Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORMTICA
Unidade I
ii
ndice
INTRODUO ............................................................................................................... iv
ESTRUTURA DA UNIDADE I....................................................................................... 6
CONTEXTUALIZAO ................................................................................................ 6
RESULTADOS DE APRENDIZAGEM DA UNIDADE I ............................................. 8
CAPTULO I INTRODUO AUDITORIA INFORMTICA .............................. 9
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................... 9
1.1 A AUDITORIA INFORMTICA .................................................................... 9
1.2 A ORIGEM DA AUDITORIA NOS PASES DESENVOLVIDOS ................ 9
1.3 EVOLUO HISTRICA DA AUDITORIA ............................................... 10
1.4 AUDITORIA NA ERA DA INFORMAO ................................................ 10
1.5 OBJECTIVOS DE UMA AUDITORIA INFORMTICA ............................ 11
1.6 TIPOS DE AUDITORIA ................................................................................ 12
1.7 PERFIL E QUALIFICAES DO AUDITOR .............................................. 13
EXERCCIOS ....................................................................................................... 14
CAPTULO II FUNES DE CONTROLO INTERNO E AUDITORIA
INFORMTICA ............................................................................................................. 15
OBJECTIVOS ESPECFICOS DO CAPTULO: ................................................. 15
2.1 CONTROLO INTERNO DE INFORMTICA .............................................. 15
2.2 CONTROLO INTERNO E AUDITORIA INFORMTICA: CAMPOS
ANLOGOS ......................................................................................................... 17
2.3 COBIT (Control Objectives for Information and Related Technology) ......... 18
2.4 CONVERGNCIA DE AUDITORIA DE SI E COBIT................................. 22
EXERCCIOS ....................................................................................................... 23
RESPOSTAS ......................................................................................................... 23
CAPTULO III SISTEMA DE CONTROLO INTERNO INFORMTICO .............. 24
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................. 24
3.1 DEFINIO E TIPOS DE CONTROLOS INTERNOS ................................ 24
3.2 IMPLEMENTAO DE UM SISTEMA DE CONTROLO INTERNO
INFORMTICO ................................................................................................... 25
EXERCCIOS ....................................................................................................... 39
CAPTULO IV AUDITORIA DE SISTEMAS DE GESTO DAS TECNOLOGIAS
DE INFORMAO E COMUNICAO..................................................................... 40
OBJECTIVOS ESPECFICOS DO CAPTULO: ................................................ 40
4.1 IMPLEMENTAO DE SISTEMA DE GESTO DE TICs ....................... 41
ii
DE
AVALIAO
DA
SATISFAO
DO
48
iv
TRODUO
Caro Estudante,
Seja Bem-vindo(a) unidade I da disciplina de Auditoria e Segurana
Informtica.
Para ter sucesso nesta unidade necessita de estudar com ateno todo o
manual, no deixando de rever as unidades anteriores.
Para complementar os seus conhecimentos recomenda-se que realize uma
leitura pelos recursos auxiliares recomendados ao longo desta unidade,
no s pela bibliografia indicada como pelos websites sugeridos. Para
aceder a outras bibliotecas faa-se acompanhar do seu carto de estudante.
A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e
outras referncias importantes para esta e outras disciplinas, que dever
utilizar na realizao de casos prticos. A biblioteca virtual pode ser
consultada em http://www.ismonitor.ac.mz/.
O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo
em:
www.saber.ac.mz
www.books.google.com
Recomenda-se que o aluno no guarde as suas dvidas para si e que as
apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre
em contacto com a respectiva faculdade atravs do e-mail
dir.gec@ismonitor.info ou pelo contacto telefnico 82 36 99 885
Os exerccios prticos tm como objectivo a consolidao do
conhecimento dos temas apresentados nesta unidade. O Instituto Superior
Monitor fornece as solues de muitos desses exerccios de forma a facilitar
o processo de aprendizagem, mas ateno caro estudante, voc deve
resolver os exerccios de auto-avaliao antes de consultar as solues
fornecidas.
No final desta unidade encontra-se o teste de avaliao. A avaliao deve
ser submetida ao Instituto Superior Monitor at 30 (trinta) dias aps a
recepo da unidade. A avaliao da unidade pode ser submetida por e-mail
(testes@ismonitor.info), fax, carta, entrega directa na instituio ou usando
outros meios de comunicao.
Esta unidade pressupe que a realizao de 37,5 horas de aprendizagem,
distribudas da seguinte forma:
Tempo para leituras da unidade: 22 horas;
Tempo para trabalhos de pesquisa: 5 horas;
Tempo para realizao de exerccios prticos: 8,5 horas;
Tempo para realizar avaliaes: 2 horas.
iv
ESTRUTURA DA UNIDADE I
A presente unidade composta por quatro captulos e tem como
propsito dotar aos estudantes de conceitos indispensveis para a
compreenso dos mecanismos de controlo dos sistemas informticos nas
organizaes e a realizao de auditoria informtica.
