Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
AUDITORIA DA TECNOLOGIA DA
INFORMAÇÃO
Cynara Carvalho
[email protected]
1
Auditoria de Tecnologia da Informação
Introdução
• Auditoria de TI = Auditoria de Sistemas
• Nesse tipo de auditoria é analisado um conjunto de controles
gerenciais e procedimentos que afetam o ambiente de informática.
• Itens de verificação:
• Padrões e políticas adotadas pela organização.
• Operações sobre sistemas e dados.
• Disponibilidade e manutenção do ambiente computacional.
• Utilização dos recursos computacionais.
• Gerência de banco de dados e rede.
• Aspectos relacionados à segurança de informações.
2
Auditoria de Tecnologia da Informação
Controles Organizacionais
• São políticas, procedimentos e estrutura organizacional estabelecidos
para definir as responsabilidades dos envolvidos nas atividades
relacionadas à área de informática.
• São o ponto de partida das auditorias de sistemas.
• O auditor, na fase de planejamento, deve analisar a estrutura adotada
pela entidade auditada, seus componentes e relacionamentos com
outros setores da organização.
• Responsabilidades Organizacionais – o Deptº Informática deve ter
uma estrutura organizacional bem definida.
• Importância em relação a outros setores. Não quer dizer que
deva se considerar “superior”.
• As descrições dos cargos e as habilidades técnicas para exercêlos devem estar estabelecidas e documentadas.
3
Auditoria de Tecnologia da Informação
Controles Organizacionais
•Responsabilidades Organizacionais – Deve existir um canal de
relacionamento entre a alta gerência, sobretudo para assegurar os
recursos necessários à implantação e manutenção da segurança, além
do próprio comprometimento do desempenho do deptº.
• Políticas, Padrões e Procedimentos – São a base para o planejamento
gerencial, o controle e a avaliação do DI.
• Políticas e padrões implementados pela alta gerência são mais
considerados na prática.
• A partir das políticas, são estabelecidos padrões, por exemplo,
para aquisição de recursos (humanos ou computacionais), projetos,
desenvolvimentos, etc..
• Procedimentos descrevem a forma como as atividades deverão
ser executadas. Podem ser definidas pelo DI e aprovados pela
gerência.
4
Auditoria de Tecnologia da Informação
Controles Organizacionais
• Estratégia de Informática – É um documento também conhecido como
Plano Diretor de Informática ou PDTI. Serve como base para
qualquer investimento na área de informática, traçando os objetivos e
projetos futuros da organização.
• A falta de uma estratégia de informática é o desenvolvimento de
sistemas que não satisfaçam os objetivos do negócio da organização.
• Na auditoria, também são verificados se os objetivos da Estratégia da
Informática estão sendo seguidos, onde estão sendo modificados e
onde não há nenhuma correspondência entre o proposto e o real.
• Política sobre documentação – Define padrões de qualidade e
classificação dos documentos. Para a auditoria e a segurança, a
documentação serve de fonte primária de informações sobre sistemas
auditados e o ambiente computacional.
5
Auditoria de Tecnologia da Informação
Controles Organizacionais
• Gerência de RH – As causas mais freqüentes de acesso não
autorizado, perdas de dados ou pane dos sistemas, são erros,
omissões, sabotagem ou invasões feitas por pessoas contratadas pela
própria organização.
• Funcionários mal intencionados têm tempo disponível e liberdade
para vasculhar mesas, ler e copiar documentos e informações.
Sabem também como a organização funciona e que tipo de
informação poderia ser valiosa para a concorrência.
• Ex-funcionários são igualmente interessantes para a concorrência,
pois podem servir como fontes de informações.
• Para reduzir esses riscos, a organização tem que adotar políticas,
controles e critérios para a contratação de pessoal. Após a
contratação, as atividades do funcionário devem ser monitoradas e
supervisionadas.
6
Auditoria de Tecnologia da Informação
Controles Organizacionais
• Plano de Contratação e Desenvolvimento de Pessoal – Visa manter a
equipe tecnicamente preparada, para operar o ambiente computacional
atual e acompanhar os avanços tecnológicos.
• O desenvolvimento técnico motiva os funcionários para o
desempenho de suas atividades.
