A auditoria de sistemas de

informação ajuda a
identificar riscos de
segurança, fraquezas nos
controlos internos e
oportunidades de melhoria,
contribuindo para a
protecção dos activos de
informação e a eficácia das
operações da organização.

AUDITORIA
INFORMÁTICA
Objectivos da Auditoria
Informática

Bruno Gamito
 Elaborado por: Bruno Gamito, MsC.

Disciplina: Auditoria Informática H.C.: 2 H.E.I.: 2

H.C. – Horas de Contacto
H.E.I – Horas de Estudo Independente

Tópico 1: Objectivos da Auditoria

Objectivos

• Compreender o conceito de auditoria.

• Entender as práticas de auditoria em relação aos sistemas de
informação.
• Aprender como auditar processos de negócios para garantir a
efectividade dos sistemas de informação.
• Conhecer os controlos internos utilizados para gerenciar riscos de
segurança da informação.
• Identificar padrões e regulamentos relacionados à auditoria de sistemas
de informação.
• Desenvolver habilidades em auditoria e garantir a efectividade dos
sistemas de informação.

Apresentação do conceito de auditoria e sistemas de

informação

Auditoria:
A auditoria é um processo de exame sistemático e independente das
actividades, registos, operações, transacções e demonstrações
financeiras de uma organização. Seu objectivo principal é avaliar a
conformidade com políticas, procedimentos, leis e regulamentos
aplicáveis, bem como a precisão e integridade das informações
financeiras e operacionais. A auditoria pode ser interna ou externa,
dependendo se é conduzida por membros da organização ou por
auditores independentes.

Sistemas de Informação:
Os sistemas de informação são conjuntos organizados de hardware,
software, dados, procedimentos e pessoas que colectam, processam,
armazenam e distribuem informações para apoiar a tomada de decisões
e as operações de uma organização. Eles desempenham um papel
crucial na colecta e geração de dados que são usados durante os
processos de auditoria.
1
 Elaborado por: Bruno Gamito, MsC.

Relação entre Auditoria e Sistemas de Informação:

A auditoria e os sistemas de informação estão intrinsecamente
relacionados, pois os sistemas de informação desempenham um papel
fundamental na preparação e apresentação das informações que os
auditores analisam. Aqui estão algumas maneiras pelas quais eles estão
interligados:

✓ Avaliação de Controlos Internos: Os sistemas de informação incluem

controlos internos que garantem a precisão e integridade dos dados. Os
auditores avaliam esses controlos para determinar a confiabilidade das
informações produzidas pelo sistema.

✓ Testes de Transacções: Os auditores usam sistemas de informação

para aceder e revisar transacções passadas e actuais. Eles podem
realizar testes para verificar se as transacções estão em conformidade
com as políticas e regulamentos da organização.

✓ Análise de Dados: Ferramentas de análise de dados são

frequentemente usadas pelos auditores para identificar padrões,
tendências e anomalias nos dados colectados pelos sistemas de
informação. Isso ajuda a identificar possíveis problemas ou áreas de
risco.

✓ Auditoria de Sistemas de Informação: Além da auditoria financeira,

há também a auditoria de sistemas de informação, que se concentra na
avaliação da segurança e eficiência dos sistemas de informação da
organização. Isso inclui a revisão de controlos de acesso, políticas de
segurança cibernética e a protecção dos dados.

✓ Evidência Documental: Os sistemas de informação também

desempenham um papel na geração de evidências documentais que os
auditores usam para apoiar suas conclusões e relatórios de auditoria.

Em resumo, a auditoria e os sistemas de informação trabalham juntos para

garantir que as informações usadas para tomada de decisões e relatórios
financeiros sejam precisas, confiáveis e estejam em conformidade com as
regulamentações aplicáveis. A integração eficaz desses dois campos é
essencial para a transparência e a boa governança nas organizações.

2
 Elaborado por: Bruno Gamito, MsC.

Introdução das práticas de auditoria relacionadas a sistemas

de informação

A auditoria informática (conhecida também de sistemas de informação) é uma

disciplina crítica que se concentra na avaliação da segurança, eficácia e
conformidade dos sistemas de informação de uma organização. Com o
crescente papel da tecnologia da informação (TI) nas operações empresariais,
a auditoria de sistemas de informação tornou-se fundamental para garantir a
integridade dos dados, a protecção das informações confidenciais e a
conformidade com regulamentos e normas.

