Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO Cynara Carvalho [email protected] 1 Auditoria de Tecnologia da Informação Introdução • Auditoria de TI = Auditoria de Sistemas • Nesse tipo de auditoria é analisado um conjunto de controles gerenciais e procedimentos que afetam o ambiente de informática. • Itens de verificação: • Padrões e políticas adotadas pela organização. • Operações sobre sistemas e dados. • Disponibilidade e manutenção do ambiente computacional. • Utilização dos recursos computacionais. • Gerência de banco de dados e rede. • Aspectos relacionados à segurança de informações. 2 Auditoria de Tecnologia da Informação Controles Organizacionais • São políticas, procedimentos e estrutura organizacional estabelecidos para definir as responsabilidades dos envolvidos nas atividades relacionadas à área de informática. • São o ponto de partida das auditorias de sistemas. • O auditor, na fase de planejamento, deve analisar a estrutura adotada pela entidade auditada, seus componentes e relacionamentos com outros setores da organização. • Responsabilidades Organizacionais – o Deptº Informática deve ter uma estrutura organizacional bem definida. • Importância em relação a outros setores. Não quer dizer que deva se considerar “superior”. • As descrições dos cargos e as habilidades técnicas para exercêlos devem estar estabelecidas e documentadas. 3 Auditoria de Tecnologia da Informação Controles Organizacionais •Responsabilidades Organizacionais – Deve existir um canal de relacionamento entre a alta gerência, sobretudo para assegurar os recursos necessários à implantação e manutenção da segurança, além do próprio comprometimento do desempenho do deptº. • Políticas, Padrões e Procedimentos – São a base para o planejamento gerencial, o controle e a avaliação do DI. • Políticas e padrões implementados pela alta gerência são mais considerados na prática. • A partir das políticas, são estabelecidos padrões, por exemplo, para aquisição de recursos (humanos ou computacionais), projetos, desenvolvimentos, etc.. • Procedimentos descrevem a forma como as atividades deverão ser executadas. Podem ser definidas pelo DI e aprovados pela gerência. 4 Auditoria de Tecnologia da Informação Controles Organizacionais • Estratégia de Informática – É um documento também conhecido como Plano Diretor de Informática ou PDTI. Serve como base para qualquer investimento na área de informática, traçando os objetivos e projetos futuros da organização. • A falta de uma estratégia de informática é o desenvolvimento de sistemas que não satisfaçam os objetivos do negócio da organização. • Na auditoria, também são verificados se os objetivos da Estratégia da Informática estão sendo seguidos, onde estão sendo modificados e onde não há nenhuma correspondência entre o proposto e o real. • Política sobre documentação – Define padrões de qualidade e classificação dos documentos. Para a auditoria e a segurança, a documentação serve de fonte primária de informações sobre sistemas auditados e o ambiente computacional. 5 Auditoria de Tecnologia da Informação Controles Organizacionais • Gerência de RH – As causas mais freqüentes de acesso não autorizado, perdas de dados ou pane dos sistemas, são erros, omissões, sabotagem ou invasões feitas por pessoas contratadas pela própria organização. • Funcionários mal intencionados têm tempo disponível e liberdade para vasculhar mesas, ler e copiar documentos e informações. Sabem também como a organização funciona e que tipo de informação poderia ser valiosa para a concorrência. • Ex-funcionários são igualmente interessantes para a concorrência, pois podem servir como fontes de informações. • Para reduzir esses riscos, a organização tem que adotar políticas, controles e critérios para a contratação de pessoal. Após a contratação, as atividades do funcionário devem ser monitoradas e supervisionadas. 