Segurança e auditoria
de sistemas
Carlos Oberdan Rolim
Ciência da Computação
Sistemas de Informação
Auditoria de sistemas
Baseado no material da Prof. Alice Diniz – Faculdade Cenecista de Varginha MG
A auditoria nas organizações
Presidência
Executiva
Auditoria de
Sistemas
Diretoria
Diretoria
Diretoria de
Diretoria de
Administrativa
Financeira
Vendas
tecnologia
Importância da auditoria de sistemas
Altos investimentos das organizações em sistemas
computadorizados
Necessidade de garantir a segurança dos computadores e
seus sistemas
Garantia do alcance da qualidade dos sistemas
computadorizados
Auxiliar a organização a avaliar e validar o ciclo
administrativo
Dificuldades encontradas pela Auditoria de
Sistemas na Empresa
Defasagem tecnológica
Falta de bons profissionais
Falta de cultura da empresa
Tecnologia variada e abrangente
Necessidades na área de auditoria de
sistemas
Fortalecimento das técnicas de auditoria de sistemas para
atuação em ambientes computacionais complexos
Criação de metodologias de auditoria de sistemas
Estudo do custo / benefício
Ampliação do campo de atuação da auditoria de sistemas
Papel do auditor de sistemas
Validação do fluxo administrativo (planejamento, execução e
controle)
Ênfase nos processos computacionais
Comprovação da efetividade dos sistemas
computadorizados
Garantia da segurança lógica e física e da confidencialidade
dos sistemas
Etapas da atuação do auditor de sistemas
Compreensão do ambiente
Análise do ambiente e determinação das situações mais
sensíveis
Elaboração de uma massa de testes
Aplicação da massa de testes
Análise das simulações
Emissão da opinião quanto ao ambiente auditado
Debate com os profissionais da área auditada para
discussão das alternativas recomendadas
Acompanhamento da implantação da solução proposta
Auditoria da solução implantada
Novas auditorias no ambiente
Perfil do Auditor de Sistemas
Ser independente às áreas a serem auditadas
Ter formação em auditoria de computação, conhecendo o
ambiente a ser auditado
Treinamento do auditor de sistemas
Conceituação de Auditoria de Sistemas
Controle Interno
Produtos finais da Auditoria de Sistemas
Mecânica de implantação das recomendações da auditoria
Postura do auditado durante a atuação da Auditoria de
Sistemas.
Tendências da Auditoria de Sistemas na
Organização
Criação de um profissional responsável pela segurança da
informação
Preocupação com a qualidade dos processos
computadorizados – criação do Analista de Segurança da
Informação e do Analista de Qualidade da Informação.
Conceitos de auditoria
Processamento Eletrônico de Dados: Hardware, Software e
Teleprocessamento
Sistemas de Informação: Conjunto de recursos humanos,
materiais, tecnológicos e financeiros combinados segundo
uma sequência lógica para transformar dados em
informações.
Auditoria de Sistemas: Validação e Avaliação do controle
interno de sistemas de informação.
Conceitos de auditoria
Ponto de Controle: Situação do ambiente computacional
considerada pelo auditor como sendo de interesse para
validação e avaliação.
Controle Interno: Verificação e validação dos seguintes
parâmetros do Sistema de Informação:
Fidelidade da informação em relação ao dado
Segurança física
Segurança lógica
Confidencialidade
Obediência à legislação em vigor
Eficiência
Eficácia
Obediência às políticas e às regras de negócio da organização
Exemplos de parâmetros de Controle Interno
Para fidelidade da informação em relação ao dado:
AIC (Arquivos de Informações de Controle);
AUDIT TRAIL (conjunto de rotinas e arquivos que permitam a
reconstituição dos dados a partir da informação permitindo assim a a
monitoração do processamento dos dados);
Arquivos de erros de processamentos não corrigidos
Informações do código do arquivo gravadas no header
Exemplos de parâmetros de Controle
Interno
Para Segurança lógica:
Password do arquivo gravada no header
Informações do relatório de crítica ou de consistência dos dados
alimentados no sistema
Informações de total gravadas no trailler do arquivo.
Exemplos de parâmetros de Controle
Interno
Para confidencialidade:
Rotina de criptografia de informações sigilosas.