Esta forma especializada de auditoria envolve a revisão detalhada dos

sistemas, processos e controlos de TI para identificar riscos, falhas de
segurança, lacunas de conformidade e oportunidades de melhoria. Aqui estão
alguns conceitos-chave e práticas associados à auditoria de sistemas de
informação:

✓ Controlos de Segurança: Os auditores de sistemas de informação

analisam os controlos de segurança implementados em sistemas, redes
e aplicativos para garantir que os dados da organização estejam
protegidos contra acessos não autorizados, ataques cibernéticos e
vazamentos de informações.

✓ Conformidade Regulatória: As auditorias de sistemas de informação

asseguram que a organização está aderindo a regulamentações
específicas da indústria, leis de privacidade e normas de segurança de
TI. Isso é crucial para evitar multas e sanções legais.

✓ Avaliação de Vulnerabilidades: Os auditores identificam e avaliam

vulnerabilidades em sistemas e redes que poderiam ser exploradas por
atacantes. Isso inclui a análise de políticas de senhas fracas, sistemas
desactualizados e configurações inadequadas.

✓ Testes de Penetração: Em alguns casos, os auditores realizam testes

de penetração para simular ataques cibernéticos e avaliar a resistência
dos sistemas. Isso ajuda a identificar fraquezas e aprimorar a postura
de segurança.
✓ Análise de Políticas e Procedimentos: Os auditores revisam políticas
de segurança, procedimentos operacionais e planos de continuidade de
negócios para garantir que estejam alinhados com as melhores práticas
de TI e com as metas da organização.

3
 Elaborado por: Bruno Gamito, MsC.

✓ Avaliação de Recuperação de Desastres: A auditoria verifica se a

organização possui planos eficazes de recuperação de desastres e
continuidade de negócios, garantindo que os sistemas possam ser
restaurados em caso de interrupções graves.

✓ Auditoria de Dados: Os auditores examinam a integridade,

confiabilidade e precisão dos dados armazenados nos sistemas de
informação, garantindo que sejam adequados para tomada de decisões.

✓ Treinamento e Conscientização: A auditoria avalia a eficácia dos

programas de treinamento e conscientização em segurança da
informação para garantir que os funcionários estejam cientes das
ameaças cibernéticas e saibam como se proteger.

Em um ambiente empresarial cada vez mais digital, a auditoria de sistemas

de informação desempenha um papel vital na protecção dos activos de
informação e na garantia da continuidade dos negócios. Ela ajuda a identificar
áreas de risco e a implementar medidas de segurança proactivas, contribuindo
para a eficiência e a segurança das operações da organização.

Discussão de processos de negócios e práticas de auditoria

Processos de Negócios:
Os processos de negócios são os procedimentos e actividades
organizacionais que transformam insumos (como informações, recursos
e materiais) em produtos ou serviços que agregam valor aos clientes e
atingem os objectivos da organização. Eles podem ser divididos em
processos principais, de suporte e de gestão, dependendo de sua função
dentro da empresa.

A eficiência e eficácia dos processos de negócios são essenciais para o

sucesso de uma organização. Processos bem definidos e optimizados
podem resultar em maior produtividade, menor desperdício de recursos
e maior satisfação do cliente.

Práticas de Auditoria em Processos de Negócios:

As práticas de auditoria em processos de negócios envolvem a revisão e
avaliação dos procedimentos, controlos e desempenho dos processos
organizacionais. Essas práticas têm como objectivo identificar áreas de
melhoria, riscos operacionais, fraquezas nos controlos internos e
oportunidades para aumentar a eficiência e eficácia dos processos. Aqui

4
 Elaborado por: Bruno Gamito, MsC.

estão alguns pontos-chave relacionados a práticas de auditoria em

processos de negócios:

✓ Avaliação de Controlos Internos: Os auditores examinam os controlos

internos implementados nos processos para garantir que eles estejam
funcionando conforme o planeado. Isso inclui verificações de
conformidade com políticas e regulamentos, segregação de funções e
autorizações adequadas.

✓ Identificação de Riscos: Os auditores analisam os processos para

identificar possíveis riscos operacionais, como erros, fraudes ou atrasos.
Eles também consideram riscos externos, como mudanças regulatórias
que possam afectar os processos.

✓ Eficiência Operacional: A auditoria avalia a eficiência dos processos,

buscando oportunidades de simplificação, automação ou optimização
que possam reduzir custos ou acelerar a entrega de produtos ou
serviços.

✓ Medição de Desempenho: Os auditores revisam as métricas e

indicadores de desempenho associados aos processos para garantir que
sejam relevantes, precisos e que proporcionem informações úteis para
a gestão.

✓ Conformidade Regulatória: As práticas de auditoria também avaliam

se os processos estão em conformidade com as leis, regulamentos e
normas relevantes para o sector da organização.

