Post on 16-Oct-2020
1
Segurança e Auditoria
Profo. Dr. Carlos Hideo ArimaDoutor e Mestre em Controladoria-Contabilidade pela FEA-USP
Professor Assistente-Doutor do Programa de Mestrado em Ciências Contábeis da PUC-SPProfessor Pleno do Departamento de Processamento de Dados da FATEC-SP
Sócio-Diretor da Arima e Associados, consultoria e auditoria de sistemas, e gestão de RH
FATEC-SP – Faculdade de Tecnologia de São PauloCurso de Especialização em Análise e Projeto de Sistemas
Fevereiro/20112
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Apresentação do Programa
3
Objetivos do Curso
• Avaliar o impacto da auditoria de tecnologia da informaçãopara maximizar resultado e alcançar os objetivos daempresa
• Identificar os componentes mais vulneráveis de seusistema de informação
• Agregar valor à gestão de tecnologia de informação que dásuporte aos processos dos negócios
• Detectar novos riscos e ameaças que surgem no uso daInternet
4
Paradigma da Auditoria
Um homem muito bem vestido para aquela cidade, chegana única agência bancária do município e dirige-se aofuncionário.- Onde é a sala do gerente? Pergunta rispidamente.O funcionário indica o caminho e mais do que rápido ligapara o gerente e informa que um homem mal encarado evestido de terno e gravata estava indo ao seu encontro.O gerente recebe o camarada e pergunta-lhe o que deseja.A resposta veio curta e grossa:- Quero todo o dinheiro da agência, isso é um assalto !!!O gerente olha com uma cara de alívio e responde:- Ufa! Ainda bem! Eu juro que pensei que o senhor fosse daauditoria!!!
5
Paradigma da Auditoria
Qual é a moral da estória anterior?
Os funcionários tem mais receio da auditoria doque dos elementos que podem causar desastresà organização.
6
Discussão
O que podemos dizer sobre a afirmação abaixo?
O termo auditoria tornou-se um sinônimo de“caça às bruxas”, o que na verdade não é, oupelo menos não deveria ser.
2
7
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
8
Plano de organização e todos os métodose medidas coordenadas, aplicadas emuma organização a fim de proteger seusbens, conferir a exatidão e a fidelidade deseus dados contábeis, promover aeficiência operacional e estimular aobediência às diretrizes administrativasestabelecidas.
Controle Interno
9
Planejamento
Execução
Controle
Ciclo Gerencial
Padrão
Medida
PadrãoDesvios = x
Medida
10
Contábil
• Fidelidade da informação em relação aodado• Segurança física• Segurança lógica• Confidencialidade• Obediência à legislação em vigor
Administrativo
• Eficácia• Eficiência• Obediência às diretrizes administrativas
Parâmetros de Controle Interno
11
• Verifica se as saídas das informações estãocorretas e são provenientes dos dados deentrada.
• Pode detectar e evidenciar o grau de falhaou erro existente no sistema de informação.
• Mede o efeito de um determinado processode sistema.
• Valida os resultados: banco de dados,arquivos, documentos, relatórios etc.
Fidelidade da Informaçãoem Relação ao Dado
12
• Avalia os recursos materiais e humanosaplicados ao ambiente de sistemas deinformação.
• Segurança do ambiente de tecnologia deinformação.
• Ferramentas: procedimentos de controle,dispositivos de segurança etc.
• Valida o grau de segurança proporcionadoaos recursos envolvidos no ambiente desistemas em relação às ameaças existentes eprováveis sinistros que podem ocorrer.
Segurança Física
3
13
• Avalia o nível de segurança e controleempregados com recursos tecnológicos nosprocessos de um sistema: programas decomputador, procedimentos mecanizados oumanuais etc.
• Revisa e avalia procedimentos operacionaise de controle para transformação dos dadosem informação.
Segurança Lógica
14
• Avalia o grau de sigilo que um sistemaconsegue manter perante acessos deterceiros ou pessoas não autorizadas.
• Revisa e avalia os recursos tecnológicosempregados: criptografia, senhas etc, bemcomo fator humano.
• Estabelecimento de nível deconfidencialidade é estabelecido pela análisede dados a ser feita pelos administradores dedados e usuários finais.
Confidencialidade
15
Verifica se os processos ou rotinas desistemas estão processando de acordocom as leis vigentes no país, estado,
município e entidades externasresponsáveis pelo estabelecimento de
normas e procedimentos.
Obediência à Legislação em Vigor
16
• Verifica o atendimento adequado dosobjetivos e necessidades da empresa ouorganização, através do seu recursotecnológico.
• Revisa e avalia os dados e as informaçõesprocessadas pelo sistema e utilizados pelosusuários.
Eficácia
17
• Verifica o aumento da produtividadeproporcionado pela melhoria de umdeterminado processo.
• Revisa e avalia a forma ótima de utilizaçãodos recursos em geral.
Eficiência
18
• Verifica o cumprimento das normas eprocedimentos determinados pelos diversossetores da organização.
