AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Definição: É a avaliação e a validação do

controle interno de sistemas de
informação.
 INTRODUÇÃO

 A função da Auditoria nas organizações, onde se inclui a Auditoria de SI, tem evoluído
no seu estatuto, devendo ser encarada como uma actividade de suporte ao negócio
(por oposição a uma actividade de inspeção) e como tendo um carácter pró-activo ou
preventivo (por oposição a um carácter reactivo). Sendo assim a auditoria de SI deve
ter a sua preocupação centrada nos processos de negócio e nos SI que os suportam,
baseando-se numa abordagem de risco.
 Por meio de um processo multidisciplinar, a auditoria de sistemas de informação tem o
objectivo de avaliar a conformidade do ambiente informatizado da empresa.
 Assim, estabelece-se um meio íntegro de compilação, uso e manipulação de dados em
cada computador e nos sistemas.
 Tudo isso, de acordo com a legislação vigente, as melhores práticas e verificação dos
protocolos de segurança e qualidade.
AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Os objectivos a cumprir numa auditoria de sistemas de informação são os seguintes:

 Verificar a existência de medidas de controlo interno aplicáveis, com carácter
generalizado, a qualquer sistema de informação da instituição, ente, organismo ou
qualquer outro objeto da auditoria;
 Avaliar a adequação do sistema de informação às diretrizes básicas de uma boa gestão
informática;
 Oferecer uma descrição do sistema de informação com base nas suas especificações
funcionais e nos resultados que proporciona;
 AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Os objectivos a cumprir numa auditoria de Sistemas de informação são os seguintes:

 Verificar se o sistema de informação cumpre os normativos legais aplicáveis;
 Verificar se a informação proporcionada pelo sistema de informação é fiável, íntegra e
precisa;
 Determinar se o sistema de informação atinge os objetivos para os quais foi desenhado,
de forma eficaz e eficiente;
 Propor as recomendações oportunas para que o sistema de informação se adapte às
diretrizes consideradas como essenciais para o seu bom funcionamento.
AUDITORIA DE SISTEMAS DE INFORMAÇÃO
A auditoria de Sistemas de Informação apresenta também os seguintes objectivos:
 Aumentar os níveis de satisfação dos utilizadores dos sistemas informatizados;
 Manter a segurança dos dados, dos componentes do hardware e do software e as
respetivas instalações;
 Garantir um forte e frequente apoio à função informática no que respeita às metas e
objetivos da organização;
 Minimizar a existência de riscos no uso da Tecnologia de Informação
 Assegurar uma maior integridade, confidencialidade e fiabilidade.e da informação mediante a
recomendação de seguranças e controlos.
PRINCIPAIS TIPOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO

 Auditoria Legal ou Regulatória

 Auditoria de Integridade de Dados

 Auditoria em Segurança da Informação

 Auditoria de Segurança Física

 Auditoria de Desenvolvimento de Sistemas

AUDITORIA LEGAL OU REGULATÓRIA

 Atendimento a regulamentações locais e

internacionais (Lei Sarbanes-Oxley, Basileia II,
Comissão de Valores Mobiliários, etc).
 AUDITORIA DE INTEGRIDADE DE DADOS

 Para que haja uma boa auditoria é preciso que haja uma análise da integridade de
dados, visto que esta integridade é um dos três pilares da segurança da informação ela
é ligada aos outros dois pilares que são disponibilidade e confidencialidade.
 Na auditoria é preciso adequar, rever, avaliar e recomendar para aprimorar os controles
internos dentro da empresa.
 Visto que os dados podem ser armazenados em pen-drives, hds externos, e-mails,
nuvem, CDs, Dvds, Disquetes, Discos Rígidos, Fita Magnéticas, entre outros. É
preciso saber onde ficam armazenados estes dados, quem está acessando, por onde ele
percorre, etc. afim de que possa ser feito um controle e manter a integridade destes
dados.
 Manter um dado integro não é tarefa fácil, porque muitas pessoas podem acessar estes
arquivos ou ocorrer alguma ameaça como: um vírus, um worms, um acesso remoto.
AUDITORIA DE INTEGRIDADE DE DADOS

Alguns aspectos que podem comprometer a integridade de dados:

 – Causas Naturais, como tempestades, furacões, enchentes, terremotos, entre
outros.
 – Causas Voluntarias – Contacto com pessoas mal intencionada; Furto e perda
de dados; Códigos maliciosos (malwares) (vírus, worms, Bot e Botnet, Spyware,
Backdoor, Cavalo de Troia, Root kit, etc.).
 – Causas Involuntárias – Falha de software, arquivo corrompido, desligamento
inadequado, queda de energia, entre outros.
 AUDITORIA DE INTEGRIDADE DE DADOS
 Para que possa manter a integridade destes dados precisa-se usar mecanismos de segurança, para obter uma maior segurança e
conseqüentemente manter os dados intactos sem alterações a medida que o tempo vai passando. Estes mecanismos são:
 A política de segurança: define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que
utiliza e as penalidades às quais está sujeito, caso não a cumpra.
 É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar
claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser
tratados de forma adequada pelas partes envolvidas.
 A política de segurança pode conter outras políticas específicas, como:
 Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de
formação e periodicidade de troca.
 Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência
de execução.
 Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
 Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
 Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de “Termo de Uso” ou “Termo de Serviço”, define
as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas
abusivas.
AUDITORIA DE INTEGRIDADE DE DADOS
Algumas situações que geralmente são consideradas de uso abusivo (não aceitável) são:
 compartilhamento de senhas;
 divulgação de informações confidenciais;
 envio de boatos e mensagens contendo spam e códigos maliciosos;
 envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
 cópia e distribuição não autorizada de material protegido por direitos autorais;
 ataques a outros computadores;
 comprometimento de computadores ou redes.
 O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode ser
considerado como um incidente de segurança e, dependendo das circunstâncias, ser motivo
para encerramento de contrato (de trabalho, de prestação de serviços, etc.).
 AUDITORIA EM SEGURANÇA DA INFORMAÇÃO

 Uma auditoria de segurança é um processo de verificação das políticas de segurança de uma empresa, de
forma a corrigir quaisquer vulnerabilidades. Considerando todos os riscos envolvidos em armazenar dados
sensíveis, esse procedimento é obrigatório para garantir a proteção das informações da empresa e para
acompanhar quaisquer mudanças nos padrões de segurança digital.
 O primeiro passo é verificar quais são as informações armazenadas em sua rede, quais sistemas
operacionais são usados, entre outras ferramentas. Essa será a base para identificação de potenciais
ameaças. Em seguida, deve ser feita uma verificação aprofundada sobre os procedimentos de segurança
digital já existentes na empresa, bem como uma conferência de como eles são aplicados e se estão de
acordo com os padrões exigidos. A partir disso, é possível determinar se algum deles está desatualizado ou
se há alguma vulnerabilidade evidente.
 Aqui a auditoria em segurança da informação foca nas potenciais vulnerabilidades do sistema, identificando
quais são os principais pontos de risco no momento. Logo, é feita a priorização de ameaças que são mais
fáceis de corrigir e que geram maior risco para os dados da empresa.
AUDITORIA EM SEGURANÇA DA INFORMAÇÃO

 Firewall: Como o firewall é a principal barreira contra acessos sem

permissão, é importante que ele também esteja configurado de forma
a manter a segurança de todos os dados. É necessário verificar sua
política de acesso remoto para conferir se ele está actualizado e
quais são os seus padrões.
 Teste de Stress: Por fim, deve ser feito um teste da segurança. Se o
profissional tentar invadir o sistema e for bem sucedido, significa que
há outras vulnerabilidades que precisam ser corrigidas. É importante
que esse teste seja repetido várias vezes para garantir seus
resultados.
AUDITORIA DE SEGURANÇA FÍSICA
 Umas das formas de tornar uma área mais segura é estabelecendo sobre ela um perímetro de segurança, o que
pode ser feito utilizando-se de barreiras físicas como portões e paredes (resistentes e sem brechas), portas e
janelas (com sistemas de detecção de intrusos e trancas), portas corta-fogo e um balcão de recepção onde seja
permitida a entrada apenas de pessoal autorizado.
 Recomenda-se ainda que áreas gerenciadas pela organização devam ficar separadas fisicamente das áreas
gerenciadas por terceiros e que sejam utilizadas várias barreiras, de modo que, se uma falhar, o problema ainda
poderá ser controlado.
 AUDITORIA DE SEGURANÇA FÍSICA

