Auditoria de Sistemas Informatizados

2/2/2016
Auditoria de Sistemas
Informatizados
Prof. Ms Renato Cristiano Torres
Objetivo Geral
Desenvolver habilidades para realização de

auditoria de sistemas nos diversos campos de
atuação.
Objetivos Específicos
• Estudar os conceitos que envolvem a auditoria.
• Conhecer a organização de um trabalho de auditoria.
• Conhecer os diversos componentes de uma política de

segurança.
• Identificar a necessidade e as características de um plano de

continuidade de negócios.
• Identificar os passos necessários de um trabalho deauditoria

de sistemas de informação.
1
2/2/2016
Estrutura da Aula
Introdução à auditoria de sistemas informatizados
Organização da auditoria
Política de segurança de informações
Plano de contingência e de continuidade de negócios
Auditoria de sistemas informação
• Evolução dos sistemas computacionais e de segurança da

informação.
• Conceitos básicos da auditoria
• Tipo da auditoria objeto deste estudo
• Por que auditar?
• Quais são os desafios éticos da auditoria de

• sistemas informatizados?
Evolução dos sistemas computacionais e dos

de segurança da informação
•A crescente utilização de soluções
informatizadas nas diversas áreas de serviços
exige níveis de segurança adequados e maior
exposição dos valores e informações.
• Isto fez com que as empresas se preocupassem

mais com o controle de acesso às suas
informações bem como a proteção dos ataques,
tanto internos quanto externos.
2
2/2/2016

• Com a chegada dos computadores pessoais e das

redes de computadores que conectam o mundo
inteiro.
• Os aspectos de segurança atingiram tamanha

complexidade que há a necessidade de
desenvolvimento de equipes cada vez mais
especializadas para a sua implementação e
gerência.

• A segurança da informação tornou-se

estratégica, pois interfere na capacidade das
organizações de realizarem negócios e no valor
de seus produtos no mercado.
• Exemplo: Vendas, Transações Bancárias

utilizando internet

• Visando minimizar as ameaças, a ISO
(International Standardization Organization) e a
ABNT (Associação Brasileira de Normas
Técnicas), em sintonia com a ISO, publicaram
uma norma internacional para garantir a
segurança das informações nas empresas, a ISO
17799:1
3
2/2/2016

• Um modelo de segurança eficiente e universal

foi criado com característica principal tentar
preservar a disponibilidade, a integridade e o
caráter confidencial da informação.
• Mas, quais são as ameaças ?

• O comprometimento do sistema de
informações, por problemas de segurança,
pode causar grandes prejuízos à organização.
Diversos tipos de incidentes podem ocorrer a
qualquer momento, podendo atingir a
informação confidencial, a integridade e
disponibilidade.

• Problemas de quebra de confidência, por

vazamento ou roubo de informações sigilosas,
podem expor para o mercado ou concorrência as
estratégias ou tecnologias da organização,
eliminando um diferencial competitivo,
comprometendo a sua eficácia, podendo perder
mercado e até mesmo ir à falência.
4
2/2/2016

• Problemas de disponibilidade podem ter

um impacto direto sobre o faturamento, pois
deixar uma organização sem matéria-prima ou
sem suprimentos importantes ou mesmo, o
impedimento de honrar compromissos com
clientes, prejudicam sua imagem perante os
clientes, gerando problemas com custos e
levando a margem de lucro a ficar bem
comprometida.

• Problemas de integridade, causados por

invasão ou fatores técnicos em dados sensíveis,
sem uma imediata percepção, irão impactar
sobre as tomadas de decisões. Decisões erradas
fatalmente reduzirão o faturamento ou
aumentarão os custos, afetando novamente a
margem de lucros..

• A invasão da página de Internet de uma

empresa, com modificação de conteúdo, ou até
mesmo a indisponibilidade de serviços on-line,
revela a negligência com a segurança da
informação e causa perdas financeiras a quem
sofreu algum tipo de ataque.
5
2/2/2016
Quais são os
conceitos básicos
da auditoria ?
Quais são os conceitos básicos da auditoria?
• O campo compõe-se de aspectos como: objeto,

período e natureza da auditoria.
• O objeto é definido como o “alvo” da auditoria,

pode ser uma entidade completa (corporações
públicas ou privadas, por exemplo).
• Período a ser fiscalizado pode ser um mês, um ano

ou, em alguns casos, poderá corresponder ao
período de gestão do administrador da instituição.

• A natureza da auditoria poderá ser operacional,
financeira ou de legalidade, por exemplo. Na seqüência,
você estudará com mais detalhes a natureza (ou tipo) da
auditoria.
• O âmbito da auditoria pode ser definido como a

amplitude e exaustão dos processos de auditoria, ou seja,
define o limite de aprofundamento dos trabalhos e o seu
grau de abrangência.
• A área de verificação pode ser conceituada como

sendo o conjunto formado pelo campo e âmbito da
auditoria.
6
2/2/2016
• A auditoria é uma atividade que engloba o

exame das operações, processos, sistemas e
responsabilidades gerenciais de uma
determinada entidade, com o objetivo de
verificar sua conformidade com certos objetivos
e políticas institucionais, orçamentos, regras,
normas ou padrões.

• Controle é a fiscalização exercida sobre as atividades de
pessoas, órgãos, departamentos ou sobre produtos, para que
estes não se desviem das normas ou objetivos previamente
estabelecidos. Existem três tipos de controles.
▫ Preventivos usados para prevenir fraudes, erros ou

vulnerabilidades. (senhas de acesso a algum sistema
informatizado, por exemplo)
▫ Detectivos usados para detectar fraudes, erros, vulnerabilidades

(por exemplo: Log de eventos de tentativas de acesso a um
determinado recurso informatizado)
▫ Corretivos usados para corrigir erros ou reduzir impactos

causados por algum sinistro (planos
• O que precisa ser controlado ?
• Em geral, é um check-list que contempla os itens a

serem verificados durante a auditoria. A concepção
desses procedimentos antes do início dos processos
de auditoria é de suma importância porque
garantirá um aumento da produtividade e da
qualidade do trabalho.
▫ Exemplo: Acesso a sala de servidores, uso de senhas,

procedimentos de desenvolvimento de softwares ou
implantação de novos hardwares.
7
2/2/2016
• Os chamados “achados” de auditoria são fatos

importantes observados pelo auditor durante a
execução dos trabalhos.
• Apesar de que geralmente são associados a

falhas ou vulnerabilidades, os “achados” podem
indicar pontos fortes da corporação auditada,
como um novo processo de autenticação de
funcionários.
• Os chamados “achados” de auditoria são fatos

importantes observados pelo auditor durante a
execução dos trabalhos.
• Apesar de que geralmente são associados a

falhas ou vulnerabilidades, os “achados” podem
indicar pontos fortes da corporação auditada,
como um novo processo de autenticação de
funcionários.
• Os papéis de trabalho são registros que evidenciam

atos e fatos observados pelo auditor.
• Esses registros podem estar em forma de

documentos, tabelas, listas de verificações,
planilhas, arquivos, entre outros. Estes documentos
são a base para o relatório de auditoria, pois contêm
registro da metodologia utilizada, procedimentos,
fontes de informação, enfim, todas as informações
relacionadas ao trabalho de auditoria.
8
2/2/2016
Qual é o tipo de
auditoria objeto deste
estudo?
Qual é o tipo de auditoria objeto deste estudo?
• Vários autores fazem uma classificação ou

denominação formal sobre a natureza ou sobre os
diversos tipos de auditorias existentes.
• Estudaremos Auditoria em Sistemas

Informatizados. Cujo objetivo é essencialmente
operacional, por meio da qual os auditores analisam
os sistemas de informática, o ambiente
computacional, a segurança de informações e o
controle interno da entidade fiscalizada,
identificando seus pontos fortes e deficiências.
• Dependendo da área de verificação escolhida,

este tipo de auditoria pode abranger:
▫ todo o ambiente de informática ou a organização

do departamento de informática. Além disso, pode
ainda contemplar:
▫ os controles sobre banco de dados, redes de

comunicação e de computadores e
▫ controles sobre os aplicativos.
9
2/2/2016
• Deste modo, sob o ponto de vista dos tipos de

controles citados, a auditoria pode ser separada
em duas grandes áreas:
▫ Auditoria de segurança de informações

▫ Auditoria de aplicativos
Auditoria de segurança de informações
• É o tipo de auditoria em ambientes

informatizados determina a postura ou situação
da corporação em relação à segurança.
• Avalia a política de segurança e os controles

relacionados com aspectos de segurança, enfim,
controles que influenciam o bom funcionamento
dos sistemas de toda a organização.