✓ Recomendações para Melhorias: Com base nas descobertas da

auditoria, os auditores podem fazer recomendações para melhorar os
processos, fortalecer os controlos internos ou implementar melhores
práticas.

Em resumo, as práticas de auditoria em processos de negócios desempenham

um papel crucial na garantia da eficiência operacional, conformidade
regulatória e mitigação de riscos. Ao identificar áreas de melhoria nos
processos, a auditoria contribui para o aprimoramento contínuo da
organização e para a maximização do valor entregue aos clientes e partes
interessadas.

5
 Elaborado por: Bruno Gamito, MsC.

Identificar os controlos internos utilizados para gerenciar

riscos de segurança da informação

Políticas de Segurança da Informação:

Estabelecimento de políticas claras e abrangentes que definem as
directrizes e responsabilidades relacionadas à segurança da informação.
Isso inclui políticas de senha, controlo de acesso, criptografia, e uso
adequado de recursos de TI.

Controlo de Acesso:
Implementação de mecanismos de controlo de acesso, como
autenticação de utilizador, autorização e autenticação de dois factores
(2FA), para garantir que apenas pessoas autorizadas tenham acesso aos
sistemas e dados.

Gestão de Identidade e Acesso (IAM):

Utilização de sistemas de IAM para gerenciar de forma centralizada as
identidades dos utilizadores, suas permissões e acesso aos recursos da
organização.

Auditoria e Monitoramento:
Implementação de ferramentas de monitoramento de segurança, como
sistemas de detecção de intrusões (IDS) e sistemas de informação de
segurança (SIEM), para rastrear actividades suspeitas e eventos de
segurança.

Criptografia de Dados:
Criptografia de dados confidenciais em repouso (armazenados) e em
trânsito (durante a transferência), garantindo que mesmo se alguém
obtiver acesso, os dados permaneçam ilegíveis.

Gestão de Incidentes de Segurança:

Desenvolvimento de planos de resposta a incidentes e procedimentos
para lidar com violações de segurança, incluindo a notificação adequada
às autoridades e partes interessadas.
Actualizações e Patches de Segurança:
Garantir que todos os sistemas e softwares sejam regularmente
actualizados com patches de segurança para proteger contra
vulnerabilidades conhecidas.

6
 Elaborado por: Bruno Gamito, MsC.

Treinamento e Conscientização:
Educação dos funcionários sobre boas práticas de segurança, ameaças
cibernéticas e como reconhecer tentativas de phishing ou outros
ataques.

Segregação de Deveres:
Separar as funções e permissões de forma que nenhum indivíduo tenha
acesso a todos os aspectos críticos de um sistema, reduzindo o risco de
abuso ou erro.

Políticas de Backup e Recuperação de Dados:

Implementar procedimentos de backup regulares e testar a restauração
de dados para garantir a disponibilidade de informações essenciais em
caso de falhas ou ataques.

Políticas de Retenção de Dados:

Definir políticas para a retenção e destruição segura de informações
para minimizar o risco de exposição de dados sensíveis.

Avaliações de Risco:
Realização de avaliações periódicas de risco para identificar ameaças
emergentes e garantir que os controlos de segurança sejam apropriados
e eficazes.

Controlos Físicos:
Implementar controlos físicos, como protecção de acesso às instalações
e salas de servidores, para proteger a infraestrutura de TI.

Criptografia de Comunicações:
Utilização de protocolos seguros, como HTTPS e VPNs, para proteger a
comunicação entre sistemas e redes.

Testes de Penetração e Auditorias de Segurança:

Realização de testes de penetração e auditorias de segurança regulares
para identificar vulnerabilidades e verificar a eficácia dos controlos.
Esses são apenas alguns exemplos de controlos internos que uma organização
pode implementar para gerenciar os riscos de segurança da informação. A
escolha dos controlos específicos depende das necessidades da organização,
do ambiente de ameaças e dos requisitos regulatórios aplicáveis. O objectivo
é criar uma estrutura sólida que proteja os activos de informação e minimize
os riscos de violações de segurança.

7
 Elaborado por: Bruno Gamito, MsC.

Padrões e regulamentos relacionados à auditoria de sistemas

de informação

ISO 27001 - Sistema de Gestão de Segurança da Informação:

A ISO 27001 é uma norma internacional que estabelece directrizes para
a implementação de um Sistema de Gestão de Segurança da Informação
(SGSI). Ela fornece um conjunto abrangente de controlos e práticas
recomendadas para proteger a confidencialidade, integridade e
disponibilidade das informações em uma organização. Os auditores de
sistemas de informação frequentemente usam a ISO 27001 como
referência ao avaliar a segurança da informação em uma organização.

