Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria de Sistemas
Informatizados
Disciplina na modalidade a distância
Palhoça
UnisulVirtual
2007
O livro didático;
O EVA (Espaço UnisulVirtual de Aprendizagem);
Atividades de avaliação (complementares, a distância e
presenciais).
Os materiais didáticos foram construídos especialmente para
este curso, levando em consideração o seu perfil e as necessidades
da sua formação. Como os materiais estarão, a cada nova
versão, recebendo melhorias, pedimos que você encaminhe suas
sugestões, sempre que achar oportuno, via professor tutor ou
monitor.
Equipe UnisulVirtual
Auditoria de Sistemas
Informatizados
Livro didático
Design instrucional
Dênia Falcão de Bittencourt
Viviane Bastos
3ª edição
Palhoça
UnisulVirtual
2007
005.8
B94 Bueno Neto, Abílio
Auditoria de sistemas informatizados : livro didático / Abílio Bueno
Neto, Davi Solonca ; design instrucional Dênia Falcão de Bittencourt,
Viviane Bastos. – 3. ed. rev. e atual. Palhoça : UnisulVirtual, 2007.
190 p. : il. ; 28 cm.
Inclui bibliografia.
Créditos
Unisul - Universidade do Sul de Santa Catarina
UnisulVirtual - Educação Superior a Distância
Campus UnisulVirtual Coordenação dos Cursos Dênia Falcão de Bittencourt Produção Industrial e Suporte Edição – Livro Didático
Rua João Pereira dos Santos, 303 Adriano Sérgio da Cunha Enzo de Oliveira Moreira Arthur Emmanuel F. Silveira
Palhoça - SC - 88130-475 Ana Luisa Mülbert Flávia Lumi Matuzawa (coordenador) Professores Conteudistas
Fone/fax: (48) 3279-1541 e Ana Paula Reusing Pacheco Karla Leonora Dahse Nunes Francisco Asp Abílio Bueno Neto
3279-1542 Cátia Melissa S. Rodrigues (Auxiliar) Leandro Kingeski Pacheco Davi Solonca
E-mail: cursovirtual@unisul.br Charles Cesconetto Ligia Maria Soufen Tumolo Projetos Corporativos
Site: www.virtual.unisul.br Diva Marília Flemming Márcia Loch Diane Dal Mago Design Instrucional
Itamar Pedro Bevilaqua Patrícia Meneghel Vanderlei Brasil Dênia Falcão de Bittencourt
Reitor Unisul Janete Elza Felisbino Silvana Denise Guimarães Viviane Bastos
Gerson Luiz Joner da Silveira Jucimara Roesler Tade-Ane de Amorim Secretaria de Ensino a Distância
Lilian Cristina Pettres (Auxiliar) Vanessa de Andrade Manuel Karine Augusta Zanoni Projeto Gráfico e Capa
Vice-Reitor e Pró-Reitor Lauro José Ballock Vanessa Francine Corrêa (secretária de ensino) Equipe UnisulVirtual
Acadêmico Luiz Guilherme Buchmann Viviane Bastos Ana Luísa Mittelztatt
Sebastião Salésio Heerdt Figueiredo Viviani Poyer Ana Paula Pereira Diagramação
Luiz Otávio Botelho Lento Djeime Sammer Bortolotti Vilson Martins Filho
Chefe de gabinete da Reitoria Marcelo Cavalcanti Logística de Encontros Carla Cristina Sbardella Evandro Guedes Machado
Fabian Martins de Castro Mauri Luiz Heerdt Presenciais Franciele da Silva Bruchado (3º edição)
Mauro Faccioni Filho Marcia Luz de Oliveira Grasiela Martins
Pró-Reitor Administrativo Michelle Denise Durieux Lopes Destri (Coordenadora) James Marcel Silva Ribeiro Revisão Ortográfica
Marcus Vinícius Anátoles da Silva Moacir Heerdt Aracelli Araldi Lamuniê Souza Revisare
Ferreira Nélio Herzmann Graciele Marinês Lindenmayr Liana Pamplona
Onei Tadeu Dutra Guilherme M. B. Pereira Marcelo Pereira
Campus Sul Patrícia Alberton José Carlos Teixeira Marcos Alcides Medeiros Junior
Diretor: Valter Alves Schmitz Neto Patrícia Pozza Letícia CristinaBarbosa Maria Isabel Aragon