São Avaliados :
• Política de segurança.
• Controles de acesso lógico.
• Controles de acesso físico.
• Controles ambientais.
• Plano de contingência e continuidade de serviços.
• Controles organizacionais.
• Controles de mudanças.
• De operação dos sistemas.
• Controles sobre o banco de dados.
• Controles sobre computadores.
• Controles sobre ambiente cliente-servidor.
10
2/2/2016

Auditoria de aplicativos
• Este tipo de auditoria está voltado para a segurança e o

controle de aplicativos específicos, incluindo aspectos
que fazem parte da área que o aplicativo atende, como
orçamento, contabilidade, estoque, marketing, RH, etc.
• A auditoria de aplicativos compreende:
▫ Controles sobre o desenvolvimento de sistemas aplicativos.

▫ Controles de entrada, processamento e saída de dados.
▫ Controles sobre o conteúdo e funcionamento do aplicativo
com relação à área por ele atendida.
Por que auditar?
Por que auditar?
• Um ditado popular diz que nenhuma corrente é

mais forte que seu elo mais fraco; da mesma
forma, nenhuma parede é mais forte que a sua
porta ou janela mais fraca, de modo que você
precisa colocar as trancas mais resistentes
possíveis nas portas e janelas.
11
2/2/2016
Por que auditar?
• Acima de tudo, o bem mais valioso de uma

empresa pode não ser o produzido pela sua linha
de produção ou o serviço prestado, mas as
informações relacionadas com este bem de
consumo ou serviço.
Por que auditar?
• Atualmente, não há organização humana que

não seja altamente dependente da tecnologia de
informações, em maior ou menor grau.
• E o grau de dependência agravou-se muito em

função da tecnologia de informática, que
permitiu acumular grandes quantidades de
informações em espaços restritos.
Exemplo
• Por exemplo, um banco não trabalha exatamente

com dinheiro, mas com informações financeiras
relacionadas com valores seus e de seus clientes.
• A maior parte destes dados é de natureza

sigilosa, por força de determinação legal ou por
se tratarem de informações de natureza pessoal,
que controlam ou mostram a vida econômica
dos clientes, os quais podem vir a sofrer danos,
caso elas sejam levadas a público.
12
2/2/2016
Por que auditar?
• É importante ressaltar que muitas empresas não

sobrevivem mais que poucos dias a um colapso
do fluxo de informações, não importando o meio
de armazenamento das informações.
• E, dada à característica de tais

empreendimentos, que no caso de bancos é
essencialmente uma relação de confiança, é fácil
prever que isto acarretaria completo descontrole
sobre os negócios e até uma corrida ao caixa.
Por que auditar?
• Os riscos são agravados em progressão geométrica à

medida que informações essenciais ao
gerenciamento dos negócios são centralizadas e,
principalmente, com o aumento do grau de
centralização.
• Ainda que estes riscos sejam sérios, as vantagens

dessa centralização são maiores, tanto sob aspectos
econômicos, quanto sob aspectos de agilização de
processos de tomada de decisão em todos os níveis.
Por que auditar?
• A segurança, mais que estrutura hierárquica, os

homens e os equipamentos envolvem uma
postura gerencial, que ultrapassa a tradicional
abordagem da maioria das empresas.
• Dado ao caráter altamente dinâmico que as

atividades relacionadas com o processamento de
informações adquiriram ao longo do tempo, a
política de segurança de informações deve ser a
mais ampla e mais simples possível.
13
2/2/2016
Por que auditar?
Principais ameaças às informações nas organizações

Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)
Por que auditar?
Principais ameaças às informações nas organizações

Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)
Por que auditar?
• As ameaças podem ser definidas como sendo

agentes ou condições incidentes que comprometem
as informações e seus ativos, por meio da exploração
de vulnerabilidades.
• As vulnerabilidades podem ser conceituadas como

sendo fragilidades presentes ou associadas a ativos
que manipulam e/ou processam informações, que
podem ser exploradas por ameaças, permitem a
ocorrência de um incidente de segurança, afetando
negativamente um ou mais princípios da segurança
da informação: caráter confidencial, integridade e
disponibilidade.
14
2/2/2016
Por que auditar?
• O que é um Hacker ?
• Por definição, hacker são aqueles que utilizam seus

conhecimentos para invadir sistemas, sem a
intenção de causar danos às vítimas, mas como um
desafio às suas habilidades.
• Os hackers possuem grande conhecimento de

sistemas operacionais e linguagens de programação.
Constantemente buscam mais conhecimento,
compartilham o que descobrem e jamais corrompem
dados intencionalmente.
Por que auditar?
• Como se tornou um termo genérico para

invasores de redes, o termo hacker
freqüentemente é usado para designar os
elementos que invadem sistemas para roubar
informações e causar danos.
• O termo correto para este tipo de invasor seria

cracker ou intruder, que também é utilizado
para designar àqueles que decifram códigos e
destroem proteções de softwares.
Por que auditar?
• Como se tornou um termo genérico para

invasores de redes, o termo hacker
freqüentemente é usado para designar os
elementos que invadem sistemas para roubar
informações e causar danos.
• O termo correto para este tipo de invasor seria

cracker ou intruder, que também é utilizado
para designar àqueles que decifram códigos e
destroem proteções de softwares.
15
2/2/2016
Por que auditar?
• Quebra de Senha – O quebrador de senha, ou

cracker,é um programa usado pelo hacker para
descobrir uma senha do sistema. Uma das
formas de quebra são os testes de exaustão de
palavras, a decodificação criptográfica,etc.
Por que auditar?
• Denial of Service – É um ataque que consiste

em sobrecarregar um servidor com uma
quantidade excessiva de solicitações de serviços.
Sua finalidade não é o roubo de dados, mas a
indisponibilidade de serviço.
Por que auditar?
• Cavalo de tróia – É um programa disfarçado

que executa alguma tarefa maligna.
• Exemplo: o usuário roda um jogo qualquer que

foi pego na internet. O jogo instala o cavalo-de-
tróia, que abre uma porta TCP (Transmission
• Control Protocol) no micro para a invasão.
16
2/2/2016
Por que auditar?
• Vírus – São programas desenvolvidos para alterar

• softwares instalados em um computador, ou mesmo
• apagar todas as informações existentes no
computador.
• Possuem comportamento semelhante ao vírus

biológico, multiplicam-se, precisam de hospedeiros,
esperam o momento certo para o ataque e tentam se
esconder para não serem exterminados.
Por que auditar?
• Worm – São programas auto-replicantes que

não alteram arquivos, mas residem na memória
ativa e se duplicam por meio de redes de
computador. Os worms utilizam recursos do
sistema operacional para ganhar acesso ao
computador e, ao se replicarem, usam recursos
do sistema, tornando as máquinas lentas e
interrompendo outras funções.
Por que auditar?