6 Auditoria de Tecnologia da Informação Controles Organizacionais • Plano de Contratação e Desenvolvimento de Pessoal – Visa manter a equipe tecnicamente preparada, para operar o ambiente computacional atual e acompanhar os avanços tecnológicos. • O desenvolvimento técnico motiva os funcionários para o desempenho de suas atividades. • Seleção de pessoal – As políticas de seleção devem ser definidas de tal maneira que a equipe seja composta de pessoas confiáveis, com nível técnico compatível e de preferência, satisfeitas profissionalmente. Isso garante uma qualidade no trabalho e reduz os riscos. • Muitas vezes, como é o caso de órgãos públicos, o processo se torna mais rígido, com a aplicação de concursos públicos e da apresentação de documentação comprobatória de escolaridade. • A análise de referências profissionais, experiências profissionais, antecedentes, etc.. também são importantes na seleção. 7 Auditoria de Tecnologia da Informação Controles Organizacionais • Treinamento – Visa manter a equipe tecnicamente preparada, para operar o ambiente computacional atual e acompanhar os avanços tecnológicos. • Estímulo a troca de experiências com os demais membros da equipe, como forma de multiplicar o conhecimento. • Avaliação de desempenho – os funcionários devem ser regularmente avaliados de acordo com padrões estabelecidos e o cargo ocupado. • Como pode envolver aspectos emotivos e de relacionamento entre avaliador e avaliado, o processo de avaliação deve ser mais objetivo possível. • Rodízios de Cargos e Férias – podem servir como controles preventivos de fraudes ou atividades não autorizadas. Um funcionário, sabendo que outra pessoa pode exercer suas funções, ficará inclinado a não praticar atos desautorizados. 8 Auditoria de Tecnologia da Informação Controles Organizacionais • Segregação de Funções – Visa evitar que um indivíduo detenha todo o controle de todas as fases do processo e caia na tentação de praticar algum ato ilícito. • Segregação significa que os estágios de uma transação ou processo são distribuídos a pessoas diferentes, para que um não tenha todo o controle do início ao fim. • Provoca também um controle mútuo das atividades, ao mesmo tempo que, para ocorrer algum problema, tem que haver a conivência de mais pessoas. • A detecção de erros pode ser mais freqüente, pois quem os comete, normalmente não os percebe. • A limitação de pessoal pode ser fator proibitivo à segregação, cabendo à organização adaptar-se ou buscar outros controles, para compensar a falta de segregação. • Interrupção do Contrato de Trabalho – tão importantes quanto a contratação é o procedimento para desligar funcionários. Políticas que estabeleçam medidas no caso de afastamento, como devolução de crachás, desativar contas e rotinas de pagamento, etc... 9 Auditoria de Tecnologia da Informação Controles Organizacionais – Gerência de Recursos Computacionais • Aquisição de equipamentos e softwares – Plano de aquisição, baseado na análise de desempenho atual, planejamento da capacidade e plano estratégico de informática. • Nem sempre o mais barato é o melhor ou o mais adequado. Critérios de economia, eficiência, eficácia e qualidade. • Manutenção de hardware e software – preventivas, sobretudo para evitar falhas e interrupções. Pacotes de software também são alvo de manutenções, através de correções ou releases. Controles Organizacionais – Outsourcing, Terceirização e Contratação de Consultoria Externa • Terceirização – ocorre quando uma empresa independente presta qualquer tipo de serviço para outra organização. • Pode envolver alguns ou todos os estágios do processamento e desenvolvimento dos sistemas e mão-de-obra especializada. • Outsourcing – usado quando o cliente contrata uma empresa para prover por completo todos os serviços de informática. Local, equipamentos, software e pessoal são da contratada. 