Diretora adjunta: Alexandra Orsoni Raulino Jacó Brüning Kênia Alexandra Costa Hermann Olavo Lajús
Rose Clér E. Beche Priscila Santos Alves Priscilla Geovana Pagani
Campus Norte Silvana Henrique Silva
Diretor: Ailton Nazareno Soares Design Gráfico Logística de Materiais Vilmar Isaurino Vidal
Diretora adjunta: Cibele Schuelter Cristiano Neri Gonçalves Ribeiro Jeferson Cassiano Almeida da Costa
(coordenador) (coordenador) Secretária Executiva
Campus UnisulVirtual Adriana Ferreira dos Santos Eduardo Kraus Viviane Schalata Martins
Diretor: João Vianney Alex Sandro Xavier
Diretora adjunta: Jucimara Roesler Evandro Guedes Machado Monitoria e Suporte Tecnologia
Fernando Roberto Dias Zimmermann Rafael da Cunha Lara (coordenador) Osmar de Oliveira Braz Júnior
Higor Ghisi Luciano Adriana Silveira (coordenador)
Equipe UnisulVirtual Pedro Paulo Alves Teixeira Caroline Mendonça Ricardo Alexandre Bianchini
Rafael Pessi Dyego Rachadel Rodrigo de Barcelos Martins
Administração Vilson Martins Filho Edison Rodrigo Valim
Renato André Luz Francielle Arruda
Valmir Venício Inácio Equipe Didático-Pedagógica Gabriela Malinverni Barbieri
Angelita Marçal Flores Josiane Conceição Leal
Bibliotecária Carmen Maria Cipriani Pandini Maria Eugênia Ferreira Celeghin
Soraya Arruda Waltrick Caroline Batista Rachel Lopes C. Pinto
Carolina Hoeller da Silva Boeing Simone Andréa de Castilho
Cerimonial de Formatura Cristina Klipp de Oliveira Tatiane Silva
Jackson Schuelter Wiggers Daniela Erani Monteiro Will Vinícius Maycot Serafim
auditoria_de_sistemas_informatiz9 9 22/12/2006111222::1:11777::0:006
auditoria_de_sistemas_informatiz10 10 22/12/2006 12:17:06
Plano de estudo
Ementa da disciplina
Fundamentos. Responsabilidades legais. Classificação
de serviços. Procedimentos genéricos e específicos
para exames e seus respectivos relatórios e certificados.
Aspectos de auditoria de controle geral, segurança,
aplicações, desempenho, fraude, uso do sistema e
equipamentos. Pontos de controle e trilhas de auditoria.
Controle pré-operacional, operacional, de processamento
e documental. Relatório de auditoria de sistemas.
Auditoria computadorizada: validação de valores,
programas específicos de auditoria, verificação lógica dos
programas, monitoria on-line do sistema.
Créditos: 4
Objetivo(s)
Geral
Desenvolver habilidades para realização de auditoria de
sistemas nos diversos campos de atuação.
Específicos
Estudar os conceitos que envolvem a auditoria.
Conhecer a organização de um trabalho de
auditoria.
auditoria_de_sistemas_informatiz11 11 22/12/2006111222::1:11777::0:006
Conhecer os diversos componentes de uma política de
segurança.
Identificar a necessidade e as características de um plano
de continuidade de negócios.
Identificar os passos necessários de um trabalho de
auditoria de sistemas de informação.
Agenda de atividades
Verifique com atenção o cronograma no “EVA” e organize-se
para acessar periodicamente o espaço das disciplinas cursadas.
Lembre-se que o sucesso nos seus estudos depende da priorização
do tempo para a leitura, da realização de análises e sínteses do
conteúdo e da interação com os seus colegas e professor tutor.
12
13
Introdução à auditoria de
sistemas informatizados
Objetivos de aprendizagem
1
Ao final desta unidade, você terá subsídios para:
Seções de estudo
Apresentamos, a seguir, as seções para você estudar.
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11777::0:006
Universidade do Sul de Santa Catarina
Bom estudo!