• Auditar é preciso porque o uso inadequado dos sistemas
informatizados pode impactar uma sociedade.
Informação com pouca precisão pode causar a alocação
precipitada de recursos dentro das corporações e as
fraudes podem ocorrer devido à falta de sistemas de
controle.
• Então, para garantir que os investimentos feitos em

tecnologia da informação retornem para a empresa na
forma de lucros, custos menores e um menor custo total
de propriedade é que o auditor de sistemas
informatizados irá atuar. De posse dos objetivos, normas
ou padrões da corporação o auditor irá verificar se tudo
está funcionando como deveria.
17
2/2/2016
Por que auditar?

Temos ao lado as 10
medidas adotadas
pelas empresas para
garantir segurança e
a décima que não
aparece é Análise de
Risco com 56%.
Por que auditar?

Apesar das vulnerabilidades, não são todas as empresas que
prontamente investem em sistemas de segurança de informações,
porque os responsáveis por manter o ambiente funcionando enfrentam
algumas dificuldades para conseguir estes recursos.
Por que auditar?

Apesar das vulnerabilidades, não são todas as empresas que
prontamente investem em sistemas de segurança de informações,
porque os responsáveis por manter o ambiente funcionando enfrentam
algumas dificuldades para conseguir estes recursos.
18
2/2/2016
Quais são os desafios éticos da auditoria de

sistemas informatizados?
• Sendo os atos justos e injustos tais como os
descrevemos, um homem age de maneira justa ou injusta
sempre que pratica tais atos voluntariamente.
• Quando os pratica involuntariamente, seus atos não são

justos nem injustos, salvo por acidente, isto é, porque ele
fez muitas coisas que redundam em justiças ou
injustiças. É o caráter voluntário ou involuntário do ato
que determina se ele é justo ou injusto, pois, quando é
voluntário, é censurado, e pela mesma razão torna-se um
ato de injustiça; de forma que existem coisas que são
injustas, sem que, no entanto sejam atos de injustiça, se
não estiver presente também a voluntariedade

• Não podemos ser inocentes e pensar que empresas são
apenas entidades jurídicas. Empresas são formadas por
pessoas e só existem por causa delas. Por trás de
qualquer decisão, de qualquer erro ou imprudência estão
seres de carne e osso.
• E são eles que vão viver a glória ou o fracasso da

organização. Por isso, quando falamos de empresa ética,
estamos falando de pessoas éticas.
• Uma política interna mal definida por um funcionário de

qualquer nível pode denegrir dois dos maiores
patrimônios de uma empresa: a marca e a imagem.

• A sociedade contemporânea valoriza comportamentos
que praticamente excluem qualquer possibilidade de
cultivo de relações éticas.
• É fácil verificar que o desejo obsessivo na obtenção,

possessão e consumo da maior quantidade possível de
bens materiais é o valor central na nova ordem
estabelecida no mundo e que o prestígio social é
concedido para quem consegue esses bens.
• Esse desejo se tornou mais voluptuoso e de acesso mais

fácil depois da ascensão do comércio eletrônico na
internet.
19
2/2/2016

• O que fazer ?
• saiba exatamente quais são os seus limites éticos;
• avalie detalhadamente os valores da sua empresa;

trabalhe sempre com base em fatos;
• avalie os riscos de cada decisão que tomar saiba que,

mesmo ao optar pela solução mais ética, poderá se
envolver em situações delicadas; ser ético significa,
muitas vezes, perder dinheiro, status e benefícios.
Introdução à auditoria de
sistemas informatizados
• A origem da auditoria
• O auditor e os sistemas informatizados
• Quais são as responsabilidades do auditor?
• Como ocorre o planejamento da auditoria?
• Como Ocorre a conclusão da auditoria?
20
2/2/2016
A origem da auditoria
• A auditoria de empresas começou com a legislação

britânica promulgada durante a revolução
industrial, em meados do século XIX.
• Avanços na tecnologia industrial e de transporte

provocaram novas economias de escala, empresas
maiores, o advento de administradores profissionais
e o crescimento da incidência de situações em que os
donos de empresas não estavam presentes nas ações
diárias da corporação.
• Curiosidades:
• Na Inglaterra encontram-se as empresas de auditorias

mais bem conceituadas, tais como: Deloitte & Co., Peat
Marwick & Mitchell e Price Waterhouse & Co.
• Tanto eles são pioneiros na área, que foi de lá, de estudos

acadêmicos, que surgiu o padrão de segurança de
informações que os auditores de sistemas informatizados
utilizam: o padrão BS 7799 que tem suas variações na
ISO (ISO 27001) e na ABNT, onde se encontra a NBR
ISO/IEC 17799:1 (2005).
• No final do século XIX, Nova Iorque tornou-se o

primeiro estado norte-americano a aprovar uma
legislação sobre a profissão de auditor.
• Durante a década de 80 e 90, a tônica nos

campos profissionais era o conhecimento
exigido e, assim, a profissão de auditor deu um
outro passo no sentido de assegurar a prestação
de serviços de qualidade, capacitação!
21
2/2/2016
O auditor e os sistemas informatizados
• Quando os sistemas de computadores surgiram,

muitos auditores estavam preocupados com a
essência da auditoria que poderia mudar para
poder lidar com a nova tecnologia.
• Os sistemas informatizados têm afetado duas

funções básicas dos auditores: coleta e avaliação
das evidências.
• Coletar evidências sobre a segurança em um

sistema informatizado é muito mais complexo
do que em um sistema manual, sem automação,
justamente devido à diversidade e complexidade
da tecnologia de controle interno.
• Por exemplo, num equipamento de hardware, os

famosos “appliances” que fazem o papel de Firewall
são considerados somente bloqueadores de portas
lógicas.
• Uma nova versão deste equipamento possui um

software que permite, além de bloquear portas
lógicas, fazer o serviço de detecção de intrusos, o
que o torna mais eficaz no momento de avaliar a
segurança de dispositivos de rede que fazem este
papel.
22
2/2/2016
• Devido à crescente complexidade dos sistemas

informatizados, também é mais difícil avaliar as
conseqüências das vulnerabilidades existentes.
Primeiramente, os auditores devem entender
quando um controle está agindo de forma segura
ou não.
• Erros em programas de computador tendem a

ser deterministas: um programa errado sempre
executará incorretamente.
• O ônus sobre os auditores é garantir que estes

controles sejam suficientes para manter a
proteção dos ativos de informação da
corporação, integridade dos dados, efetividade e
eficiência dos sistemas, além de disponibilizá-los
para que eles sejam operados de forma segura.
Quais são as responsabilidades do auditor?
• O auditor é, na maioria das vezes, visto como um

detetive justiceiro, que se insere no âmago da
organização para apontar erros, defeitos,
problemas, sem a contrapartida de contribuir
para uma solução.
• Apesar de serem raros, os erros em serviços de

auditoria acontecem, e quando ocorrem, tem
conseqüências grandes. E essa falha tem o seu
respectivo lado jurídico.
23
2/2/2016
• Um exemplo disto é que um erro de pouco

menos de um grau na programação de um vôo
de longa distância, apesar de raramente
acontecer, suas conseqüências são muito
grandes, como a falta de combustível para o
pouso do avião com segurança.
• O conceito de responsabilidade evoluiu

significativamente, passando a abranger
proteção ao consumidor contra atos errados,
tanto para fabricantes como para os prestadores
de serviços.
• De acordo com a lei de perdas e danos, o auditor