NIST Cybersecurity Framework:

O Framework de Cibersegurança do NIST (Instituto Nacional de Padrões
e Tecnologia dos EUA) é uma estrutura que oferece orientações para
ajudar as organizações a gerenciar e reduzir os riscos de
cibersegurança. Ele inclui categorias de segurança, práticas
recomendadas e directrizes para melhorar a postura de segurança de
uma organização. Os auditores podem usar o NIST Cybersecurity
Framework para avaliar a conformidade com práticas de segurança
reconhecidas internacionalmente.

COBIT (Control Objectives for Information and Related Technologies):

O COBIT é um conjunto de melhores práticas de governança e gestão de
TI. Ele ajuda as organizações a alcançar seus objectivos estratégicos,
garantindo o uso eficaz dos recursos de TI e a gestão de riscos
relacionados à TI. O COBIT inclui um framework que abrange processos
de TI, controlos e métricas de desempenho. Os auditores podem usar o
COBIT para avaliar a governança e os controlos de TI em uma
organização.

PCI DSS (Padrão de Segurança de Dados para a Indústria de Cartões de

Pagamento):
O PCI DSS é um conjunto de requisitos de segurança de dados
desenvolvido para proteger informações de cartões de pagamento. Ele
se aplica a organizações que processam, armazenam ou transmitem
dados de cartões de pagamento. Os auditores podem avaliar a
conformidade com o PCI DSS para garantir que as organizações estejam
protegendo adequadamente informações sensíveis de cartões de
pagamento.

8
 Elaborado por: Bruno Gamito, MsC.

Leis de Privacidade de Dados:

A lei foi aprovada pelo parlamento em Julho de 2019, impõem requisitos
rigorosos para o tratamento de dados pessoais. Os auditores de
sistemas de informação podem avaliar a conformidade com essas leis
para garantir que as organizações estejam protegendo a privacidade dos
dados pessoais dos indivíduos.

Regulamentações Sectoriais:
Em muitas indústrias, existem regulamentações específicas
relacionadas à segurança da informação. Por exemplo, o sector de saúde
nos Estados Unidos está sujeito à Lei de Portabilidade e
Responsabilidade de Seguro de Saúde (HIPAA), que impõe requisitos de
segurança de dados para proteger informações de saúde. Os auditores
podem avaliar a conformidade com regulamentações específicas do
sector, quando aplicáveis.

Esses são alguns dos padrões e regulamentos relevantes para a auditoria de

sistemas de informação. É importante que os auditores estejam cientes das
regulamentações específicas que se aplicam a uma organização e usem esses
padrões como referência ao avaliar a conformidade e a eficácia dos controlos
de segurança da informação.

Desenvolvimento de habilidades em auditoria garantindo a efectividade

dos sistemas de informação

Desenvolver habilidades em auditoria para garantir a efectividade dos

sistemas de informação é crucial, pois a segurança e o desempenho dos
sistemas desempenham um papel fundamental nas operações e na protecção
de informações críticas de uma organização. Aqui estão algumas etapas para
desenvolver essas habilidades:
Educação e Formação:
Comece pela educação formal em auditoria e sistemas de informação.
Considere cursos, workshops e certificações relevantes, como Certified
Information Systems Auditor (CISA) ou Certified Information Security
Manager (CISM).

Compreensão dos Fundamentos de TI:

Desenvolva uma sólida compreensão dos conceitos de tecnologia da
informação, redes, sistemas operativos, bases de dados e
desenvolvimento de software. Isso é fundamental para avaliar a
segurança e a efectividade dos sistemas.

9
 Elaborado por: Bruno Gamito, MsC.

Conhecimento dos Padrões e Regulamentos:

Estude os padrões e regulamentos relevantes à auditoria de sistemas de
informação, como ISO 27001, NIST Cybersecurity Framework, COBIT,
e regulamentações de privacidade de dados, como o GDPR e LGPD.

Experiência Prática:
Ganhe experiência prática trabalhando com sistemas de informação e
TI em diferentes capacidades, como administrador de sistemas, analista
de segurança ou desenvolvedor. Isso ajudará a compreender as
complexidades do ambiente de TI.

Aprimore Habilidades de Comunicação:

A capacidade de se comunicar efectivamente é essencial para os
auditores. Desenvolva habilidades de comunicação escrita e verbal para
relatar descobertas, recomendações e riscos de forma clara e
compreensível.

Aprendizado Contínuo:
Mantenha-se actualizado com as tendências e evoluções na área de
segurança da informação e auditoria. A tecnologia está sempre em
evolução, e é importante acompanhar as mudanças.