16
Unidade 1 17
18
Unidade 1 19
usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos
Detectivos de tentativas de acesso a um determinado recurso informatizado)
Corretivos usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos
de contingência, por exemplo)
20
Unidade 1 21
Unidade 1 23
24
Unidade 1 25
26
Unidade 1 27
28
Unidade 1 29
30
Unidade 1 31
32
Unidade 1 33
34
Unidade 1 35
1º Antivírus 90
3º Firewall 75,5
5º Capacitação técnica 70
8º Proxy server 62
9º Criptografia 57
Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)
36
Unidade 1 37
38
Unidade 1 39
40
Unidade 1 41
Unidade 1 43
44
Unidade 1 45
46
Unidade 1 47
48
Uma vez que você finalizou a leitura criteriosa desta unidade, realize,
a seguir, as atividades propostas e pratique os novos conhecimentos.
Unidade 1 49
Atividades de auto-avaliação
50
Síntese
Por fim, estudou também que essas lacunas abertas nos levam
a verdadeiros desafios em nossa profissão, pois tendo em mãos
informações, programas e dados de maneira tão fácil e tão rápida,
um verdadeiro desafio à ética surge e nos coloca em “cheque” na
hora de decidir como agir.
Unidade 1 51
Saiba mais
52
Organização da auditoria
Objetivos de aprendizagem
Ao final desta unidade, você terá subsídios para:
2
compreender os atributos mais comuns das atividades
dos auditores e os aspectos relacionados as suas
responsabilidades;
conhecer os principais componentes de um
planejamento de auditoria;
Seções de estudo
A seguir, apresentamos as seções para você estudar:
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11777::5:550
Universidade do Sul de Santa Catarina
54
Você sabia?
Na Inglaterra encontram-se as empresas de auditorias
mais bem conceituadas, tais como: Deloitte & Co.,
Peat Marwick & Mitchell e Price Waterhouse & Co. Tanto
eles são pioneiros na área, que foi de lá, de estudos
acadêmicos, que surgiu o padrão de segurança
de informações que os auditores de sistemas
informatizados utilizam: o padrão BS 7799 que tem
suas variações na ISO (ISO 27001) e na ABNT, onde se
encontra a NBR ISO/IEC 17799:1 (2005).
Você sabia?
Para se ter uma noção do crescimento da profissão
de auditor, observe que em 1900 eram apenas 250
auditores autorizados a exercer a profissão nos
Estados Unidos e hoje são mais de 500.000. (Fonte:
Wise, 2002).
Unidade 2 55
56
Unidade 2 57
58
Unidade 2 59
60
assurance;
consultoria gerencial;
planejamento;
certificação de normas.
Unidade 2 61
62
Unidade 2 63
64
Unidade 2 65
66
Unidade 2 67
68
Unidade 2 69
70
Unidade 2 71
72
Unidade 2 73
74
Unidade 2 75
Atividades de auto-avaliação
1) A profissão de auditor mudou muito nos últimos anos, porém eles têm
uma tendência que já existe a algum tempo, qual é?
76
Unidade 2 77
78
Síntese
Unidade 2 79
Política de segurança de
informações
Objetivos de aprendizagem
3
Ao final desta unidade você terá subsídios para:
conhecer o impacto de ataques externos ao ambiente
lógico.
conhecer e diferenciar os tipos de controles de acesso
físico.
conhecer e diferenciar os tipos de controles ambientais.
Seções de estudo
A seguir, apresentamos as seções para você estudar:
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11777::5:554
Universidade do Sul de Santa Catarina
82
Unidade 3 83
84
Unidade 3 85
Por exemplo:
Conformidade com a legislação e cláusulas
contratuais.
Requisitos na educação de segurança.
Prevenção e detecção de vírus e softwares
maliciosos.
Gestão de continuidade do negócio.
Conseqüências das violações na política de
segurança da informação.
Definição das responsabilidades – definição em
linhas gerais e especificas à gestão da segurança da
informação, incluindo o registro dos incidentes de
segurança.
Documentação – referências à documentações que
possam apoiar a política da empresa. Por exemplo,
políticas e procedimentos de segurança com
detalhes dos sistemas de informação específicos ou
regras de segurança a serem seguidas.
86
Aspecto Características
Propriedades dos recursos Devem explicar e definir as regras que irão contemplar a política no
que diz respeito à propriedade de ativos de informações.
Unidade 3 87
88
Unidade 3 89
Figura 3.2 – Diagrama que representa uma política de segurança de informação agindo sobre o
principal ativo de uma empresa, a informação.