tem responsabilidade para com todos os
terceiros, por negligência grave e fraude. Por
negligência normal, contudo, sua
responsabilidade para com as duas classes de
terceiros tem sido diferente.
• Avalie bem seu contrato!
24
2/2/2016
Como ocorre o planejamento da auditoria?
• Normalmente é dividida em :
• Planejamento – O que ?
• Execução (supervisão) - Como ?
• Relatório final. – O que foi encontrado ?
• Planejamento
• Planejamento da auditoria envolve vários passos

importantes. Obtenção de conhecimento do
negócio e da organização representa a etapa
crítica neste processo, pois estabelece a basepara
a realização de muitos outros procedimentos de
auditoria.
• Planejamento
• Planejamento da auditoria envolve vários passos

importantes. Obtenção de conhecimento do
negócio e da organização representa a etapa
crítica neste processo, pois estabelece a base
para a realização de muitos outros
procedimentos de auditoria, tomada de decisão e
estratégia a ser seguida, vamos a um exemplo.
25
2/2/2016
• Em um parecer técnico de um auditor de sistemas

de informação, uma constatação de que
determinado sistema não é de missão crítica
influencia e muito na decisão do auditor de
recomendar alguma mudança.
• Isso na relação com a conformidade ou não-

conformidade, mas com trabalho proativo do
auditor em dizer que, apesar da não-conformidade,
esta vulnerabilidade não causará muitos danos, pois
o sistema não é de missão crítica.
• Saber previamente a complexidade do ambiente

de tecnologia que será auditado é uma grande
vantagem e necessidade, pois a empresa terá
mais tempo na hora de procurar algum recurso
humano em especial.
• Especialista em Banco de Dados, Segurança,

Programação, etc
• Saber previamente a complexidade do ambiente

de tecnologia que será auditado é uma grande
vantagem e necessidade, pois a empresa terá que
procurar especialistas.
• Especialista em Banco de Dados, Segurança,

Programação, etc
26
2/2/2016
• Lembre-se sempre que as informações que são

anexadas ao processo de auditoria devem ser
coletadas em primeira mão, ou seja, com a
certeza de que o dado coletado é de fonte segura.
• Considerar o pessoal que administra o ambiente

pode ser uma boa estratégia e é lógico, que como
prestador de serviço, uma certa política e jogo de
cintura são importantes nestes casos.
• Lembre-se sempre que as informações que são

anexadas ao processo de auditoria devem ser
coletadas em primeira mão, ou seja, com a
certeza de que o dado coletado é de fonte segura.
• Considerar o pessoal que administra o ambiente

pode ser uma boa estratégia e é lógico, que como
prestador de serviço, uma certa política e jogo de
cintura são importantes nestes casos.
• O planejamento deve gerar um produto que

minimamente descreva:
▫ Equipe de Especialistas Necessárias

▫ Áreas a serem auditadas
▫ Objetos Alvo
▫ Custo
▫ Prazo
▫ Ferramentas necessárias
27
2/2/2016
• O volume do planejamento exigido em um

contrato varia de acordo com o tamanho e o
conhecimento sobre o negócio, o planejamento
de uma auditoria inicial requer esforço
consideravelmente maior que o de uma
auditoria recorrente.
• Após o planejamento é feito o direcionamento

dos trabalhos para os assistentes para atingir os
objetivos de auditoria e verificar se os objetivos
foram de fato atingidos, assim inicia a etapa de
supervisão.
Como Ocorre a conclusão da auditoria?
• Na conclusão do trabalho de campo, o auditor

deve ter certeza de que já fez todas as entrevistas
necessárias, coletou todos os dados necessários
para analisar as evidências e tecer um parecer
correto, que auxilie o cliente a melhorar o seu
ambiente de TI aumentando a sua
disponibilidade, o seu caráter confidencial e a
sua integridade de dados.
28
2/2/2016
• Na conclusão do trabalho de campo, o auditor

deve ter certeza de que já fez todas as entrevistas
necessárias, coletou todos os dados necessários
para analisar as evidências e tecer um parecer
correto, que auxilie o cliente a melhorar o seu
ambiente de TI aumentando a sua
disponibilidade, o seu caráter confidencial e a
sua integridade de dados.
• Ao avaliar o que foi verificado na auditoria, o

auditor tem por objetivos determinar o tipo de
parecer a ser emitido e determinar se a auditoria
seguiu as normas geralmente aceitas.
• O primeiro passo é identificar as distorções que

foram encontradas e não foram corrigidas pelo
administrador de TI Em casos de pouca
severidade, o auditor pode ressaltar o fato de
que a alteração pode ser feita mais tarde.
• Uma boa estratégia é revisar as entrevistas com

as pessoas envolvidas na administração da
informática, relendo-as e confirmando os dados
com as pessoas envolvidas para garantir a
integridade de tais informações.
• A conclusão da auditoria deve conter as

dificuldades para a obtenção de informações,
que possam ter atrapalhado o trabalho.
29
2/2/2016
• Como exemplo temos: a correção de algum

sistema operacional que influencie diretamente
na vulnerabilidade do sistema, deve ser feita o
quanto antes, sob pena de perda de
disponibilidade da máquina.
• Uma atualização do Sistema Operacional pode

corrigir falhas e vulnerabilidades apresentadas
pelo fabricante.
• Na conclusão da auditoria, é necessário que todas as

constatações sejam resumidas e avaliadas. Aqui também
é constatada a não conformidade com a norma aceita
pelo cliente como sendo padrão de segurança de
informação.
• Antes da decisão final sobre a opinião a ser emitida,

geralmente o cliente é chamado para uma reunião, na
qual a empresa responsável pela auditoria relata as
descobertas, inicialmente de forma oral, e justifica,
conceitualmente, eventuais ajustes e mudanças que
esteja recomendando.

• Qual é o papel da política de segurança da informação?
• Como realizar a análise de riscos?
• Inventário e recursos
• Como efetuar os controles de acesso lógico?
• Como executar os controles de acesso físico?
• Como realizar os controles ambientais?
30
2/2/2016

• Qual é o papel da política de segurança da informação?
• Como realizar a análise de riscos?
• Inventário e recursos
• Como efetuar os controles de acesso lógico?
• Como executar os controles de acesso físico?
• Como realizar os controles ambientais?
Qual é o papel da política de

segurança da informação?
Qual é o papel da política de segurança da

informação?
• Tendo como propósito fornecer orientação e
apoio às ações de gestão de segurança, a política
de segurança da informação assume uma grande
abrangência e, por conta disto, é subdividida em
três blocos: procedimentos/instruções, diretrizes
e normas, que são destinados, respectivamente,
às camadas operacional, tática e estratégica.
31
2/2/2016

informação?
• Procedimentos/instruções: estabelecem
padrões, responsabilidades e critérios para o
manuseio, armazenamento, transporte e
descarte das informações dentro do nível de
segurança estabelecido sob medida pela e para a
empresa. Portanto, a política das empresas deve
ser sempre personalizada.

informação?
• Diretrizes: por si só tem papel estratégico, pois
precisam expressar a importância que a empresa
dá à informação, além de comunicar aos
funcionários seus valores e seu
comprometimento em incrementar a segurança
a sua cultura organizacional.

informação?
• Normas: é notória a necessidade do
envolvimento da alta direção, que terá a
responsabilidade de fazer refletir o caráter oficial
da política da empresa através de comunicação e
compartilhamento com seus funcionários.
32
2/2/2016

informação?
• Critérios normatizados para admissão e demissão
de funcionários;
• criação e manutenção de senhas;
• descarte de informação em mídia magnética;
• desenvolvimento e manutenção de sistemas; uso da internet;

acesso remoto; uso de notebook;
• contratação de serviços de terceirizados; e classificações da
informação
Todos são bons exemplos de normas de uma típica política de

segurança.

