Instituto Médio Politécnico de Computação e

Gestão

Disciplina: ASI
Tema: Processo de Auditoria em Sistemas Informaticos
Docente: Agnaldo Fondo
 1. Planejamento e preparação de auditoria

O auditor deve ser adequadamente informados sobre a empresa e suas

atividades críticas de negócios antes de realizar uma auditoria de TI. As
operações de TI devem estar alinhados com os objetivos do negócio,
mantendo a segurança e integridade das informações e processos críticos. O
auditor deve seguir os seguintes passos antes de realizar a revisão:
• Reunir-se com a gestão de TI para determinar possíveis áreas de
preocupação.
• Rever o actual organograma ou estrotura de TI.
• Rever e entender a descrição do trabalho de equipe responsável pela área de TI.
• Pesquisar todos os sistemas operacionais, aplicações de software e
equipamentos de datacenter.
• Rever as políticas e procedimentos de TI da empresa.
• Avaliar a documentação de planeamento do orçamento de TI e sistemas da
empresa.
• Rever o plano de datacenter de recuperação de desastres.
 2. Estabelecer objetivos da auditoria

• Auditores consideram muitos fatores que se relacionam com procedimentos de TI e

atividades nas áreas com potenciais indícios de riscos no ambiente operacional e
avaliar os controles num sentido de mitigar esses riscos. Após o teste e análise
aprofundada, o auditor é capaz de determinar de forma adequada se a TI mantém
controles adequados e está operando de forma eficiente e eficaz. O que se segue é
uma lista de objectivos que o auditor deve rever:
• Responsabilidades pessoais para com sistemas incluindo e treinamento de cross-
funcional.
• Processos de mudanças de gestão actual, seguido por equipe de gestão de TI.
• Procedimentos de backup apropriados estão no local para minimizar o tempo de
inatividade e evitar a perda de dados importantes.
• O datacenter tem controles de segurança física adequadas para impedir o acesso não
autorizado.
• Controles ambientais adequados estão no local para garantir que o equipamento está
protegido contra incêndio e outros desastres.
 3. Realizr uma avaliação da auditoria

O próximo passo é a coleta de evidências para satisfazer os objetivos da auditoria. Trata-se de

viajar para o local de datacenter e observar os processos e procedimentos realizados dentro
do datacenter. Os seguintes procedimentos de revisão devem ser realizados para satisfazer os
objetivos da auditoria pré-determinados:
• Equipe de datacenter - Todo o pessoal de datacenter deve ser autorizado a acessar o
datacenter (usando cartões-chave, identificações de login, senhas de segurança, etc.).
Funcionários Datacenter dvem estar adequadamente informados sobre equipamentos de
datacenter e bom desempenho das suas tarefas. Equipe de fornecedor de serviços deve ser
supervisionadas ao fazer o trabalho em equipamentos de datacenter. O auditor deve
observar e entrevistar os funcionários de datacenter para satisfazer os seus objectivos.
• Equipamento - O auditor deve verificar se todo equipamento de datacenter está
funcionando corretamente e de forma eficaz. Relatórios de utilização de
equipamentos, equipamentos de inspeção por danos e funcionalidade, os
registros de tempo de inatividade do sistema e medidas de desempenho de
equipamentos todos ajudam o auditor determinar o estado dos equipamentos de
datacenter. Além disso, o auditor deve entrevistar funcionários para determinar
se as políticas de manutenção preventiva estão no lugar e realizadas ou
compridas.

• Políticas e Procedimentos - Todas as políticas de centro de dados e

procedimentos devem ser documentados e localizados no datacenter.
Procedimentos documentados importantes incluem: as responsabilidades do
pessoal de datacenter (responsabilidades pessoais), políticas de backup,
políticas de segurança, políticas de rescisão de funcionários, procedimentos de
operação do sistema e uma visão geral de sistemas operacionais.
• Segurança física / controles ambientais - O auditor deve avaliar a segurança
do datacenter. segurança física inclui guarda-costas e sistemas de monitoramento
de entrada. Além disso, controles ambientais devem estar no local para garantir a
segurança de equipamentos de datacenter. Estes incluem: Unidades de ar
condicionado, pisos elevados, umidificadores e fonte de alimentação
ininterrupta.

• Procedimentos de backup - O auditor deve verificar se os procedimentos de

backup estão em vigor no caso de falha do sistema. Poderia haver um data center
de backup em um local separado que lhes permite continuar instantaneamente
operações no caso de falha do sistema.
4. Emissão do relatório de revisão de auditoria