Fonte: Sêmola (2003)
90
Unidade 3 91
92
Unidade 3 93
94
Unidade 3 95
96
Unidade 3 97
O acesso não-autorizado ao código fonte dos aplicativos pode ser usado para alterar suas
Aplicativos funções e lógica do programa, como por exemplo, em um aplicativo bancário, pode-se zerar os
(Programas fonte objeto) centavos de todas as contas correntes e transferir o total dos centavos para uma determinada
conta, beneficiando ilegalmente este correntista.
Base de dados, arquivos ou transações de bancos devem ser protegidos para evitar que os dados
Arquivo de dados sejam apagados ou alterados sem autorização adequada, como por exemplo, arquivos contendo
configuração do sistema, dados da folha de pagamento, dados financeiros da empresas, etc.
A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo
o sistema, pois uma pessoa não-autorizada, ao obter uma userid (identificação) e a senha de
Arquivos de senha um usuário privilegiado, pode, intencionalmente, causar danos ao sistema e dificilmente será
barrado por qualquer controle de segurança instalado, já que se faz passar por um usuário
autorizado.
Os arquivos de log são usados para registrar as ações dos usuários, constituindo-se em ótimas
fontes de informação para auditorias futuras e análise de quebras de segurança.
Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e
Arquivos de log utilitários, quando foi feito o acesso e que tipo de operações foram efetuadas.
Se os arquivos de log não forem devidamente protegidos, um invasor poderá alterar seus
registros para encobrir ações por ele executadas, tais como, alteração ou destruição de dados,
acesso a aplicativos de alteração da configuração do sistema operacional para facilitar futuras
invasões.
98
Unidade 3 99
100
Unidade 3 101
102
Unidade 3 103
104
Unidade 3 105
106
Atividades de auto-avaliação
Unidade 3 107
108
Síntese
Até lá!
Unidade 3 109
Saiba mais
110
Plano de contingência e de
continuidade de negócios
Objetivos de aprendizagem
4
Ao final desta unidade você terá subsídios para:
conceituar planos de contingência e de continuidade de
serviços.
Seções de estudo
A seguir, apresentamos as seções para você estudar:
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11888::0:000
Universidade do Sul de Santa Catarina
112
Unidade 4 113
Você sabia?
O ataque terrorista ao World Trade Center em 11 de
setembro de 2001, teve impacto significativo nos
mercados dos Estados Unidos e mundial. A Bolsa de
Valores de Nova Iorque, o American Stock Exchange
e a NASDAQ não abriram em 11 de Setembro e
permaneceram fechadas até 17 de Setembro. As
instalações e centros de processamento de dados
remotos da Bolsa de Valores de Nova Iorque (NYSE)
mais as empresas participantes, consumidores e
mercados, foram incapazes de se comunicarem
devido aos danos ocorridos à instalação de
chaveamento telefônico próxima ao World Trade
Center. Quando os mercados de ações reabriram em
17 de setembro de 2001, após o maior período de
fechamento desde a Grande Depressão em 1993,
o índice do mercado de ações Dow Jones Industrial
Average (“DJIA”) caiu 684 pontos ou 7,1%, passando
para 8920 pontos, sua maior queda em um único dia.
No fim da semana, o DJIA tinha caído 1369,7 pontos
(14,3%), sua maior queda em uma semana na história.
O mercado de ações americano perdeu 1,2 trilhão de
dólares em valor em uma semana (Fonte: Wikipedia).
114
Unidade 4 115
116
Ameaças Tolerância
PN1 X X X 48h
PN2 X 5h
PN3 X X X X 24h
PN4 15 min
PN5 X X X 0
a) Hot-site
Recebe este nome por ser uma estratégia pronta para entrar em
ação assim que algum sinistro ocorrer. Mais uma vez, o tempo
de operacionalização desta estratégia está diretamente ligado ao
tempo de tolerância às falhas do objeto.
Unidade 4 117
b) Warm-site
Esta estratégia se aplica a objetos com maior tolerância à
paralisação, os quais podem se sujeitar à indisponibilidade por
mais tempo, ou seja, até o retorno operacional da atividade.