informação?
• Critérios normatizados para admissão e demissão de funcionários;
• criação e manutenção de senhas;
• descarte de informação em mídia magnética;
• desenvolvimento e manutenção de sistemas; uso da internet; acesso

remoto; uso de notebook;
• contratação de serviços de terceirizados; e classificações da

informação
Todos são bons exemplos de normas de uma típica política de

segurança.

informação?
Em especial, a norma de classificação
da informação é fator crítico de sucesso,
pois descreve os critérios necessários para
sinalizar a importância e o valor das
informações.
Relação entre a classificação e o tratamento da informação.
33
2/2/2016

informação?
A política de segurança tem como objetivo prover à direção da
organização orientação e apoio para a segurança da informação,
preservando:
Caráter confidencial – Garantia de que o acesso à informação seja

obtido somente por pessoas autorizadas;
Integridade – salvaguardar a exatidão e completeza da informação

e dos métodos de processamento.
Disponibilidade – Garantia de que os usuários autorizados

obtenham acesso à informação e aos ativos correspondentes sempre
que necessário.

informação?
A política de segurança tem como objetivo prover à direção da
organização orientação e apoio para a segurança da informação,
preservando:
Caráter confidencial – Garantia de que o acesso à informação seja

obtido somente por pessoas autorizadas;
Integridade – salvaguardar a exatidão e completeza da informação

e dos métodos de processamento.
Disponibilidade – Garantia de que os usuários autorizados

obtenham acesso à informação e aos ativos correspondentes sempre
que necessário.

informação?
34
2/2/2016
Como realizar a análise de riscos?

Dentro de uma análise de riscos, deve-se ter a noção
de dois fatores que influenciam na determinação da
medida de segurança: o grau de impacto que a
ocorrência terá e o nível de exposição causado por
este sinistro.
O grau de impacto ocorre quanto cada área ou a

empresa inteira sofre as conseqüências da falta de
disponibilidade, da integridade ou do caráter
confidencial da informação.
Como realizar a análise de riscos?

O nível de exposição está relacionado com o grau
de risco inerente a cada processo ou produto, ou
seja, está diretamente relacionado com a
probabilidade de ocorrência de um evento
danoso para um determinado ativo.
Como efetuar os controles de acesso

lógico?
• O acesso lógico nada mais é do que um processo
em que um sujeito ativo deseja acessar um
objeto passivo. O sujeito normalmente é um
usuário ou um processo e o objeto pode ser um
arquivo ou outro recurso como memória ou
impressora.
35
2/2/2016
Como efetuar os controles de acesso

lógico?
• O acesso lógico nada mais é do que um processo
em que um sujeito ativo deseja acessar um
objeto passivo. O sujeito normalmente é um
usuário ou um processo e o objeto pode ser um
arquivo ou outro recurso como memória ou
impressora.
Como executar os controles de acesso

lógico?
• Os controles de acesso lógico são, então, um
conjunto de medidas e procedimentos adotados
pela organização ou intrínsecos aos softwares
utilizados, cujo objetivo é proteger dados,
programas e sistemas contra tentativas de acesso
não-autorizadas feitas por usuários ou outros
programas

lógico?
• Vale a pena ressaltar que, mesmo que os controles
de acesso sejam ultra-sofisticados seu ponto fraco
será sempre o usuário.
• Exemplo:
• O compartilhamento de senhas, o descuido na

proteção de informações confidenciais ou a escolha
de senhas facilmente descobertas, por exemplo,
pode comprometer a segurança de informações.
36
2/2/2016

lógico?
• A primeira coisa a fazer quando se trata de
controles de acesso, é determinar o que se
pretende proteger. A seguir, são apresentados
alguns recursos e informações normalmente
sujeitas aos controles

lógico?

lógico?
• Os controles de acesso lógico têm como objetivo garantir que:
• apenas usuários autorizados tenham acesso aos recursos;
• os usuários tenham acesso apenas aos recursos realmente

necessários para a execução de suas tarefas;
• o acesso a recursos críticos seja bem monitorado e restrito a

poucas pessoas;
• os usuários sejam impedidos de executar transações

incompatíveis com sua função ou além de suas
responsabilidades.
37
2/2/2016
Auditoria em
Sistemas de
Informação
Auditoria em Sistemas de Informação

• Quais são as técnicas de auditoria de SI?
• Quais são os controles gerais?
• Quais são os tipos de auditoria de SI?
• Roteiro para avaliação dos controles internos em

auditoria de sistemas?
Quais são as técnicas de auditoria de SI?

• Algumas técnicas usadas em auditorias de sistemas
são comuns a outros tipos de auditoria, como:
▫ entrevista (reunião realizada com os envolvidos com

o ponto auditado, que deve ser documentada);
▫ questionário (conjunto de perguntas que podem ser

aplicadas a muitas pessoas simultaneamente, sem a
presença do auditor);
▫ verificação in loco (observação direta de instalações,

atividades ou produtos auditados).
38
2/2/2016

• Test-deck
• consiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testes
normais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.
• Simulação paralela
• consiste na elaboração de programas de computador para simular as funções da rotina do sistema em
• operação que está sendo auditado. Utiliza-se os mesmos dados da rotina em produção como input do
• programa de simulação.
• Teste de recuperação
• avaliação de um sistema em operação quanto aos procedimentos manuais e/ou automáticos para a
• recuperação e retomada do processamento em situações de falhas. Um exemplo típico é testar para ver
• se o backup funciona.
• Teste de desempenho Verificação de um sistema em operação quanto ao consumo de recursos

computacionais e ao tempo de
• resposta de suas operações (exige instrumentos de monitoração para hardware e software).
• Teste de estresse Avaliação do comportamento de um sistema em operação quando submetido a

condições de funcionamento envolvendo quantidades, volumes e freqüências acima do normal.

• Teste de segurança
• Avaliação dos mecanismos de segurança preventivos, detectáveis e corretivos presentes no sistema.
• Teste de caixa preta

• Método que se concentra nos requisitos funcionais dos programas em operação. Os casos de testes, normalmente derivados
de diferentes condições de entrada, avaliam funções, interfaces, acessos a bancos de dados, inicialização e término do
processamento.
• Mapping, tracing e snapshot

• Métodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para depurá-los
• (debug) após serem executados. São estes:
▫ Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.
▫ Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é, visualizar quais instruções de uma
transação foram executadas e em que ordem.
• Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução, de acordo com condições
preestabelecidas.
• Teste de caixa branca Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes
avaliam decisões lógicas, loops, estruturas internas de dados e caminhos dentro dos módulos.
• ITF – Integrated Test Facility

• Consiste na implementação de rotinas de auditoria específi cas dentro dos programas de um sistema em implantação, que
poderão ser acionadas com dados de teste, em paralelo com os dados reais de produção, sem comprometer os dados de
saída.
Quais são os controles gerais?

• Controles gerais consistem na estrutura,
políticas e procedimentos que se aplicam às
operações do sistema computacional de uma
organização como um todo. Eles criam o
ambiente em que os sistemas aplicativos e os
controles irão operar.
39
2/2/2016

• Controles gerais deficientes acarretam uma
diminuição da confiabilidade a ser atribuída aos
controles das aplicações individuais. Por esta
razão, os controles gerais são normalmente
avaliados separadamente e antes da avaliação
dos controles dos aplicativos que venham a ser
examinados em uma auditoria de sistemas
informatizados.

• São identificadas cinco categorias de controles
gerais que podem ser consideradas em auditoria.
▫ Controles organizacionais - políticas,

procedimentos e estrutura organizacional
estabelecidos para organizar as responsabilidades
de todos os envolvidos nas atividades relacionadas
à área da informática.