• O relatório de revisão de auditoria de TI deve resumir as conclusões do

auditor e ser semelhante em formato a um relatório de revisão padrão. O
relatório de avaliação deve ser datado a partir da conclusão do inquérito e
os procedimentos do auditor.
 Controles da gestão
• A selecção de controlos adequados á gestão e implementa-los, irão ajudar
a reduzir o risco a níveis aceitáveis dentro de uma organização, a mesma
deve seguir e basear-se na avaliação de riscos. os controles podem ser
diversificados, mas fundamentalmente, elas são formas de proteger a
confidencialidade, integridade ou disponibilidade das informações.
• a escolha de contra medidas (controles de gestão) usados ​para gerenciar
riscos devem estar em equilíbrio entre a produtividade, custo, eficácia da
mesma medida, e o valor do activo informativo protegido.
 Tipos de controles de gestão
• Controles de gestão podem ser classificados em:
• Lógico
• Físico
• Administrativo
 Controlo lógica
• Controles lógicos (também conhecidos como controles técnicos), usar
software e dados para monitorar e controlar o acesso a sistemas de
informação e de computação. Por exemplo: senhas, rede com firewalls,
sistemas de detecção de intruso na rede, criptografia de dados, etc.
• Um controle lógico importante que é frequentemente esquecido é
o princípio de menor privilégio.
 O princípio de menor privilégio
• O princípio de menor privilégio exige que um indivíduo, programa ou processo do sistema
não é concedida qualquer mais privilégios de acesso que o necessário para executar a tarefa.
• Exemplo: o não cumprimento do princípio do menor privilégio é fazer login no windows
como administrador do usuário para ler e-mails e navegar na web.
• Violações deste princípio, também pode ocorrer quando uma pessoa recolhe privilégios de
acesso adicionais ao longo do tempo. Isso acontece quando funções de trabalho dos
empregados mudam, ou eles são promovidos a uma nova posição, ou transferir para outro
departamento. Os privilégios de acesso requeridos por suas novas funções são
frequentemente adicionados para os seus privilégios de acesso já existentes, que podem já
não ser necessário ou apropriado.
 Controlo físico
• Os controlos físicos monitoram e controlam o ambiente do local de
trabalho e recursos de computação. Eles também monitoram e controlam
o acesso ao mesmo e para suas instalações. 
Por exemplo: portas, fechaduras, ar condicionado, alarmes de incêndio,
sistemas de extinção de incêndio, câmeras, guardas de segurança,
bloqueios de cabo, etc. A separação da rede e do trabalho em áreas
funcionais também são controles físicos.
 Separação de funções
• Separação de funções garante que um funcionário não complete uma
tarefa crítica por si mesmo.
• Exemplo: um funcionário que recebe esubmete um pedido de reembolso,
não deve também ser capaz de autorizar o pagamento ou imprimir o
cheque.
• Um programador não deve ser o administrador do servidor ou
administrador de base de dados - estas funções e responsabilidades devem
ser separadas um do outro.
 Controlo administrativos
• Controlos administrativos formam a estrutura para a execução do negócio
e gestão de funcionário. Eles guiam o funcionário sobre como o negócio
deve ser executado e como as operações do dia-a-dia devem ser
conduzidas.
• Controles administrativos formam a base para a selecção e implementação
de controles lógicos e físicos.
Tipos de controlos de gestão administrativa
• Políticas
• Procedimentos
• Padrões
• Orientações.
 Política
• A política é um princípio para orientar as decisões e alcançar resultados
racionais. A política é uma declaração de intenções, e é implementado como
um procedimento. As políticas são geralmente adotado pela diretoria ou
órgão governamentais sêniors dentro de uma organização, onde processos
seriam desenvolvidos e aprovados por diretores executivos seniores.
• o termo pode ser aplicado em entidades governamentais, do setor privado
bem como individuais. Ordens presidenciais, políticas de privacidade das
empresas, e ordem das regras parlamentares, são todos exemplos de política.
 Política vs Lei
• Política difere de regras ou lei. Enquanto a lei pode obrigar ou proibir
comportamentos (por exemplo, uma lei que exige o pagamento de
impostos sobre o rendimento), a política meramente orienta acções mais
propensos para alcançar um certo objectivo.
 Impacto da política
• Efeitos pretendidos/desejados

• Efeitos indesejados
 Efeitos pretendidos/desejados
• Os efeitos pretendidos de uma política variam muito de acordo com a organização e
o contexto em que eles são feitos. Em termos gerais, as políticas são normalmente
instituído para evitar algum efeito negativo que tem sido notado na organização, ou
buscar algum benefício positivo.
• Políticas de compras corporativas fornecem um exemplo de como as organizações
tentam evitar os efeitos negativos. Muitas grandes empresas têm políticas que todas
as compras acima de um determinado valor devem ser realizada através de um
processo de compra. Ao exigir este processo padrão de compra através da política, a
organização pode limitar o desperdício e padronizar a forma como a compra é feito.
 Efeitos indesejados
• Políticas frequentemente têm efeitos colaterais ou consequências não
desejados. Porque os ambientes que as políticas visam influenciar ou
manipular normalmente são sistemas complexos adaptativos (por exemplo,
governos, sociedades, grandes empresas), fazendo uma mudança de política,
pode ter resultados contra-intuitivos. Por exemplo, um governo pode tomar
uma decisão política de aumentar os impostos, na esperança de aumentar a
receita fiscal global. Você lembra o que aconteceu quando o preço de
combustivel foi aumentado em Moçambique?
O processo de formulação de políticas inclui teoricamente uma tentativa de
avaliar muitas áreas com potencial impacto político, para diminuir as
chances de que uma determinada política vai ter consequências
inesperadas ou não intencionais. Devido à natureza de alguns sistemas
adaptativos complexos, tais como sociedades e governos, pode não ser
possível avaliar todos os impactos possíveis de uma determinada política.
 Ciclo político