• Seleção de pessoal – As políticas de seleção devem ser definidas de
tal maneira que a equipe seja composta de pessoas confiáveis, com
nível técnico compatível e de preferência, satisfeitas profissionalmente.
Isso garante uma qualidade no trabalho e reduz os riscos.
• Muitas vezes, como é o caso de órgãos públicos, o processo se
torna mais rígido, com a aplicação de concursos públicos e da
apresentação de documentação comprobatória de escolaridade.
• A análise de referências profissionais, experiências profissionais,
antecedentes, etc.. também são importantes na seleção.
7
Auditoria de Tecnologia da Informação
Controles Organizacionais
• Treinamento – Visa manter a equipe tecnicamente preparada, para
operar o ambiente computacional atual e acompanhar os avanços
tecnológicos.
• Estímulo a troca de experiências com os demais membros da
equipe, como forma de multiplicar o conhecimento.
• Avaliação de desempenho – os funcionários devem ser regularmente
avaliados de acordo com padrões estabelecidos e o cargo ocupado.
• Como pode envolver aspectos emotivos e de relacionamento
entre avaliador e avaliado, o processo de avaliação deve ser mais
objetivo possível.
• Rodízios de Cargos e Férias – podem servir como controles
preventivos de fraudes ou atividades não autorizadas. Um funcionário,
sabendo que outra pessoa pode exercer suas funções, ficará inclinado a
não praticar atos desautorizados.
8
Auditoria de Tecnologia da Informação
Controles Organizacionais
• Segregação de Funções – Visa evitar que um indivíduo detenha todo o
controle de todas as fases do processo e caia na tentação de praticar
algum ato ilícito.
• Segregação significa que os estágios de uma transação ou
processo são distribuídos a pessoas diferentes, para que um não
tenha todo o controle do início ao fim.
• Provoca também um controle mútuo das atividades, ao mesmo
tempo que, para ocorrer algum problema, tem que haver a
conivência de mais pessoas.
• A detecção de erros pode ser mais freqüente, pois quem os
comete, normalmente não os percebe.
• A limitação de pessoal pode ser fator proibitivo à segregação,
cabendo à organização adaptar-se ou buscar outros controles, para
compensar a falta de segregação.
• Interrupção do Contrato de Trabalho – tão importantes quanto a
contratação é o procedimento para desligar funcionários. Políticas que
estabeleçam medidas no caso de afastamento, como devolução de
crachás, desativar contas e rotinas de pagamento, etc...
9
Auditoria de Tecnologia da Informação
Controles Organizacionais – Gerência de Recursos
Computacionais
• Aquisição de equipamentos e softwares – Plano de aquisição, baseado
na análise de desempenho atual, planejamento da capacidade e plano
estratégico de informática.
• Nem sempre o mais barato é o melhor ou o mais adequado.
Critérios de economia, eficiência, eficácia e qualidade.
• Manutenção de hardware e software – preventivas, sobretudo para
evitar falhas e interrupções. Pacotes de software também são alvo de
manutenções, através de correções ou releases.
Controles Organizacionais – Outsourcing, Terceirização e
Contratação de Consultoria Externa
• Terceirização – ocorre quando uma empresa independente presta
qualquer tipo de serviço para outra organização.
• Pode envolver alguns ou todos os estágios do processamento e
desenvolvimento dos sistemas e mão-de-obra especializada.
• Outsourcing – usado quando o cliente contrata uma empresa para
prover por completo todos os serviços de informática. Local,
equipamentos, software e pessoal são da contratada.
10
Auditoria de Tecnologia da Informação
Controles Organizacionais – Outsourcing, Terceirização e
Contratação de Consultoria Externa
•Outsourcing – Com este tipo de contratação, a empresa pode
concentrar seus esforços na sua área de negócios, apenas gerenciando
os serviços de informática prestados pela contratada.
• Contratação de consultoria externa – quando a empresa não dispor de
funcionário treinado para alguma atividade especializada, pode
considerar a contratação externa como uma opção melhor e muitas
vezes mais rápida para atender a uma demanda.