• Os elementos críticos para a avaliação dos
controles organizacionais são:
• unidades organizacionais bem definidas, com

níveis claros de autoridade, responsabilidades e
habilidades técnicas necessárias para exercer os
cargos;
40
2/2/2016

• atividades dos funcionários controladas através de
procedimentos documentados de operação e
supervisão e políticas claras de seleção, treinamento
e avaliação de desempenho;
• política de segregação de funções e controles de

acesso para garantir na prática a segregação de
funções;
• recursos computacionais gerenciados para as

necessidades de informação de forma eficiente e
econômica.
Exemplo de estrutura organizacional para o departamento de Tecnologia da Informação (organização de tamanho médio)

b) Programa geral de segurança - oferece estrutura para: (1) gerência do
risco, (2) desenvolvimento de políticas de segurança, (3) atribuição das
responsabilidades de segurança, e (3) supervisão da adequação dos controles
gerais da entidade;
c) Plano de continuidade do negócio - controles que garantam que, na

ocorrência de eventos inesperados, as operações críticas não serão
interrompidas. Elas devem ser imediatamente retomadas e os dados críticos
protegidos.
d) Controle de software de sistema - limita e supervisiona o acesso aos

programas e arquivos críticos para o sistema que controla o hardware e protege
as aplicações presentes.
Exemplo de estrutura organizacional para o departamento de Tecnologia da Informação (organização de tamanho médio)
41
2/2/2016

b) Programa geral de segurança - oferece estrutura para: (1) gerência do
risco, (2) desenvolvimento de políticas de segurança, (3) atribuição das
responsabilidades de segurança, e (3) supervisão da adequação dos controles
gerais da entidade;
c) Plano de continuidade do negócio - controles que garantam que, na

ocorrência de eventos inesperados, as operações críticas não serão
interrompidas. Elas devem ser imediatamente retomadas e os dados críticos
protegidos.
d) Controle de software de sistema - limita e supervisiona o acesso aos

programas e arquivos críticos para o sistema que controla o hardware e protege
as aplicações presentes.

São exemplos de software de sistema:
• Software de sistema operacional;

• Utilitários de sistema;
• Sistemas de bibliotecas de programas;
• Software de manutenção de arquivos;
• Software de segurança;
• Sistemas de comunicação de dados;
• Sistemas de gerência de base de dados (SGBD).

O controle sobre o acesso e a alteração do software de
sistema é essencial para oferecer uma garantia razoável de
que os controles de segurança baseados no sistema
operacional não estão comprometidos, prejudicando o bom
funcionamento do sistema computacional como um todo.
Os controles de software de sistema são avaliados por meio

dos seguintes elementos críticos:
• acesso limitado ao software de sistema;

• acesso e uso supervisionado do software de sistema;
• controle das alterações do software de sistema.
42
2/2/2016

Controles de acesso - limitam ou detectam o acesso a
recursos computacionais (dados, programas, equipamentos
e instalações), protegendo estes recursos contra modificação
não-autorizada, perda e divulgação de informações
confidenciais.
Os controles de acesso têm o propósito de oferecer uma

garantia razoável de que os recursos computacionais
(arquivos de dados, programas aplicativos, instalações e
equipamentos relacionados aos computadores) estão
protegidos contra modificação ou divulgação não-
autorizada, perda ou dano.

Os elementos críticos que determinam a adequação dos
controles de acesso são:
• classificação dos principais recursos de informação de acordo com

sua importância e vulnerabilidade;
• manutenção de lista atualizada de usuários autorizados e seu nível de

acesso;
• implantação de controles lógicos e físicos para prevenir ou detectar

acesso não autorizado;
• supervisão do acesso, investigação de indícios de violação da

segurança e adoção das medidas corretivas apropriadas.
Quais são os tipos de auditoria de SI?

• Auditoria de software aplicativo
▫ Software aplicativos são aqueles projetados para
executar determinado tipo de operação, a exemplo
do cálculo da folha de pagamento ou de controle
de estoque.
43
2/2/2016

• Controles de aplicativos
• São aqueles incorporados diretamente em programas aplicativos,
nas três áreas de operação (entrada, processamento e saída de
dados), com o objetivo de garantir um processamento confiável e
acurado.
• Sem um controle de aplicativo apropriado, existe o risco de que

características de segurança possam se omitidas ou contornadas,
intencionalmente ou não, e que processamentos errôneos ou
códigos fraudulentos sejam introduzidos. Por exemplo: um
programador pode modificar códigos de programas para desviar dos
controles e obter acesso a dados confidenciais; a versão errada de
um programa pode ser implementada, causando processamentos
errados ou desatualizados; um vírus pode se introduzido,
prejudicando o processamento.

• A autorização para entrada de dados
• Nem sempre é possível ter procedimentos de autorização antes da entrada

de dados. Em sistemas de entrada de dados on-line, são indispensáveis as
rotinas de validação de dados para compensar a ausência da autorização. O
sistema deve checar automaticamente se o usuário está cadastrado para
usar aquele aplicativo e se os dados por ele preenchidos satisfazem certas
condições. A organização deve estabelecer rotinas que impeçam o uso não-
autorizado ou indevido de microcomputadores ou terminais durante a
entrada de dados.
• Controles do processamento de dados
• Os controles de processamento devem assegurar que todos os dados de

entrada sejam processados e que o aplicativo seja executado com sucesso,
usando os arquivos de dados, as rotinas de operação e a lógica de
processamento corretos.

• Controles de entrada de dados
• São projetados para garantir que os dados sejam convertidos para
um formato padrão e inseridos na aplicação de forma precisa,
completa e tempestiva. Os controles de entrada de dados devem
detectar transações não-autorizadas, incompletas, duplicadas ou
errôneas, e assegurar que sejam controladas até serem corrigidas.
• Controles da saída de dados

• Controles da saída são utilizados para garantir a integridade e a
correta e tempestiva distribuição dos dados de saídas.
• A principal preocupação com a saída de dados consiste na restrição

do acesso a informações sigilosas às pessoas autorizadas. Os
controles devem proteger cópias em papel ou meio magnético,
impressão local e remota, armazenagem, transmissão dos dados.
44
2/2/2016

• Auditoria do desenvolvimento de sistemas
• A auditoria do desenvolvimento de sistemas objetiva
avaliar a adequação das metodologias e procedimentos
de projeto, desenvolvimento, implantação e revisão pós-
implantação dos sistemas produzidos dentro da
organização auditada.
• Esta avaliação pode abranger apenas o ambiente de

desenvolvimento da organização ou prever também a
análise do processo de desenvolvimento de um sistema
específico, ainda na fase de planejamento, já em
andamento ou após sua conclusão.

• Auditoria do desenvolvimento de sistemas
• A auditoria do desenvolvimento de sistemas objetiva
avaliar a adequação das metodologias e procedimentos
de projeto, desenvolvimento, implantação e revisão pós-
implantação dos sistemas produzidos dentro da
organização auditada.
• Esta avaliação pode abranger apenas o ambiente de

desenvolvimento da organização ou prever também a
análise do processo de desenvolvimento de um sistema
específico, ainda na fase de planejamento, já em
andamento ou após sua conclusão.

• Auditoria de banco de dados
• Tradicionalmente, o termo banco de dados foi usado

para descrever um arquivo contendo dados acessíveis
por um ou mais programas ou usuários. Os arquivos de
dados eram designados para aplicações específicas e o
programa era projetado para acessá-los de uma forma
predeterminada.
• Exemplo: Garantir que o banco de dados está íntegro.
45
2/2/2016

• Auditoria de redes de computadores
• Atualmente, é bastante comum que os usuários de um

sistema estejam em um local diferente de onde se
encontram os recursos computacionais da organização.
Isto torna necessário o uso de mecanismos de transporte
de informações entre diferentes computadores e entre
computadores e seus periféricos.