 Verificar a existência de portas fortes e acesso biométrico à salas

seguras como datacenter, etc.;
 Verificar a existência de cameras de seguranca, sua funcionalidade
e monitoramento;
 Verificar a existência (no Acesso ao edificio) de detectores de
metais, cancelas, scan de bagagens, torniquetes, etc.;
 AUDITORIA DE SEGURANÇA FÍSICA
 Controles de Acesso Físico
 Para que de facto somente pessoas autorizadas tenham acesso físico às áreas seguras, são
importantes controles de autenticação que validem esses acessos, sendo que essa autorização
só deve ser concedida a quem realmente necessitar dela para o desempenho de suas funções
profissionais.
 Para fins de auditoria, todo acesso a uma área segura deve ser sempre registado, com data e
hora de entrada e saída. E é importante que todos que circulem por áreas seguras possuam
alguma forma visível de identificação, incluindo os visitantes, que precisam ser monitorados,
inclusive por circuito fechado de TV.
 Proteção contra Desastres
 Existem diversos tipos desastres: incêndios, enchentes, explosões, desabamentos, tempestades,
tornados, raios, tremores de terra, radiação etc. As áreas seguras devem estar preparadas para
o caso de desastres, sejam eles naturais ou causados pelo homem, que ocorram nas próprias
instalações ou em áreas vizinhas.
O POSICIONAMENTO DA AUDITORIA DE SISTEMAS DE
INFORMAÇÃO NA ORGANIZAÇÃO
O posicionamento da Auditoria de SI formalizada por (Davis, Schillerand and
Wheeler, 2007) possui um duplo objectivo.
 Por um lado, providenciar à Gestão de Topo e aos Comités de Auditoria
uma garantia independente de que os controlos de SI estão implementados
e que funcionam eficazmente;
 Por outro lado, num patamar acima, melhorar o estado dos controlos de SI
através da promoção destes e ajudar a organização a identificar
vulnerabilidades nos controlos e a desenvolver soluções eficientes para
gerir essas vulnerabilidades.
O POSICIONAMENTO DA AUDITORIA DE SISTEMAS DE
INFORMAÇÃO NA ORGANIZAÇÃO
FASES DA AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Planeamento

Execução

Emissão e Divulgação de Relatórios

Follow-Up
FASE DE PLANEAMENTO
 A fase de planeamento da auditoria de
sistemas de informação abrange vários passos
importantes. A obtenção de conhecimento em
relação ao negócio e à organização, representa
a etapa crítica deste processo, pois forma a
base para a realização de outros
procedimentos de auditoria.
FASE DA EXECUÇÃO

 Esta fase de auditoria de sistemas de informação compreende a

atividade de controle interno que para proceder a uma
validação do mesmo, o auditor, antes de mais, deve pedir os
dados existentes sobre o mesmo, quais se encontram em vigor,
como funcionam e deve proceder à sua avaliação para concluir
se os mesmos conseguem garantir a veracidade e integridade
de toda a informação produzida pela instituição, e provar que a
mesma é fidedigna e que pode ser creditada.
FASE DE RELATÓRIOS

 Nesta fase, o auditor precisa ter certeza de que já

realizou todas as entrevistas e coletou todos os
dados necessários para analisar as evidências e,
assim, desenvolver um parecer correto, que auxilie
o cliente a melhorar o seu ambiente de TI
aumentando a sua disponibilidade, o seu caráter
confidencial e a sua integridade de dados.
FUNÇÕES DA AUDITORIA DE SISTEMAS DE INFORMAÇÃO

 • Promover a adequação (avaliação e recomendações para o aprimoramento) dos controles nos sistemas de informação da empresa;
 • Identificar requisitos para estratégias do negócio;
 • Propor melhorias nos sistemas de arquiteturas;
 • Sugerir implementação de sistemas de controle e segurança;
 • Examinar o repositório de informações;
 • Propor facilidades de operações de rede de serviços;
 • Medir a performance organizacional;
 • Sugerir melhoria de processos e sistemas;
 • Salvaguardar adequadamente os recursos;
 • Manter a integridade e disponibilidade dos dados e dos sistemas;
 • Fornecer informação relevante e confiável;
 • Ajudar a alcançar efetivamente as metas organizacionais;
 • Consumir recursos de forma eficiente.
RECURSOS DA AUDITORIA DE SISTEMAS DE INFORMAÇÃO

 Pessoas
 Sistemas Aplicacionais
 Tecnologia
 Instalações
 Dados
RELAÇÃO ENTRE AUDITORIA E SEGURANÇA DE SISTEMAS DE
INFORMAÇÃO
 Os sistemas de segurança e procedimentos de auditoria precisam
ser mais complexos a ponto de trabalhar com grande volume de
dados em massa, examinar com eficiência os processos internos
da empresa de tal modo que se consiga separar os dados validos
dos mal-intencionados.
 Para tornar um ambiente mais seguro, se faz necessário a
implantação de políticas de segurança através das quais poderão
ser apoiadas por acções de exame por meio da auditoria dos
sistemas de informação.
CERTIFICAÇÃO DO AUDITOR DE SISTEMAS DE INFORMAÇÃO

 CISA – Certified Information Systems Auditor - Oferecida pela

ISACA - Uma das mais reconhecidas e eficazes no âmbito global.
 www.isaca.org
FIM