O primeiro captulo introduz aos estudantes os conceitos relacionados
com auditoria informtica, sua origem, evoluo histrica e objectivos.
O segundo captulo aborda as funes de controlo interno e COBIT, e a
convergncia de SI e COBIT.
O captulo trs, sistema de controlo interno, descreve o sistema de
controlo interno, tipos de controlo interno e auditoria informtica, e por
fim a implementao de um sistema de controlo interno.
Finalmente, no quarto captulo, aborda sobre auditoria de sistemas de
gesto de tecnologias de informao e comunicao, e o processo de
certificao desses sistemas.
CONTEXTUALIZAO
Com a ploriferao de Sistemas de Informao (SI) nas organizaes,
surge a necessidade de obteno de qualidade dos mesmos. Estando na era
da informao, esta constitui o alicerce das organizaes, pois facilita a
gesto das actividades dos diversos nveis e sectores da organizao.
Auditoria e segurana dos sistemas de Informao constituem elementos
chaves para manter sistemas de informao a funcionar plenamente
durante muito tempo.
Cannon (2008), considera o termo auditar como sendo uma reviso da
histria passada. O auditor segue os processos definidos de auditoria,
estabelece critrios de auditoria, rene provas significativas, e torna
independente a opinio sobre controlos internos.
Segundo FFIEC (2004), segurana da informao o processo pelo qual
uma organizao protege seus sistemas, meios de comunicao e
instalaes que processam e mantm informaes vitais para suas
operaes.
Portanto, a auditoria dever procurar encontrar possveis problemas e
sugerir solues para os mesmos, ou comprovar que o sistema se encontra
em perfeito estado e aps auditado dever manter o rumo. Enquanto, a
segurana deve ser um processo contnuo a ser observado na organizao,
estabelecendo todos padres recomendados sobre segurana de
6
informao.
A presente disciplina pretende dotar ao estudante de princpios, teorias,
procedimentos e tcnicas de Auditoria e Segurana Informtica, que lhe
permitiro empregar na vida profissional, mais concretamente nas
organizaes, para solucionar e prevenir problemas relacionados com os
sistemas de informao.
A disciplina foi dividida em quatro unidades para as quais se
estabeleceram os seguintes objectivos especficos:
- A presente unidade denominada Controlo interno e auditoria
informtica tem como propsito dotar aos estudantes de conceitos
indispensveis para a compreenso dos mecanismos de controlo dos
sistemas informticos nas organizaes e a realizao de auditoria
informtica. Nesta unidade pretende-se que os alunos aprendam os
conceitos fundamentais relacionados com a auditoria informtica, as
funes de controlo interno, sistemas de controlo interno e auditoria de
sistemas de gesto de tecnologias de informao e comunicao;
- A segunda unidade ser relativa metodologias de controlo interno e
segurana informtica. Nesta unidade pretende-se que os estudantes
consigam descrever as metodologias de avaliao de sistemas e as
metodologias de auditoria informtica; pretende-se ainda, que o
estudante seja dotado de conhecimentos sobre como elaborar o plano e o
relatrio de uma auditoria informtica;
- Na unidade 3, ferramentas para auditoria de sistemas de informao,
pretende-se que os alunos conheam algumas ferramentas para a
auditoria de sistemas de informao de acordo com as suas funes,
finalidade, localizao, produtividade e por cobertura;
- Finalmente, a ltima unidade trata das principais reas de auditoria
informtica. Pretende-se que o aluno conhea as principais reas de
auditoria informtica tais como auditoria de outsourcing, auditoria
fsica, auditoria de base de dados, auditoria de segurana, auditoria de
redes, auditoria de aplicaes e auditoria de Internet.
O sucesso do aluno depende em grande medida da forma como planifica
e organiza as tarefas de estudo. medida que o aluno for
experimentando sucesso na aprendizagem sentir uma maior satisfao e
interesse pelos contedos programticos. Por isso, siga os conselhos que
lhe so propostos para sair bem-sucedido na disciplina!
com
auditoria
10
11
12
12
13
14
EXERCCIOS
1.O que Auditoria Informtica?
2. Explique a evoluo de Auditoria nos pases desenvolvidos.
3. O que motivou a evoluo da Auditoria?
4. O que motivou o surgimento da Auditoria Informtica?
5.Indique tipos de auditoria que conheces?
6. Indique algumas qualidades de um auditor.
RESPOSTAS
1.O que Auditoria Informtica?
Resp: Pode-se conceituar auditoria como sendo o acto de examinar as operaes,
processos, sistemas e responsabilidades gerncias de uma organizao com o
intuito de verificar o cumprimento das normas, objectivos e metas prefixados pela
mesma.