• Para o bom funcionamento da comunicação de dados são usados:
• Arquivo log de comunicações, onde ficam registrados todos os

blocos transmitidos correta e incorretamente para efeito estatístico
e para tentativas de recuperação de dados transmitidos;
• Software de comunicação de dados para verificação de protocolo de

transmissão, gravação do arquivo log de transações e para
codificação de sinais de comunicação;
• Protocolo de transmissão que garante a recepção correta do bloco de

informações transmitidas;
• Software ou hardware para a realização de codificação e

• decodificação das informações transmitidas.

• Exemplos de componentes de rede que podem ser usados para
limitar o acesso incluem gateways ou firewalls (dispositivos que
restringem acesso entre redes, importantes para reduzir o risco
associado ao uso da internet); monitores de teleprocessamento
(programas incorporados ao sistema operacional dos computadores
para limitar o acesso) e dispositivos de proteção dos canais de
comunicação.
46
2/2/2016

• Além dos riscos associados à facilidade de acesso
a dados e programas, a auditoria das redes de
comunicação de computadores deve contemplar
os riscos relativos à operação incorreta do
sistema, perda de informações que podem
causar dano ou prejuízo à organização em
função do ambiente de rede.

A auditoria de redes de comunicação deve abranger os seguintes
elementos críticos:
• Gerência de rede - devem existir procedimentos e políticas

para auxiliar a gerência do ambiente de rede e padrões
definidos para controle do hardware envolvidos;
• Segurança dos dados e da rede - devem existir

mecanismos de controle de hardware e software que
garantam a segurança e integridade dos dados mantidos no
ambiente de rede e dos recursos físicos que a compõem; bem
como limitem e controlem o acesso a programas e dados;

• Operação da rede - a organização deve oferecer
condições para uma operação eficiente da rede,
incluindo normas e procedimentos de treinamento de
pessoal, execução de cópias de segurança, avaliação da
eficiência do serviço e rotinas de recuperação da rede
após interrupções inesperadas;
• Software de rede - a gerência de rede deve monitorar

e controlar o software de comunicação e o sistema
operacional instalado.
47
2/2/2016

• Auditoria de microcomputadores
• Normalmente são chamados microcomputadores os

computadores de mesa que compreendem um
processador, disco rígido e flexível, monitor e teclado. Os
microcomputadores podem ser utilizados isoladamente
ou estar conectados a uma rede, com o propósito de
compartilhar dados ou periféricos.

Os elementos críticos para a auditoria dos microcomputadores são:
• Controles do software em uso - destinados a garantir

consistência da operação dos softwares instalados nos
microcomputadores, impedindo a instalação de programas não-
autorizados, sua alteração indevida, etc.,
• Segurança - controla o acesso a recursos computacionais, dados e

programas, protegendo-os contra alterações indevidas, furtos,
divulgação de documentos sigilosos, etc.
• Controles sobre a operação - protegem os recursos de

microinformática contra prejuízos e danos causados por falta de
treinamento de pessoal e de manutenção adequada.

Os elementos críticos para a auditoria dos microcomputadores são:
• Controles do software em uso - destinados a garantir

consistência da operação dos softwares instalados nos
microcomputadores, impedindo a instalação de programas não-
autorizados, sua alteração indevida, etc.,
• Segurança - controla o acesso a recursos computacionais, dados e

programas, protegendo-os contra alterações indevidas, furtos,
divulgação de documentos sigilosos, etc.
• Controles sobre a operação - protegem os recursos de

microinformática contra prejuízos e danos causados por falta de
treinamento de pessoal e de manutenção adequada.
48
2/2/2016
Roteiro para avaliação dos controles

internos em auditoria de sistemas?
• Avaliação dos controles gerais
• O auditor deve avaliar se dentro do departamento de tecnologia da
informação (DTI) existem unidades organizacionais bem definidas e
com suas funções claras.
• Como parâmetro para o DTI, foram definidas:

• Cada Unidade dentro do DTI definiu seus principais objetivos e padrões de
desempenho.
• Cada Unidade dentro do DTI definiu os diversos níveis de autoridade, as
responsabilidades de cada cargo e as habilidades técnicas necessárias para
exercê-los.
• Os funcionários do DTI exercem atividades compatíveis com as
estabelecidas formalmente pela organização.
• Os funcionários do DTI possuem capacitação técnica compatível com o
previsto no respectivo plano de cargos.

• Atividades dos funcionários são controladas e a política de seleção
clara.
• Treinamento e avaliação de desempenho são políticas na área de

capacitação.
• Existem instruções documentadas para o desempenho das

atividades dentro do DTI, que são seguidas pelos funcionários.
• Existem manuais de instrução que indicam como operar softwares

de sistema e aplicativos.
• O pessoal técnico tem supervisão adequada, inclusive nas trocas de
turno de operação de computadores.

• As atividades dos operadores do sistema computacional são
automaticamente armazenadas em registros históricos de operação.
• Supervisores revisam periodicamente os registros históricos de

operação e investigam qualquer anormalidade.
• Há um planejamento das necessidades de pessoal especializado e

existem políticas definidas, métodos e critérios para o
preenchimento de vagas que permitam aferir as reais habilidades
técnicas dos pretendentes.
49
2/2/2016

• Existe um programa de treinamento de pessoal na área de
tecnologia da informação, com recursos suficientes para capacitar o
pessoal técnico.
• Existe um programa de avaliação de desempenho eficaz.

• Os riscos são periodicamente avaliados, de acordo com políticas
documentadas para esta avaliação.
• As avaliações do risco são realizadas por pessoal suficientemente

independente (não diretamente responsável pelas questões de segurança),
sendo revistas toda vez que algum sistema, instalação ou outra condição se
altere.
• A avaliação do risco leva em conta a vulnerabilidade inerente aos dados e o

risco adicional, acrescentado pelos diversos caminhos de acesso passíveis de
utilização por usuários e estranhos não-autorizados.
• As avaliações gerais de risco mais recentes estão de acordo com as políticas

estabelecidas e atendem aos demais requisitos acima indicados.

O auditor, neste momento, deve questionar se o plano de segurança:
• Foi documentado e aprovado pela alta gerência e pelos setores

afetados;
• Cobre todas as instalações e operações essenciais;
• É mantido atualizado, com revisões periódicas e ajustes que reflitam

as mudanças nas condições de operação e nos riscos;
• Estabelece uma estrutura de gerência de segurança com

independência, autoridade e conhecimento sufi cientes;
50
2/2/2016

• Prevê a existência de gerentes de segurança dos sistemas de
informação tanto em nível geral quanto nos níveis subordinados;
• Identifica precisamente o proprietário de cada recurso

computacional e os responsáveis pela gerência do acesso a estes
recursos;
• Defi ne as responsabilidades de segurança nos seguintes

• níveis: (1) proprietários e usuários dos recursos de informação; (2)
pessoal de processamento de dados; (3) alta gerência; e (4)
administradores de segurança; É periodicamente revisto e
atualizado.

• Deve existir um programa de treinamento sobre
as políticas de segurança que inclua treinamento
inicial de todos os novos funcionários e usuários
a respeito das normas de segurança para uso dos
recursos computacionais.

• Controles gerais: planejamento da continuidade
do negócio
• Avaliação da vulnerabilidade das operações
computadorizadas e identificação dos recursos que as
apoiam. A organização preparou uma lista de dados,
operações e sistemas críticos que:
▫ informa a prioridade de cada item;

▫ foi aprovada pelos gestores responsáveis;
▫ reflete a situação atual dos recursos computacionais.
51
2/2/2016

• Os processos de transferência e demissão incluem
procedimentos de segurança, tais como:
• devolução de crachás, chaves, passes de

identificação,etc.;
• notificação da gerência de segurança para a pronta
desativação de senhas de acesso;
• imediata retirada do funcionário do local de trabalho;
• definição do período em que o funcionário afastado
ficará sujeito à guarda do sigilo das informações
confidenciais às quais teve acesso.