Como exemplo, temos o serviço de e-mail dependente de
uma conexão de comunicação. Veja que o processo de envio
e recebimento de mensagens é mais tolerante que o exemplo
usado na primeira estratégia, pois poderia ficar indisponível
por minutos, sem, no entanto, comprometer o serviço ou gerar
impactos significativos, apesar de que para algumas empresas, o
e-mail é considerado um serviço altamente essencial.
c) Relocação de operação
Esta estratégia objetiva desviar a atividade atingida pelo sinistro
para outro ambiente físico, equipamento ou link, pertencentes a
mesma empresa. Ela só é possível com a existência de “folgas” de
recursos que podem ser alocados em situações de desastre. Um
exemplo disto é o redirecionamento do tráfego de dados de um
roteador ou servidor com problemas para outro que possua mais
recursos.
d) Bureau de serviços
Nesta estratégia, considera-se a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente
terceirizado, isto é, fora dos domínios da empresa. O seu
uso é restrito a poucas situações por requerer um tempo de
tolerância maior, em função do tempo de reativação operacional
da atividade. Informações manuseadas por terceiros requerem
uma atenção redobrada na adoção de procedimentos, critérios
e mecanismos de controle que garantam condições de
segurança adequadas à relevância e senso crítico da atividade de
contingência.
118
e) Acordo de reciprocidade
Esta estratégia é bastante conveniente quando os investimentos
necessários na falta de uma infra-estrutura de segurança
adequada, pois nada mais é do que um acordo entre duas
empresas que possuem um ambiente de TI que exija a possível
relocação de serviços, mas que não disponham de recursos
financeiros para contratar uma empresa especializada no assunto.
Da mesma forma do bureau de serviços, é preciso ter cuidado na
hora de expor as informações da sua empresa para outra, pois
o risco existe e é grande. Este tipo de acordo é comum entre
empresas de áreas diferentes e não concorrentes.
f) Cold-site
Seguindo os modelos de classificação citados anteriormente,
Hot-site e Warm-site, o Cold-site propõe uma alternativa de
baixo custo para ambientes de TI, ou seja, pouco budget
para investimentos na área de continuidade de negócios. No
entanto, exige uma tolerância alta, pois o mesmo não suporta
alta disponibilidade. Um exemplo deste modelo é um “ghost”
de um HD de um servidor de Active Directory. Supondo que o
HD do servidor principal queimou, coloca-se o HD cold para
funcionar, e ao invés de ler, faz-se a restauração dos dados. Este
é um procedimento de resultados duvidosos, porém, de baixo
custo.
g) Auto-suficiência
Este caso ocorre quando nenhuma outra estratégia é aplicável,
pois prevê aproximadamente 100% de disponibilidade,
integridade e caráter confidencial dos dados. Seria o ideal para
qualquer empresa, porém é necessário se fazer o cálculo para
medir o quanto se perde, caso a informação não esteja disponível.
Unidade 4 119
120
Unidade 4 121
122
Unidade 4 123
124
Unidade 4 125
c) Análise de impacto
Nesta etapa, também conhecida como B.I.A. - Business Impact
Analyisis, ou seja, Análise de impacto aos negócios, é onde serão
identificados, avaliados e relatados os impactos resultantes dos
sinistros ocorridos. Além disto, será definida o senso crítico
dos processos de negócios e as prioridades de recuperação
e relacionamento entre elas com a finalidade de verificar a
dependência entre um serviço e outro. Com isto, o prazo para
restabelecimento dos sistemas de informação se dará de acordo
com o planejado.
126
Unidade 4 127
Alto • Perda significante dos principais ativos e recursos • Perda da reputação, imagem e
credibilidade • Impossibilidade de continuar com as atividades de negócio.
Médio • Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.
Baixo • Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.
128
Unidade 4 129
Unidade 4 131
f) Desenvolvimento do plano
Nesta fase, os componentes, até então elaborados e planejados,
serão integrados em um plano de continuidade de negócios, a
fim de permitir o atendimento às janelas de recuperação dos
componentes e dos processos da corporação.
132
g) Treinamento
O processo de treinamento das equipes começa com a
distribuição do plano para cada um dos seus componentes,
sendo que cada parte do plano deve ser encaminhada para o
responsável por ela, acompanhada da visão geral do plano e da
visão geral da sua equipe. Telefones de emergência, dos demais
membros da equipe e de fornecedores também devem fazer parte
do conjunto de instruções básicas.
Unidade 4 133
h) Manutenção
Nesta fase, como o próprio nome diz, faz-se um pré-plano para
gerenciar os exercícios do plano de continuidade de negócios,
avaliando os resultados obtidos. Além disso, serão desenvolvidos
processos para a manutenção das variáveis dos planos de acordo
com os objetivos estratégicos da empresa.