2.Explique a evoluo de Auditoria nos pases desenvolvidos.
Resp: Vide seco 1.3.
3. O que motivou a evoluo da Auditoria?
Resp: A causa da evoluo da auditoria, que decorrente da evoluo da
contabilidade, foi a do desenvolvimento econmico dos pases, do crescimento
das empresas e expanso das actividades produtoras, gerando crescente
complexidade na administrao dos negcios e de prticas financeiras.
4. O que motivou o surgimento da Auditoria Informtica?
Resp: Nos finais dos anos 60, descobriu-se vrios casos de fraude cometidos com
ajuda de computador. Face a essa situao surgiu outro ramo da Auditoria
denominada Auditoria Informtica.
5.Indique tipos de auditoria que conheces?
Resp: Vide seco 1.6.
6.Indique algumas qualidades de um auditor.
Resp: o auditor deve ter objectividade, imparcialidade, confidencialidade,
raciocnio logico e sentimento de independncia.
14
15
16
16
17
18
CONTROLO
INTERNO AUDITOR
INFORMTICO
INFORMTICO
SEMELHANAS Pessoal Interno
Experincia em tecnologia da informao,
verificao da conformidade com controlos
internos, normas e procedimentos estabelecidos
pelo departamento de Informtica e direco geral
da Organizao.
Anlise de controlos no dia-a- Anlise de um
DIFERENAS
dia.
tempo
determinado
Informar ao departamento
sobre o pessoal interno Informar
a
somente de suas funes sobre direco geral da
o departamento de TI
organizao sobre
como o pessoal
Interno e / ou
externo
tem
coberto em todos
os componentes
de organizao de
sistemas
de
informao
19
20
Caracterstica
Cobre aspectos estratgicos e
tcticos organizacionais;
Identifica a melhor forma atravs da
qual a TI possa contribuir para o
alcance dos objectivos do negcio;
A realizao da viso estratgica
precisa ser planeada, comunicada e
gerido por diferentes perspectivas;
Este domnio preocupa-se com
questes de gesto como:
A TI e o negcio esto
estrategicamente
alinhados?
A
empresa est maximizando o uso de
seus recursos?
As pessoas compreendem os
objectivos da TI?
Os riscos so compreendidos e
geridos de forma apropriada?
A qualidade dos sistemas est de
acordo com a necessidade dos
negcios?
20
requeridos, incluindo:
Prestao de servios, gesto de
segurana e continuidade do
negcio, suporte aos utilizadores, e
gesto de dados e estruturas
operacionais.
Este domnio preocupa-se com
questes de gesto como:
Os servios de TI esto sendo
entregues de acordo com as
prioridades do negcio? Os custos
da TI esto optimizados? A mo-deobra est apta a utilizar os sistemas
produtivamente e com segurana? A
integridade, confidencialidade e
disponibilidade dos dados est de
acordo?
Monitoramento e Avaliao (ME)
Os processos de TI precisam ser
regularmente testados para garantir
sua qualidade e conformidade com
os requisitos de controlo. Este
domnio trata da gesto de
desempenho, monitoramento de
controlos internos, conformidade
com as normas e provimento de
governana em TI.
Este domnio preocupa-se com
questes da gesto como:
A TI est preparada para identificar
os problemas em tempo til? A
gesto assegura que os controlos
internos decorram normalmente?
21
22
22
EXERCCIOS
1. Qual o objectivo da auditoria interna?
2. O que risco em sistemas de informao?
3. O que segurana lgica?
4. Quais so os princpios da auditoria, tanto externa como interna?
5. O que entendes por COBIT?
RESPOSTAS
1. Assessorar a administrao da empresa no efectivo desempenho de sua
funo
2. Probabilidade de que agentes que so ameaas, explorem
vulnerabilidades, expondo os activos a perdas de confidencialidade,
integridade e disponibilidade, e causando impactos nos negcios
3. Aco que est ligada parte de acessos de utilizadores, determinao
de hierarquia, controlo de acesso electrnico, integridade de base de dados,
ligaes do sistema e sua gesto, tecnologias de invases e defesa
4. Independncia, imparcialidade, confiabilidade e Idoneidade.
5. um modelo de controlo, que visa atender as necessidades de TI, e
garantir a integridade de informao e sistemas de informao, ajudando a
diminuir os riscos do negcio.
23
24
CAPTULO III
INFORMTICO
SISTEMA
DE
CONTROLO
INTERNO
24
Os controlos de correco
Estes controlos ajudam a investigar quais as causas de erros e, dessa
forma, permitem que sejam aplicadas medidas correctivas a essas causas.