10 Auditoria de Tecnologia da Informação Controles Organizacionais – Outsourcing, Terceirização e Contratação de Consultoria Externa •Outsourcing – Com este tipo de contratação, a empresa pode concentrar seus esforços na sua área de negócios, apenas gerenciando os serviços de informática prestados pela contratada. • Contratação de consultoria externa – quando a empresa não dispor de funcionário treinado para alguma atividade especializada, pode considerar a contratação externa como uma opção melhor e muitas vezes mais rápida para atender a uma demanda. • Motivos para terceirização, outsourcing e contratação externa: • Custos • Restrições de fluxo de caixa • Mão-de-obra especializada • Resolução de problemas • Rapidez no desenvolvimento 11 Auditoria de Tecnologia da Informação Controles Organizacionais – Outsourcing, Terceirização e Contratação de Consultoria Externa •Riscos Envolvidos – Contratos bem claros e objetivos. O controle final da informação deve ser contratante. • Os controles praticados pelo prestador de serviço devem ser iguais ou superiores ao da empresa. A segurança dos dados do cliente é fundamental. • Dependência extrema do prestador de serviços, podendo haver algum comprometimento do negócio, caso o prestador interrompa suas atividades ou faça exigências descabidas para continuar o serviço. • A experiência do prestador dificulta a troca, pois um novo prestador pode levar muito tempo para realizar as atividades semelhantes. • Inclusão de cláusulas que permitam alterações nos sistemas ou outros serviços. • Perca de habilidades e experiências do seus próprios funcionários, aumentando a dependência, além de descontentamento pela equipe ter sido considerada incapaz de realizar tais serviços. 12 Auditoria de Tecnologia da Informação Controles Organizacionais – Contratos • Toda prestação de serviço deve ser formalizada por um contrato, revisado pelo deptº jurídico da organização. • Detalhes a serem observados nos contratos: • Custos básicos e taxas adicionais. • Direitos de ambas as partes após o término. • Possíveis Indenizações em casos de perdas provocadas. • Direitos de propriedade sobre os dados. • Direitos da propriedade intelectual. • Repasse de informações técnicas e documentação. • Possibilidades de alterações. • Padrões de segurança. • Padrões de qualidade. 13 Auditoria de Tecnologia da Informação Riscos Inerentes ao Controle Organizacional Inadequado • Violação da segurança de acesso a recursos computacionais. • Planejamento inadequado do crescimento computacional pode acarretar desperdício de investimentos, ao sub-utilizar os recursos. • Por outro lado, também pode sobrecarregar o sistema atual. • Equipe insatisfeita ou ressentida pode ser capaz de sabotar sistemas. • Equipe ineficiente pode não cumprir suas responsabilidades, aumentando riscos de erros e fraudes. • Perda de dados, documentação e controle de sistemas manipulados por terceiros também são riscos freqüentes. Lista de verificações 14 Auditoria de Tecnologia da Informação Controles de Mudanças • Num ambiente computacional, onde os avanços são mais visíveis e mais freqüentes, é quase certo que será necessário atualizar plataformas de hardware, sistemas operacional, softwares aplicativos, componentes de conectividade, etc... • Para minimizar erros ou detectar fraudes durante a fase de transição, é importante controlar o processo de mudanças. • Todas as mudanças têm que ser autorizadas, documentadas, testadas e implementadas de forma controlada. • A empresa deverá definir um procedimento padrão de mudanças, que guiará o processo. 15 Auditoria de Tecnologia da Informação Controles de Mudanças – O que pode provocar uma mudança? • As mudanças podem ser de opcionais a necessárias, gradativas ou urgentes, simples ou radicais. • Fatores: • • • • • • • • Atualização tecnológica. Maior demanda por capacidade de processamento ou armazenamento. Manutenções periódicas. Identificação de problemas com o sistema. Insatisfação de usuários com recursos do sistema. Identificação de vulnerabilidades do sistema em termos de segurança. Operação ineficiente ou complicada. Mudança dos objetivos do sistema. 16 Auditoria de Tecnologia da Informação Controles de Mudanças – Procedimentos • • Os procedimentos de controle podem variar de empresa para empresa, dependendo também do tipo da mudança. Procedimentos para mudança em aplicativos: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Solicitação feita por um ou mais usuários. Registro da solicitação, análise da possibilidade e impactos. Especificação da alteração é submetida à aprovação gerencial. Em ambiente de teste, o programador efetua as alterações. Definidos procedimentos de retorno. Modificações testadas em ambiente controlado. Verificação dos testes quanto à padrões e documentação. Simulação, fora do horário normal. Acertos em função dos testes Após documentação, o programa é disponibilizado. 