134
i) Administração da crise
Este documento tem o propósito de definir detalhadamente o
funcionamento das equipes envolvidas com o acionamento da
contingência antes, durante e depois da ocorrência do incidente.
Unidade 4 135
j) Parcerias
Por fim, esta é a fase onde serão estabelecidos os procedimentos
e respostas necessárias para as atividades de continuidade e
restauração de negócios, com o auxílio de parcerias, sejam elas
públicas ou privadas.
136
Atividades de auto-avaliação
Leia com atenção os enunciados e realize as atividades:
1) Qual é a função de uma análise de impacto?
Unidade 4 137
138
Síntese
Unidade 4 139
Saiba mais
140
Auditoria em Sistemas de
Informação
Objetivos de aprendizagem
5
Ao final desta unidade você terá subsídios para:
conheceras técnicas de auditoria de sistemas de
informação mais usadas;
compreender os controles gerais envolvidos na
auditoria;
conhecer os tipos de auditoria de sistemas
informatizados;
estabelecer um plano de trabalho das verificações que
Seções de estudo
A seguir, conheça as seções para você estudar:
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11888::0:004
Universidade do Sul de Santa Catarina
142
Unidade 5 143
Método Caracterítisticas
Test-deck consiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testes
normais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.
Teste de desempenho Verificação de um sistema em operação quanto ao consumo de recursos computacionais e ao tempo de
resposta de suas operações (exige instrumentos de monitoração para hardware e software).
Método que se concentra nos requisitos funcionais dos programas em operação. Os casos de testes,
Teste de caixa preta normalmente derivados de diferentes condições de entrada, avaliam funções, interfaces, acessos a
bancos de dados, inicialização e término do processamento.
Métodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para depurá-
los (debug) após serem executados. São estes:
Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.
Mapping, tracing e
Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é, visualizar
snapshot
quais instruções de uma transação foram executadas e em que ordem.
Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução, de
acordo com condições preestabelecidas.
Teste de caixa branca Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes avaliam
decisões lógicas, loops, estruturas internas de dados e caminhos dentro dos módulos.
ITF – Integrated Test Consiste na implementação de rotinas de auditoria específicas dentro dos programas de um sistema
Facility em implantação, que poderão ser acionadas com dados de teste, em paralelo com os dados reais de
produção, sem comprometer os dados de saída.
144
Unidade 5 145
146
Unidade 5 147
148
São aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação
(entrada, processamento e saída de dados), com o objetivo de garantir um processamento
confiável e acurado.
Controles de Sem um controle de aplicativo apropriado, existe o risco de que características de segurança
aplicativos possam se omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos
ou códigos fraudulentos sejam introduzidos. Por exemplo: um programador pode modificar
códigos de programas para desviar dos controles e obter acesso a dados confidenciais; a
versão errada de um programa pode ser implementada, causando processamentos errados ou
desatualizados; um vírus pode se introduzido, prejudicando o processamento.
São projetados para garantir que os dados sejam convertidos para um formato padrão e
Controles de entrada inseridos na aplicação de forma precisa, completa e tempestiva.
de dados Os controles de entrada de dados devem detectar transações não-autorizadas, incompletas,
duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas.
Unidade 5 149
150
Unidade 5 151
152
Unidade 5 153
154
Unidade 5 155
156
Unidade 5 157
158
Unidade 5 159
160
Unidade 5 161
162
Unidade 5 163
164
Unidade 5 165
166
Unidade 5 167
168
Unidade 5 169
170
Unidade 5 171
Tais como:
172
Unidade 5 173
174
Atividades de auto-avaliação
Unidade 5 175
Síntese
176
Saiba mais
Unidade 5 177
Davi e Abílio
auditoria_de_sistemas_informatiz1 1 22/12/2006111222::1:11888::1:111
auditoria_de_sistemas_informatiz2 2 22/12/2006 12:18:11
Referências
BOSWORTH, Seymor. E KABAY, M. E. Computer Security
Handbook. Wiley, 2002
auditoria_de_sistemas_informatiz3 3 22/12/2006111222::1:11888::1:111
Universidade do Sul de Santa Catarina
182
TOP 10: Os vírus que mais atacaram. Security Magazine. São Paulo.
n. 25, Julho de 2004. Disponível em http://www.securitymagazine.
com.br.