• Por exemplo, cópias de segurança dos arquivos e
da documentação dos sistemas são
providenciadas e deslocadas para um local de
armazenamento externo, com frequência sufi
ciente para evitar problemas em caso de perda
ou dano dos arquivos em uso.

• O local de armazenamento externo está localizado geograficamente
distante da sede da organização e é protegido por controles
ambientais e controles de acesso físico.
• Dispositivos de supressão e prevenção de incêndio foram instalados

e estão em funcionamento (detectores de fumaça, extintores de
incêndio, etc.).
• Controles físicos foram implementados para evitar outros desastres,

tais como inundação, elevação excessiva da temperatura, etc. Os
controles físicos são periodicamente testados.
52
2/2/2016

• Controles gerais: controle de acesso
• Existem políticas e procedimentos documentados para a
classificação dos principais recursos de informação pelos critérios
de importância e vulnerabilidade dos dados.
• As autorizações de acesso são: documentadas e mantidas em

arquivo organizado; aprovadas pelo proprietário do recurso
computacional; transmitidas para os gerentes de segurança de uma
forma protegida.
• As autorizações de acesso temporárias são: documentadas e

mantidas em arquivo; aprovadas pela gerência encarregada;

• Controles lógicos sobre arquivos de dados e programas de
Software
• Aqui o auditor tem que verificar se:
▫ softwares de segurança são usados para restringir o acesso aos arquivos

de dados e programas;
▫ o acesso ao software de segurança é restrito aos administradores de
segurança;;

• as sessões de acesso a sistemas, via terminais de computadores, são
terminadas automaticamente após um período de inatividade do
operador;
• os responsáveis pela administração da segurança configuram o

software de segurança para restringir o acesso não-autorizado a
arquivos de dados, bibliotecas de dados, procedimentos de operação
em lote (batch), bibliotecas de códigos fonte, arquivos de segurança
e arquivos de sistema operacional. Testar os controles tentando
obter acesso a arquivos restritos.
53
2/2/2016

• Controles lógicos sobre a base de dados
• Controles sobre os gerenciadores de banco de dados (SGBD ou

• DBMS) e dicionários de dados foram implementados para:
▫ restringir o acesso a arquivos de dados nos níveis de leitura de dados,

campos, etc.;
▫ controlar o acesso ao dicionário de dados usando perfis de segurança e
senhas;

• manter trilhas de auditoria que permitam supervisionar mudanças
nos dicionários de dados;
• prever formas de pesquisa e atualização de funções de aplicativos, funções
de SGBD e dicionário de dados.

• manter trilhas de auditoria que permitam supervisionar mudanças
nos dicionários de dados;
• prever formas de pesquisa e atualização de funções de aplicativos, funções
de SGBD e dicionário de dados.
54
2/2/2016

• Existem políticas e procedimentos atualizados para a restrição
do acesso ao software de sistema? Ex: Qualquer um tem acesso ao
sistema de folha de pagamento ?
• Existem políticas e procedimentos documentados e atualizados para o uso

de utilitários do software de sistema? Ex: posso instalar um antivírus
qualquer ?
• Existem políticas e procedimentos atualizados para identifi car,

selecionar, instalar e modifi car o software de sistema, bem como
identifi car, documentar e solucionar problemas com este software?

• Existem políticas e procedimentos atualizados para a restrição
do acesso ao software de sistema? Ex: Qualquer um tem acesso ao
sistema de folha de pagamento ?
• Existem políticas e procedimentos documentados e atualizados para o uso

de utilitários do software de sistema? Ex: posso instalar um antivírus
qualquer ?
• Existem políticas e procedimentos atualizados para identifi car,

selecionar, instalar e modifi car o software de sistema, bem como
identifi car, documentar e solucionar problemas com este software?

• Verificar se o DTI possui políticas, procedimentos e padrões
documentados, atualizados e divulgados para o pessoal responsável,
cobrindo as seguintes áreas:
▫ descrição resumida de cada aplicativo rodando na rede;

▫ procedimentos de operação (tais como startup e shutdown);
▫ gerência de fitas e discos;
▫ cópias de segurança (backup);
▫ procedimentos de emergência;
▫ planejamento de contingência.
55
2/2/2016
Agora vamos para prática!
Desenvolveremos um roteiro de auditoria em uma

empresa que acaba de ser informatizada. Grupos 4
pessoas máx.
rentorres@gmail.com
Renato Cristiano Torres
56

Auditoria de Sistemas Informatizados

Enviado por

Dados do documento

Descrição:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Descrição:

Direitos autorais:

Formatos disponíveis

Auditoria de Sistemas Informatizados

Enviado por

Descrição:

Direitos autorais:

Formatos disponíveis

2/2/2016

Desenvolver habilidades para realização de

• Conhecer a organização de um trabalho de auditoria.

• Conhecer os diversos componentes de uma política de

• Identificar a necessidade e as características de um plano de

• Identificar os passos necessários de um trabalho deauditoria

Política de segurança de informações

Plano de contingência e de continuidade de negócios

Auditoria de sistemas informação

Introdução à auditoria de sistemas informatizados

• Evolução dos sistemas computacionais e de segurança da

• Conceitos básicos da auditoria

• Tipo da auditoria objeto deste estudo

• Por que auditar?

• Quais são os desafios éticos da auditoria de

Evolução dos sistemas computacionais e dos

• Isto fez com que as empresas se preocupassem

Evolução dos sistemas computacionais e dos

• Com a chegada dos computadores pessoais e das

• Os aspectos de segurança atingiram tamanha

Evolução dos sistemas computacionais e dos

• A segurança da informação tornou-se

• Exemplo: Vendas, Transações Bancárias

Evolução dos sistemas computacionais e dos

Evolução dos sistemas computacionais e dos

• Um modelo de segurança eficiente e universal

• Mas, quais são as ameaças ?

Evolução dos sistemas computacionais e dos

Evolução dos sistemas computacionais e dos

• Problemas de quebra de confidência, por

Evolução dos sistemas computacionais e dos

• Problemas de disponibilidade podem ter

Evolução dos sistemas computacionais e dos

• Problemas de integridade, causados por

Evolução dos sistemas computacionais e dos

• A invasão da página de Internet de uma

Quais são os conceitos básicos da auditoria?

• O campo compõe-se de aspectos como: objeto,

• O objeto é definido como o “alvo” da auditoria,

• Período a ser fiscalizado pode ser um mês, um ano

Quais são os conceitos básicos da auditoria?

• O âmbito da auditoria pode ser definido como a

• A área de verificação pode ser conceituada como

Quais são os conceitos básicos da auditoria?

• A auditoria é uma atividade que engloba o

Quais são os conceitos básicos da auditoria?

▫ Preventivos usados para prevenir fraudes, erros ou

▫ Detectivos usados para detectar fraudes, erros, vulnerabilidades

▫ Corretivos usados para corrigir erros ou reduzir impactos

Quais são os conceitos básicos da auditoria?

• O que precisa ser controlado ?

• Em geral, é um check-list que contempla os itens a

▫ Exemplo: Acesso a sala de servidores, uso de senhas,

Quais são os conceitos básicos da auditoria?

• Os chamados “achados” de auditoria são fatos

• Apesar de que geralmente são associados a

Quais são os conceitos básicos da auditoria?

• Os chamados “achados” de auditoria são fatos

• Apesar de que geralmente são associados a

Quais são os conceitos básicos da auditoria?

• Os papéis de trabalho são registros que evidenciam