17 Auditoria de Tecnologia da Informação Controles de Mudanças • Mudanças de emergência – Não podem aguardar o procedimento normal de controle. • Apesar disso, deve-se haver um certo planejamento e capacidade de controle. • Após a condição de emergência for resolvida, deve ser retomado o processo normal de controle. • Controles de Versão – são importantes e necessários pois garantem aos usuários a utilização da versão correta. • Versões diferentes podem acarretar problemas nas transações e nos dados. • A versão atual pode ser colocada em uma biblioteca de programas, distribuída ou acessada por todos os usuários. • É importante dar um prazo para os usuários atualizarem-se e ter controle sobre quem ainda não fez, para cobranças. 18 Auditoria de Tecnologia da Informação Riscos Inerentes ao Controle de Mudanças Inadequado • Uso de software e hardware não autorizado, gerando incompatibilidades de sistemas e dados. • Processamento de relatórios incorretos. • Insatisfação do usuário, com perda de produtividade ou entrada de dados incorreta. • Dificuldades de Manutenção. • Mudanças acidentais ou deliberadas, sem devida autorização. • Mudanças de emergência não controladas. Lista de verificações 19 Auditoria de Tecnologia da Informação Controle de Operação de Sistemas • A op. de sistemas está relacionada com aspectos de infra-estrutura de HW e SW. Seu objetivo é liberar os usuários de atividades repetitivas e de responsabilidades de garantir a disponibilidade dos sistemas. • Mudanças em função das novas tecnologias – As inovações tecnológicas estão provocando mudanças significativas na operação de sistemas. A principal delas é a possibilidade de processamento e controle remoto das operações a partir de um único centro. • Apesar da redução da necessidade de operadores, ainda há a necessidade de checagem da correta operação das rotinas automáticas. • O Operador, antes com grande responsabilidade e muitas tarefas, hoje tem suas atividades mais reduzidas e com um controle maior. 20 Auditoria de Tecnologia da Informação Controle de Operação de Sistemas • Funções Tradicionais de Operações de Sistemas: • Operação na Sala do Computador • Escalonamento do Serviço • Gerência de Desempenho e Planejamento de Capacidade • Atendimento ao Usuário e gerência de problemas • Gerência de meios magnéticos • Gerência de controle de acesso • Gerencia de backup e recuperação • Manutenção de hardware • Manutenção remota de software • Gerência de Rede 21 Auditoria de Tecnologia da Informação Controle de Operação de Sistemas • Política de Contratação de Operadores – A contratação deverá seguir os critérios de contratação de pessoal. • O auditor deve determinar se as necessidades de treinamento de pessoal de operações foram avaliadas e estão sendo cumpridas. • Os cuidados como desenvolvimento profissional e rodízio de funções devem ser considerados para os operadores. Riscos Inerentes a Controles de Operação Inadequados. • Perda ou corrupção de arquivos e dados • Funcionamento incorreto de aplicativos • Sobrecarga do sistema ou falta de espaço de armazenamento • Insatisfação de usuários com o DI • Falta de backup. Lista de Verificações 22 Exercícios Propostos 1) Além dos controles relacionados à segurança da informação, outros controles devem ser implementados nas organizações para garantir que os serviços de tecnologia da informação nas organizações funcionem da forma mais segura possível. Escreva sobre esses controles. 2) Qual o objetivo dos Controles de Mudanças? 3) Quais os principais fatores que levam a mudanças no ambiente de informática? 4) Quais os principais procedimentos do Controle de Mudanças? 5) Qual o objetivo principal dos Controles de Operação de Sistemas? 6) Quais as funções tradicionais de operação de sistemas? Escreva sobre cada uma delas. DIAS, Cláudia – Segurança e Auditoria da tecnologia da informação. Págs. 136 à 163 23