183
auditoria_de_sistemas_informatiz7 7 22/12/2006111222::1:11888::1:111
recursos através das Subvenções e Auxílios a Entidades Civis e
Órgãos Estaduais. Professor da Unisul desde 1998, do curso de
Ciência da Computação e de Sistemas de Informação, ministra as
disciplinas de Auditoria de Sistemas e Administração e Sistemas,
respectivamente; na Pós-graduação curso de Especialização
de Auditoria Governamental e Responsabilidade Fiscal e nas
Faculdades Energia: Finanças Públicas e Orçamento Público e
matérias afins de Administração.
Unidade 1
Respostas:
1) Basicamente, problemas com a integridade, o caráter
confidencial e a disponibilidade das informações.
2) Palavras-chaves para esta resposta são: proteção de
investimento de TI, aumento dos níveis de segurança de
informações, aderência a alguma norma de segurança,
exigência de parceiros de negócio, garantir a continuidade
dos negócios.
3) Palavras-chaves que contém a resposta correta são:
facilidade de acesso a informações confidenciais dentro
de uma corporação, a fraude simples pelo motivo de
dinheiro, a insubordinação perante superiores ditos como
incompetentes, o prazer de ter burlado a segurança de algum
alvo desprotegido, insatisfação com o emprego.
Unidade 2
Respostas:
1) A tendência de sempre se aprimorar, pois com o advento da
informática, coletar dados, mesmo no caso de uma auditoria
de finanças é muito mais complexo do que antigamente,
forçando o auditor a sempre se atualizar no que diz respeito a
softwares financeiros, sistemas informatizados de auditorias,
entre outras tecnologias.
2) Antes da assinatura do contrato, uma proposta comercial deve
ser apresentada à empresa contratante de forma que se saiba
do escopo de trabalho, ou seja, todas as responsabilidades da
auditoria_de_sistemas_informatiz9 9 22/12/2006111222::1:11888::1:112
Universidade do Sul de Santa Catarina
Unidade 3
Respostas:
1) A função dessa análise é obter uma medida da segurança existente
em determinado ambiente informatizado. A primeira consideração
relacionada com segurança de ativos de informações, como qualquer
outra modalidade de segurança, é a relação custo-benefício. Não
se gasta dinheiro em sistemas de segurança ou serviços que não
tenham retorno ou que ao menos não garantam algum retorno de
investimento, isto é, não se gasta mais dinheiro em proteção do que o
valor do ativo a ser protegido.
2) Basicamente, uma política de segurança tem como objetivos
preservar os ativos de informação da corporação, garantindo o
caráter confidencial, integridade e disponibilidade da informação. O
caráter confidencial garante que a informação será acessada somente
pelo grupo de pessoas autorizadas. Integridade para garantir que a
informação estará intacta, sem distorções ou possíveis corrupções de
dados. Disponibilidade para garantir que a informação estará sempre
disponível ao usuário.
188
Unidade 4
Respostas:
1) A Análise de Impacto no Negócio permite quantificar o valor das perdas
que podem ser causadas por incidentes de segurança da informação,
considerando os aspectos de caráter confidencial, integridade e
disponibilidade. Os resultados da Análise de Impacto no Negócio
dão suporte ao planejamento estratégico de segurança, permitindo
priorizar os investimentos nos pontos mais críticos, ou seja, aqueles que
podem gerar as maiores perdas para a empresa.
2) Elas são bem distintas, basicamente a estratégia “Hot Site” é muito
mais eficiente e eficaz, porém muito mais cara. O que vai diferenciar
a escolha basicamente é a análise de impacto e a análise de riscos que
vão apontar a medida de segurança do ambiente e onde se encontra o
“calo” da estrutura.
3) Em um ambiente informatizado, as formas de ameaças mudam todos
os dias, cada vez mais aprimoradas. Da mesma forma, o plano de
continuidade de negócios deve estar sempre atualizado para ser
útil. Outro fato é que a manutenção do plano pode acusar falha de
processo, que podem ser corrigidas para aumentar a eficácia do plano.
Unidade 5
Respostas:
1) ITF – Integrated Test Facility
2) Essa categoria de controle tem como parâmetro limitar e supervisionar
o acesso aos programas e arquivos críticos do ambiente computacional
do cliente, com o objetivo de proteger as aplicações presentes.
3) Procedimentos como a devolução de crachás, chaves, exclusão do login
do usuário, definição de período de sigilo que um ex-funcionário deve
cumprir, entre outros.
189