Exemplo do Ponto de Controle “ Programa de Atualização” :
Rotina operacional de atualização do cadastro
Rotina de controle: inclusão, exclusão, alteração indevida do arquivo de
movimento
Informação operacional: conteúdo do arquivo movimento anterior à
atualização
Informações de controle: conteúdo do arquivo de erros.
Organização do trabalho da auditoria
Planejamento
1º Passo
Conhecer o ambiente a ser auditado: Levantamento dos dados acerca
do ambiente computacional (fluxo de processamento, recursos
humanos e materiais envolvidos, arquivos processados, relatórios e
telas produzidos).
2º Passo:
Determinar os pontos de controle (processos críticos)
3º Passo: Definição dos objetivos da auditoria:
Técnicas a serem aplicadas
Prazos de execução
Custos de execução
Nível de tecnologia a ser utilizada
Organização do trabalho da auditoria
Planejamento
4º Passo:
Estabelecimento de critérios para análise de risco
5o. Passo:
Análise de Risco
Avaliar para cada ponto de controle o grau de risco apresentado para
posterior hierarquização:
Grau de Risco
1 – Muito Fraco
2 – Fraco
3 – Regular
4 – Forte
5 – Muito forte
6º Passo:
Hierarquização dos pontos de controle
Organização do trabalho da auditoria
Execução
1o. passo: Escolher a equipe.
Perfil e histórico profissional
Experiência na atividade
Conhecimentos específicos
Formação acadêmica
Linguas estrangeiras
Disponibilidade para viagens, etc.
Organização do trabalho da auditoria
Execução
2o. passo: Programar a equipe
Gerar programas de trabalho
Selecionar procedimentos apropriados
Incluir novos procedimentos
Classificar trabalhos por visita
Orçar tempo e registrar o real
3o. passo: Execução dos trabalhos
Dividir as tarefas de acordo com a formaçao, experiência e treinamento
dos auditores
Efetuar supervisão para garantir a qualidade do trabalho e certificar que
as tarefas foram feitas corretamente
Organização do trabalho da auditoria
Execução
4o. passo: Revisão dos papéis
Verificar pendências e rever o papel de cada auditor para suprir as
falhas encontradas
5o. passo: Avaliação da equipe
Avaliar o desempenho, elogiando os pontos fortes e auxiliando no
reconhecimento e superação de fraquezas do auditor
Ter um sistema de avaliação de desempenho automatizado
Organização do trabalho da auditoria
Documentação do trabalho
Documentação de todo o processo de Auditoria de Sistemas
executado.
Produtos gerados pela Auditoria de
sistemas
Relatório de fraquezas de controle interno
Certificado de controle interno
Relatório de redução de custos
Manual de auditoria do ambiente
Pastas contendo a documentação obtida pela Auditoria de
Sistemas
Relatório de Fraquezas de controle
interno
Objetivo do projeto de auditoria
Pontos de controle auditados
Conclusão alcançada a cada ponto de controle
Alternativas de solução propostas
Certificado de Controle Interno
Indica se o ambiente está em boa, razoável ou má condição
em relação aos parâmetros de controle interno. Apresenta a
opinião da auditoria em termos globais e sintéticos.
Relatório de redução de custos
Tem por objetivo explicitar as economias financeiras a serem
feitas com a adoção das recomendações efetuadas. Serve
de base para a realização das análises de retorno de
investimento e do custo/beneficio da auditoria de auditoria de
sistemas.
Manual da auditoria do ambiente
auditado
Armazena o planejamento da auditoria, os pontos de
controle testados e serve como referência para futuras
auditorias. Compõe-se de toa a documentação anterior já
citada.
Pastas contendo a documentação da
auditoria de sistemas
Irá conter toda a documentação do ambiente e dos trabalhos
realizados como: relação de programas, relação de arquivos
do sistema, relação de relatórios e telas, fluxos, atas de
reunião, etc.
Apresentação dos resultados da
auditoria à alta administração
Objetividade na transmissão dos resultados
Esclarecimento das discussões realizadas entre a auditoria e
os auditados
Clareza nas recomendações das alternativas de solução
Coerência da atuação da Auditoria
Apresentação da documentação gerada
Explicação do conteúdo de cada documento.