• Motivos para terceirização, outsourcing e contratação externa:
• Custos
• Restrições de fluxo de caixa
• Mão-de-obra especializada
• Resolução de problemas
• Rapidez no desenvolvimento
11
Auditoria de Tecnologia da Informação
Controles Organizacionais – Outsourcing, Terceirização e
Contratação de Consultoria Externa
•Riscos Envolvidos – Contratos bem claros e objetivos. O controle final
da informação deve ser contratante.
• Os controles praticados pelo prestador de serviço devem ser
iguais ou superiores ao da empresa. A segurança dos dados do
cliente é fundamental.
• Dependência extrema do prestador de serviços, podendo haver
algum comprometimento do negócio, caso o prestador interrompa
suas atividades ou faça exigências descabidas para continuar o
serviço.
• A experiência do prestador dificulta a troca, pois um novo
prestador pode levar muito tempo para realizar as atividades
semelhantes.
• Inclusão de cláusulas que permitam alterações nos sistemas ou
outros serviços.
• Perca de habilidades e experiências do seus próprios funcionários,
aumentando a dependência, além de descontentamento pela
equipe ter sido considerada incapaz de realizar tais serviços.
12
Auditoria de Tecnologia da Informação
Controles Organizacionais – Contratos
• Toda prestação de serviço deve ser formalizada por um contrato,
revisado pelo deptº jurídico da organização.
• Detalhes a serem observados nos contratos:
• Custos básicos e taxas adicionais.
• Direitos de ambas as partes após o término.
• Possíveis Indenizações em casos de perdas provocadas.
• Direitos de propriedade sobre os dados.
• Direitos da propriedade intelectual.
• Repasse de informações técnicas e documentação.
• Possibilidades de alterações.
• Padrões de segurança.
• Padrões de qualidade.
13
Auditoria de Tecnologia da Informação
Riscos Inerentes ao Controle Organizacional Inadequado
• Violação da segurança de acesso a recursos computacionais.
• Planejamento inadequado do crescimento computacional pode
acarretar desperdício de investimentos, ao sub-utilizar os recursos.
• Por outro lado, também pode sobrecarregar o sistema atual.
• Equipe insatisfeita ou ressentida pode ser capaz de sabotar sistemas.
• Equipe ineficiente pode não cumprir suas responsabilidades,
aumentando riscos de erros e fraudes.
• Perda de dados, documentação e controle de sistemas manipulados
por terceiros também são riscos freqüentes.
Lista de verificações
14
Auditoria de Tecnologia da Informação
Controles de Mudanças
• Num ambiente computacional, onde os avanços são mais visíveis e
mais freqüentes, é quase certo que será necessário atualizar
plataformas de hardware, sistemas operacional, softwares aplicativos,
componentes de conectividade, etc...
• Para minimizar erros ou detectar fraudes durante a fase de transição,
é importante controlar o processo de mudanças.
• Todas as mudanças têm que ser autorizadas, documentadas, testadas
e implementadas de forma controlada.
• A empresa deverá definir um procedimento padrão de mudanças, que
guiará o processo.
15
Auditoria de Tecnologia da Informação
Controles de Mudanças – O que pode provocar uma mudança?
• As mudanças podem ser de opcionais a necessárias, gradativas ou
urgentes, simples ou radicais.
• Fatores:
•
•
•
•
•
•
•
•
Atualização tecnológica.
Maior demanda por capacidade de processamento ou armazenamento.
Manutenções periódicas.
Identificação de problemas com o sistema.
Insatisfação de usuários com recursos do sistema.
Identificação de vulnerabilidades do sistema em termos de segurança.
Operação ineficiente ou complicada.
Mudança dos objetivos do sistema.
16
Auditoria de Tecnologia da Informação
Controles de Mudanças – Procedimentos
•
•
Os procedimentos de controle podem variar de empresa para empresa,
dependendo também do tipo da mudança.
Procedimentos para mudança em aplicativos:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Solicitação feita por um ou mais usuários.
Registro da solicitação, análise da possibilidade e impactos.
Especificação da alteração é submetida à aprovação gerencial.
Em ambiente de teste, o programador efetua as alterações.
Definidos procedimentos de retorno.