Os controlos de deteco
Estes controlos tm como principal objectivo a deteco rpida das causas
de risco e de erros. So frequentemente considerados os de maior
importncia para o auditor. Nestes controlos de deteco podemos
evidenciar os controlos de superviso.
25
26
Para a implementao de um sistema de controlo interno informtico devese definir (Piattini e del Peso, 2001):
Gesto de sistemas de informao: Um sistema de informao
composto por todos os componentes que recolhem, manipulam e
disseminam dados ou informao. Neste caso, podemos encontrar
hardware, software, pessoas, redes de computadores, e os dados
propriamente ditos.
Num sistema de informao so realizadas tarefas como introduo de
dados, processamento dos dados em informao, armazenamento de
ambos, e a produo de resultados, como relatrios de gesto. Diante dessa
situao, preciso conhecer polticas, directrizes e normas tcnicas que
servem de base para desenho e implementao dos sistemas de informao
e de outros correspondentes.
Administrao de sistemas: Administrao de sistema uma rea
especfica de administrao de um sistema de informao tecnolgico.
Neste caso podemos encontrar as seguintes actividades de administrao;
administrao de utilizadores, administrao de sistema de ficheiro,
administrao de software, administrao de servios, entre outros.
Segurana: A segurana de sistemas composta de medidas de preveno
contra ataques internos e externos, passando pela engenharia social e
chegando inclusive a aces prticas por intermdio de softwares e
hardwares. A segurana inclui as trs classes de controlo fundamental
implementado em software de sistema: integridade do sistema,
confiabilidade (controlo de acesso) e disponibilidade.
Gesto de mudana: separao de testes e a produo a nvel de software,
controlo e procedimentos de migrao de programas de software aprovado
e testado.
26
27
28
28
garante
29
30
30
31
32
4. Controlo de aplicaes
Cada aplicao deve levar controlo incorporado para garantir a
entrada, actualizao, validao e manuteno completa de
dados exactos.
As questes mais importantes em controlo de dados so:
o Controlo de entrada de dados: procedimentos de
converso de entrada, validao e correco de dados.
o Controlo de tratamento de dados para assegurar que no
se faa muita modificao ou excluso no autorizada
dos mesmos mediante processos no autorizados.
o Controlo de sada de dados: sobre o quadro e
reconciliao de sadas, procedimentos de distribuio
das sadas e de gesto de erros nas sadas.
32
33
34
34
35
36
36
6. Controlo de qualidade
Existncia de um plano geral de qualidade baseado em plano de
entidade a longo prazo e o plano a longo prazo de tecnologia.
Este plano geral de qualidade deve promover a filosofia de
melhorar continuamente e deve dar respostas a perguntas
bsicas como o que, quem e como;
Esquema de garantia de qualidade da direco de Informtica
deve estabelecer uma norma que estabelea um esquema de
garantia de qualidade que se refira tanto as actividades de
desenvolvimento de projectos, como as demais actividades para
garantir qualidade (como revises, auditorias, inspeces, etc.)
que dever ser realizada para procedimentos habituais em
distintas funes de informtica;
Metodologia de desenvolvimento de sistemas: a direco de
informtica da entidade deve definir e implementar normas
para o desenvolvimento de sistemas e adoptar uma metodologia
de desenvolvimento de sistemas para administrar e gerir esse
processo com base ao tipo de sistemas de cada entidade;
37
38
EXERCCIOS
1. Quais so as categorias de controlo informtico?
2. Quais so os componentes para a implementao de uma poltica de
segurana?
3. Liste os controlos internos importantes para os sistemas informticos
4. Defina o entorno de rede
RESPOSTAS
39
40
40
41
42
EXERCCIOS
1. Explique o conceito de Deming, e descreva as suas fases.
2. O que entendes por processo de certificao e como que as empresas que
possuem certificao devem se comportar?
RESPOSTAS
1. O ciclo de Deming (PDCA) um ciclo de melhoramento, que tem por
43
44
QUADRO SINPTICO
Auditoria
Auditoria
informtica
Objectivos
da auditoria
informtica
7.
Tipos
de
auditoria
Tipos
de
auditoria
informtica
imparcialidade,
Perfil
e Objectividade,
qualificaes raciocnio logico bem como
independncia
do auditor
confidencialidade
o sentimento de
Controlo
uma parte da informtica que responde as necessidades
interno de de cumprimento dos requisitos exigidos sobre o
informtica funcionamento das tecnologias envolvidas na organizao
COBIT
45
46
BIBLIOGRAFIA
Anaguano (s.d.) Auditoria Informtica.
Cannon, D. L. (2008) CISA Certified Information Systems
Auditor Study Guide, 2nd edition. Wiley Publishing, Inc.
FFIEC (2004). Information Security.
46
NOME: __________________________________________________________
N DE MATRCULA ________________
NOTA _________________
47
48
48