• O ciclo político é uma ferramenta utilizada para a análise do

desenvolvimento de um item de política.
1. Identificação do problema - o reconhecimento de determinado assunto como um
problema a exigir mais atenção.
2. Formulação da política - consiste em explorar uma variedade de opções ou cursos
alternativos de ação disponíveis para abordar o problema. (avaliação, diálogo,
formulação e consolidação)
3. Tomada de decisão - decidir sobre um curso final da ação, seja para perpetuar o status
da política, ou alterá-lo. (decisão poderia ser "positivo", "negativo", ou “sem-ação")
4. Implementação - a decisão final tomada anteriormente será colocado em prática.
5. Avaliação - avalia a eficácia da política em termos de suas intenções percebidas e
resultados. agentes políticos tentam determinar se o curso de ação é um sucesso ou
fracasso, analisando o seu impacto e os resultados.
 Conteúdo de uma política
• As políticas são geralmente promulgadas através de documentos oficiais
escritos. Documentos de política muitas vezes vêm com o endosso ou a
assinatura dos poderes executivos dentro de uma organização para
legitimar a política e demonstrar que ele é considerado em vigor. Tais
documentos geralmente têm formatos padrão que são específicos para a
organização e emissão de políticas. Embora tais formatos diferem na
forma, documentos de política geralmente contêm certos componentes
padrões, incluindo:
• A declaração de propósito - descrevendo por que a organização está a emitir a
política, e qual o seu efeito desejado ou o resultado da política deveria ser.

• Uma declaração de aplicabilidade e abrangência - descrevendo o que afeta a

política e as ações que são afetados pela política. A aplicabilidade e alcance
podem expressamente excluir certas pessoas, organizações ou acções das
exigências políticas. Aplicabilidade e abrangência é utilizado para focar a
política de apenas os alvos desejados, e evitar consequências indesejadas
sempre que possível.

• Uma data efetiva que indica quando é que a política entra em vigor.

• Uma secção de responsabilidades, indicando quais as partes e organizações
responsáveis ​pela realização de declarações políticas individuais. Muitas
políticas podem exigir o estabelecimento de alguma função ou ação em
curso. Por exemplo, uma política de compras pode decidir que seja criado um
departamento de compras para processar pedidos de compras, e que esse
departamento seria responsável por acções em curso. Responsabilidades
muitas vezes incluem a identificação de todas as estruturas de supervisão e / ou
de governação relevantes.

• Declarações políticas que indicam os regulamentos específicos, requisitos, ou

modificações de comportamento organizacional que a política está criando. As
declarações políticas são extremamente diversificadas, dependendo da
organização e intenção.
Algumas políticas podem conter seções adicionais, incluindo:
• Passado (histórico) - que indica qualquer razões, história, e a intenção que
levou à criação da política, o que pode ser considerado como fatores
de motivação. Esta informação é muitas vezes bastante útil quando as
políticas devem ser avaliadas ou usadas em situações ambíguas, assim como
a intenção de uma lei pode ser útil para um tribunal ao decidir um caso que
envolve essa lei.

• Definições, fornecendo definições claras e inequívocas para termos e

conceitos encontrados no documento político.
 Tipos de políticas

• Política da empresa
• Política de informação
• Política de privacidade
 Procedimento

• Um procedimento é um documento escrito para apoiar a "diretiva de política".

• Um procedimento é projetado para descrever quem, o quê, onde, quando e por quê, por meio de
estabelecer a responsabilidade corporativa em apoio à implementação de uma "política". o
"como" é documentado por cada unidade organizacional sob a forma de "instruções de trabalho",
que visa apoiar ainda mais um procedimento com um maior detalhamento.
• Por exemplo, uma instalação de fabrica pode estabelecer uma política que dita que todas horas
extras devem ser aprovadas. Um procedimento pode ser criado para estabelecer "quem" pode
aprovar horas extras, "o que" formas / sistemas precisam ser usados ​", onde" eles estão
localizados, "quando?" horas extras são aplicáveis, e o "porquê" refere-se à diretiva de gestão
estabelecido por meio de uma "política". Resultados de um procedimentos tornam-se entrada para
uma instrução de trabalho que é um conjunto de ações ou operações, que têm de ser executadas
do mesmo modo, a fim de alcançar os resultados pretendidos nas mesmas circunstâncias.
• No último exemplo, o " o que "[resultados do procedimento] poderia ser ainda dividido em
uma instrução de trabalho para descrever" como "um acesso de gerente / funcionário dos
sistemas de aprovação / revisão de horas extras, ou seja, clicar neste link, neste botão e
escolher estes campos, e clique em aprovar / rejeitar.