Modificações testadas em ambiente controlado.
Verificação dos testes quanto à padrões e documentação.
Simulação, fora do horário normal.
Acertos em função dos testes
Após documentação, o programa é disponibilizado.
17
Auditoria de Tecnologia da Informação
Controles de Mudanças
• Mudanças de emergência – Não podem aguardar o procedimento normal
de controle.
• Apesar disso, deve-se haver um certo planejamento e capacidade de
controle.
• Após a condição de emergência for resolvida, deve ser retomado o
processo normal de controle.
• Controles de Versão – são importantes e necessários pois garantem aos
usuários a utilização da versão correta.
• Versões diferentes podem acarretar problemas nas transações e nos
dados.
• A versão atual pode ser colocada em uma biblioteca de programas,
distribuída ou acessada por todos os usuários.
• É importante dar um prazo para os usuários atualizarem-se e ter
controle sobre quem ainda não fez, para cobranças.
18
Auditoria de Tecnologia da Informação
Riscos Inerentes ao Controle de Mudanças Inadequado
• Uso de software e hardware não autorizado, gerando incompatibilidades
de sistemas e dados.
• Processamento de relatórios incorretos.
• Insatisfação do usuário, com perda de produtividade ou entrada de
dados incorreta.
• Dificuldades de Manutenção.
• Mudanças acidentais ou deliberadas, sem devida autorização.
• Mudanças de emergência não controladas.
Lista de verificações
19
Auditoria de Tecnologia da Informação
Controle de Operação de Sistemas
• A op. de sistemas está relacionada com aspectos de infra-estrutura de
HW e SW. Seu objetivo é liberar os usuários de atividades repetitivas e de
responsabilidades de garantir a disponibilidade dos sistemas.
• Mudanças em função das novas tecnologias – As inovações tecnológicas
estão provocando mudanças significativas na operação de sistemas. A
principal delas é a possibilidade de processamento e controle remoto das
operações a partir de um único centro.
• Apesar da redução da necessidade de operadores, ainda há a
necessidade de checagem da correta operação das rotinas automáticas.
• O Operador, antes com grande responsabilidade e muitas tarefas, hoje
tem suas atividades mais reduzidas e com um controle maior.
20
Auditoria de Tecnologia da Informação
Controle de Operação de Sistemas
• Funções Tradicionais de Operações de Sistemas:
• Operação na Sala do Computador
• Escalonamento do Serviço
• Gerência de Desempenho e Planejamento de Capacidade
• Atendimento ao Usuário e gerência de problemas
• Gerência de meios magnéticos
• Gerência de controle de acesso
• Gerencia de backup e recuperação
• Manutenção de hardware
• Manutenção remota de software
• Gerência de Rede
21
Auditoria de Tecnologia da Informação
Controle de Operação de Sistemas
• Política de Contratação de Operadores – A contratação deverá seguir os
critérios de contratação de pessoal.
• O auditor deve determinar se as necessidades de treinamento de
pessoal de operações foram avaliadas e estão sendo cumpridas.
• Os cuidados como desenvolvimento profissional e rodízio de funções
devem ser considerados para os operadores.
Riscos Inerentes a Controles de Operação Inadequados.
• Perda ou corrupção de arquivos e dados
• Funcionamento incorreto de aplicativos
• Sobrecarga do sistema ou falta de espaço de armazenamento
• Insatisfação de usuários com o DI
• Falta de backup.
Lista de Verificações
22
Exercícios Propostos






1) Além dos controles relacionados à segurança da informação, outros controles
devem ser implementados nas organizações para garantir que os serviços de
tecnologia da informação nas organizações funcionem da forma mais segura possível.
Escreva sobre esses controles.
2) Qual o objetivo dos Controles de Mudanças?
3) Quais os principais fatores que levam a mudanças no ambiente de informática?
4) Quais os principais procedimentos do Controle de Mudanças?
5) Qual o objetivo principal dos Controles de Operação de Sistemas?
6) Quais as funções tradicionais de operação de sistemas? Escreva sobre cada uma
delas.
DIAS, Cláudia – Segurança e Auditoria da tecnologia da informação.
Págs. 136 à 163
23