE DE DADOS Construo em local adequado Construo adequada Equipamentos de identificao e combate incndio Duplicidade de componentes vitais e locais diferentes Cpias de segurana de sistemas

QUANTO AO ACESSO FSICO
Uso de cofres para guarda de backup Bloqueios de acesso a pessoas no autorizadas QUANTO AO ACESSO LGICO
Uso e controle de senhas Determinao de normas para criao de senhas

PROCESSO DE TRANSMISSO DE INFORMAES
Sistemas detectores de espionagem Sistemas detectores de erros de transmisso Sistemas de criptografia

Aula 6 - Auditoria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 6 - Auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

Auditoria e Segurana de Sistemas

Prof.: Mauricio Pitangueira Instituto Federal da Bahia

Planejamento Execuo Relatrio

ALGUNS CONCEITOS BSICOS relacionados com qualquer tipo de auditoria CAMPO

Compe-se de aspectos como Objeto a ser fiscalizado, perodo e natureza da auditoria

So feitas as recomendaes da auditoria.

Com tema especfico realizada em vrias entidades ou servios paralelamente.

Verificao e validao dos seguintes parmetros do Sistema de Informao:

QUANTO AO TIPO OU REA ENVOLVIDA

CONCEITO AUDITORIA DE SISTEMAS

PAPEL DO AUDITOR DE SISTEMAS

PERFIL DO AUDITOR DE SISTEMAS

independente s reas a serem auditadas

formao em auditoria de computao, conhecendo o ambiente a ser auditado

NECESSIDADES NA REA DE AUDITORIA DE SISTEMAS

ATESTAR A SEGURANA Segurana Fsica

Ao auditar sistemas em operao, conhecer:

Documentao de sistemas; Fluxogramao; Uma linguagem de programao.

Ao auditar sistemas em desenvolvimento, conhecer:

Ao auditar centros de computao, conhecer:

Por que usar Sistemas de Informao?

Como funciona o departamento Tecnologia da Informao?

Desenvolvimento e suporte de aplicao

AUDITORIA DE EVENTOS ESPECFICOS

UM SISTEMA TEM O CICLO DE VIDA CONSTITUDO DE DUAS FASES:

PLANOS DE SEGURANA RECOMENDAES

PLANOS DE SEGURANA RECOMENDAES

PLANOS DE SEGURANA RECOMENDAES

Sistemas detectores de espionagem Sistemas detectores de erros de transmisso Sistemas de criptografia

Você também pode gostar