Trabalho em Equipa e Colaboração:

A auditoria de sistemas de informação muitas vezes envolve colaboração
com outros profissionais, como administradores de TI, desenvolvedores
e gestores de projecto. Desenvolva habilidades de trabalho em equipa e
aprenda a colaborar efectivamente.

Prática de Auditoria Simulada:

Realize exercícios de auditoria simulada em ambientes de laboratório
para aprimorar suas habilidades de identificação de vulnerabilidades,
avaliação de controlos e análise de riscos.

Acompanhamento de Melhorias:
Depois de conduzir uma auditoria, acompanhe as melhorias e a
implementação das recomendações feitas. Isso ajudará a entender como
suas avaliações afectam a organização e aprimorar suas habilidades de
auditoria.

Desenvolva Habilidades de Pensamento Crítico:

A auditoria de sistemas de informação requer pensamento crítico para
identificar riscos e fraquezas nos sistemas. Pratique a análise crítica de
documentos, políticas e procedimentos.
10
 Elaborado por: Bruno Gamito, MsC.

Mentorship e Networking:
Procure mentores na área de auditoria de sistemas de informação e
participe de grupos e associações profissionais relacionados à auditoria
e segurança da informação. O networking pode ser valioso para
aprender com os outros e obter oportunidades de crescimento na
carreira.

Ética Profissional:
Mantenha altos padrões éticos, pois a auditoria de sistemas de
informação envolve o acesso a informações confidenciais e críticas para
a organização.

Desenvolver habilidades em auditoria de sistemas de informação é um

processo contínuo. À medida que você adquire experiência e conhecimento,
estará melhor preparado para avaliar a segurança e a eficácia dos sistemas de
informação, contribuindo para a protecção dos activos de informação da
organização.

Exercícios em grupo…
(o grupo pode escolher aleatoriamente)

Escolha um sistema de informação na sua

organização ou crie um cenário hipotético. Liste os
controlos de segurança que devem estar em vigor para
Avaliação de Controlos
proteger esse sistema. Em seguida, conduza uma
de Segurança
análise crítica desses controlos, identificando
possíveis pontos fracos e fornecendo recomendações
para melhorias.
Analise uma política de segurança de informação
existente ou crie uma hipotética. Identifique os
elementos-chave dessa política, como requisitos de
Políticas de Segurança senha, políticas de acesso e procedimentos de
resposta a incidentes. Avalie a eficácia da política em
proteger os activos de informação e sugira melhorias,
se necessário.
Realize um exercício de simulação de auditoria em um
sistema ou rede de TI. Isso pode envolver a
Exercício de Simulação
identificação de vulnerabilidades, a avaliação de
de Auditoria
controlos e a elaboração de um relatório de auditoria
simulado, incluindo recomendações de melhorias.

11
 Elaborado por: Bruno Gamito, MsC.

Analise a documentação de conformidade de

segurança de TI, como registos de auditorias
Revisão de
anteriores, relatórios de testes de penetração e
Documentação de
registos de incidentes de segurança. Identifique
Conformidade tendências, áreas de preocupação ou oportunidades
de aprimoramento com base nessas informações.
Analise um estudo de caso real ou fictício de um
incidente de segurança de TI. Identifique os erros
Estudo de Caso de
cometidos, as lacunas nos controlos de segurança e
Incidente de Segurança
as medidas que poderiam ter sido tomadas para
prevenir ou mitigar o incidente.
Identifique e avalie os riscos de segurança associados
a um sistema de informação específico. Use uma
Avaliação de Riscos de
matriz de risco para classificar os riscos com base na
Segurança
probabilidade e no impacto. Isso ajudará a priorizar
acções de mitigação.
Analise as políticas e procedimentos de segurança de
informação da organização. Verifique se eles estão
Revisão de Políticas e
alinhados com os padrões de segurança reconhecidos
Procedimentos
e identifique quaisquer áreas que possam precisar de
actualizações ou revisões.
Realize um exercício de simulação de ataque
cibernético para testar a resiliência dos sistemas de
Simulação de Ataque
informação. Isso pode incluir tentativas de phishing,
Cibernético
exploração de vulnerabilidades ou ataques de
negação de serviço (DDoS).
Desenvolva um plano de auditoria para avaliar a
Elaboração de Plano de segurança de um sistema de informação específico.
Auditoria Isso inclui a definição de objectivos de auditoria,
escopo, recursos necessários e cronograma.

Esses exercícios ajudarão a reforçar os

conceitos e as habilidades relacionadas
à auditoria de sistemas de informação.

12