Segurança e auditoria de sistemas Carlos Oberdan Rolim Ciência da Computação Sistemas de Informação Auditoria de sistemas Baseado no material da Prof. Alice Diniz – Faculdade Cenecista de Varginha MG A auditoria nas organizações Presidência Executiva Auditoria de Sistemas Diretoria Diretoria Diretoria de Diretoria de Administrativa Financeira Vendas tecnologia Importância da auditoria de sistemas Altos investimentos das organizações em sistemas computadorizados Necessidade de garantir a segurança dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organização a avaliar e validar o ciclo administrativo Dificuldades encontradas pela Auditoria de Sistemas na Empresa Defasagem tecnológica Falta de bons profissionais Falta de cultura da empresa Tecnologia variada e abrangente Necessidades na área de auditoria de sistemas Fortalecimento das técnicas de auditoria de sistemas para atuação em ambientes computacionais complexos Criação de metodologias de auditoria de sistemas Estudo do custo / benefício Ampliação do campo de atuação da auditoria de sistemas Papel do auditor de sistemas Validação do fluxo administrativo (planejamento, execução e controle) Ênfase nos processos computacionais Comprovação da efetividade dos sistemas computadorizados Garantia da segurança lógica e física e da confidencialidade dos sistemas Etapas da atuação do auditor de sistemas Compreensão do ambiente Análise do ambiente e determinação das situações mais sensíveis Elaboração de uma massa de testes Aplicação da massa de testes Análise das simulações Emissão da opinião quanto ao ambiente auditado Debate com os profissionais da área auditada para discussão das alternativas recomendadas Acompanhamento da implantação da solução proposta Auditoria da solução implantada Novas auditorias no ambiente Perfil do Auditor de Sistemas Ser independente às áreas a serem auditadas Ter formação em auditoria de computação, conhecendo o ambiente a ser auditado Treinamento do auditor de sistemas Conceituação de Auditoria de Sistemas Controle Interno Produtos finais da Auditoria de Sistemas Mecânica de implantação das recomendações da auditoria Postura do auditado durante a atuação da Auditoria de Sistemas. Tendências da Auditoria de Sistemas na Organização Criação de um profissional responsável pela segurança da informação Preocupação com a qualidade dos processos computadorizados – criação do Analista de Segurança da Informação e do Analista de Qualidade da Informação. Conceitos de auditoria Processamento Eletrônico de Dados: Hardware, Software e Teleprocessamento Sistemas de Informação: Conjunto de recursos humanos, materiais, tecnológicos e financeiros combinados segundo uma sequência lógica para transformar dados em informações. Auditoria de Sistemas: Validação e Avaliação do controle interno de sistemas de informação. Conceitos de auditoria Ponto de Controle: Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação. Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de Informação: Fidelidade da informação em relação ao dado Segurança física Segurança lógica Confidencialidade Obediência à legislação em vigor Eficiência Eficácia Obediência às políticas e às regras de negócio da organização Exemplos de parâmetros de Controle Interno Para fidelidade da informação em relação ao dado: AIC (Arquivos de Informações de Controle); AUDIT TRAIL (conjunto de rotinas e arquivos que permitam a reconstituição dos dados a partir da informação permitindo assim a a monitoração do processamento dos dados); Arquivos de erros de processamentos não corrigidos Informações do código do arquivo gravadas no header Exemplos de parâmetros de Controle Interno Para Segurança lógica: Password do arquivo gravada no header Informações do relatório de crítica ou de consistência dos dados alimentados no sistema Informações de total gravadas no trailler do arquivo. Exemplos de parâmetros de Controle Interno Para confidencialidade: Rotina de criptografia de informações sigilosas. Exemplo do Ponto de Controle “ Programa de Atualização” : Rotina operacional de atualização do cadastro Rotina de controle: inclusão, exclusão, alteração indevida do arquivo de movimento Informação operacional: conteúdo do arquivo movimento anterior à atualização Informações de controle: conteúdo do arquivo de erros. Organização do trabalho da auditoria Planejamento 1º Passo Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatórios e telas produzidos). 2º Passo: Determinar os pontos de controle (processos críticos) 3º Passo: Definição dos objetivos da auditoria: Técnicas a serem aplicadas Prazos de execução Custos de execução Nível de tecnologia a ser utilizada Organização do trabalho da auditoria Planejamento 4º Passo: Estabelecimento de critérios para análise de risco 5o. Passo: Análise de Risco Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquização: Grau de Risco 1 – Muito Fraco 2 – Fraco 3 – Regular 4 – Forte 5 – Muito forte 6º Passo: Hierarquização dos pontos de controle Organização do trabalho da auditoria Execução 1o. passo: Escolher a equipe. Perfil e histórico profissional Experiência na atividade Conhecimentos específicos Formação acadêmica Linguas estrangeiras Disponibilidade para viagens, etc. Organização do trabalho da auditoria Execução 2o. passo: Programar a equipe Gerar programas de trabalho Selecionar procedimentos apropriados Incluir novos procedimentos Classificar trabalhos por visita Orçar tempo e registrar o real 3o. passo: Execução dos trabalhos Dividir as tarefas de acordo com a formaçao, experiência e treinamento dos auditores Efetuar supervisão para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente Organização do trabalho da auditoria Execução 4o. passo: Revisão dos papéis Verificar pendências e rever o papel de cada auditor para suprir as falhas encontradas 5o. passo: Avaliação da equipe Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superação de fraquezas do auditor Ter um sistema de avaliação de desempenho automatizado Organização do trabalho da auditoria Documentação do trabalho Documentação de todo o processo de Auditoria de Sistemas executado. Produtos gerados pela Auditoria de sistemas Relatório de fraquezas de controle interno Certificado de controle interno Relatório de redução de custos Manual de auditoria do ambiente Pastas contendo a documentação obtida pela Auditoria de Sistemas Relatório de Fraquezas de controle interno Objetivo do projeto de auditoria Pontos de controle auditados Conclusão alcançada a cada ponto de controle Alternativas de solução propostas Certificado de Controle Interno Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos. Relatório de redução de custos Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de auditoria de sistemas. Manual da auditoria do ambiente auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada. Pastas contendo a documentação da auditoria de sistemas Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc. Apresentação dos resultados da auditoria à alta administração Objetividade na transmissão dos resultados Esclarecimento das discussões realizadas entre a auditoria e os auditados Clareza nas recomendações das alternativas de solução Coerência da atuação da Auditoria Apresentação da documentação gerada Explicação do conteúdo de cada documento.