• Avalia a adequação dos processos eresultados do sistema às políticas e normasestabelecidas pela alta administração.
Obediência às Diretrizes Administrativas
4
19 20
1) Assinale ( 1 ) para controle interno contábil e( 2 ) para controle interno administrativo:
( ) Eficiência
( ) Segurança física
( ) Fidelidade da informação em relação aos dados
( ) Obediência às diretrizes administrativas
( ) Confidencialidade (Privacy)
( ) Obediência à legislação
( ) Eficácia
( ) Segurança lógica
Exercícios de Assimilação - 1
21
2) Assinale com ( X ) os parâmetros de controle internoconsiderados para implantação das senhas de acesso aosistema de informação:
( ) segurança lógica
( ) obediência à legislação em vigor
( ) eficiência
( ) confidencialidade (privacy)
( ) eficácia
( ) fidelidade de informação em relação ao dado
Exercícios de Assimilação - 2
22
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
23
Papel do Auditor de SistemasAuditoria tradicional:
Identificar anomalias e recomendar aimplementação ou aprimoramento deControles Preventivos e Detectivos;Caso encontre, apontar indícios depossíveis fraudes.
Fraudes generalizadas:• Estimar prejuízos;• Levantar evidências;• Apontar vulnerabilidades;
• Relatar extensão do problema.24
Definição de Fraude
Ação que traz prejuízos emativos causada porprocedimentos realizados poralgum agente, com o objetivode obter benefícios própriospor motivo de satisfaçãopsicológica, necessidadefinanceira ou material.Ataca os princípios deSegurança Lógica eSigilosidade da Informação.
5
25
Algumas Estatísticas76% das empresas já foi vítima de fraudes48% das fraudes foram provenientesde funcionários64% dos executivos acreditam que taisnúmeros devam crescer50% dos executivos consideram isso(tendência de crescimento de fraudes)uma séria ameaça para sua empresa
“Hoje aparecem mais casos de fraude, não porque existam maisque antigamente, e sim porque há mais investigações.”
Fonte: Pesquisa nacional sobre fraudes corporativas – by KPMG – abril/2003 260%
10%
20%
30%
40%
50%
60%
70%
Algumas Estatísticas
Fonte: Pesquisa nacional sobre fraudes corporativas – By KPMG – abril/2003
AB
C
D
E
F
A. Perda de valores morais e sociais
B. Insuficiência no sistema de Controles
C. Impunidade
D. Problemas econômicos
E. Alterações na organização da empresa
F. Globalização
Quais os principais fatores queviabilizam a ocorrência de Fraudes?
270%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Algumas Estatísticas
Fonte: Pesquisa nacional sobre fraudes corporativas – By KPMG – abril/2003
A. Melhorias nos Controles Internos
B. Treinamento de pessoal
C. Confecção de manuais de conduta
D. Investigações específicas
E. Aumento no orçamento da auditoria interna
F. Sensibilização dos gerentes
G. Rodízio de pessoal
A
BC
D E F
G
O que as empresas praticam paraminimizar as ocorrências de Fraudes?
28
Conseqüências
� Comprometimento da Imageme Credibilidade da Empresa;
� Impacto nos Negócios daOrganização;
� Baixa qualidade operacional;� Implicações Legais;� Perdas Financeiras;� Concordatas e Falências.
� Comprometimento da Imageme Credibilidade da Empresa;
� Impacto nos Negócios daOrganização;
� Baixa qualidade operacional;� Implicações Legais;� Perdas Financeiras;� Concordatas e Falências.
29
Agentes Fraudadores
� Classificação quanto à origem:� Internos,� Externos ou� Ambos (quadrilhas com suporte do pessoal
interno).
� Classificação quanto à forma de ação:� Consciente ou Inconsciente;� Direta ou Indireta.
30
Agentes Fraudadores
� Interferência em processos ouresultados;
� Chantagem a profissionais;� Sabotagem contra ativos
intangíveis;� Engenharia social;� Inclusão de rotinas e informações
em desacordo com padrões epolíticas organizacionais.
Formas de Atuação
6
31
Fatores que Motivam a Fraude
� Insatisfação da não ascensãoprofissional;
� Insatisfação salarial;
� Preceitos de Ideologia;
� Desacordo com políticasempresariais;
� Solidariedade a profissionais“injustiçados” pela Organização.
Satisfação Psicológica do Fraudador
32
Fatores que Motivam a Fraude
� Doença familiar;
� Perdas em jogo;
� Realização de negócios errados;
� Padrão de vida além de seusalário.
Necessidades Financeiras do Fraudador
33
Fatores que Motivam a Fraude
� Dificuldades materiais em termos demoradia, transporte e alimentação;
� Desastres, catástrofes e acidentes;� Desagregação ou má situação
familiar;� Estar sofrendo chantagem;� Envolvimento com drogas ou tóxicos;� Alcoolismo.
Necessidades Pessoais do Fraudador
34
Fatores que Motivam a Fraude
� Má formação cultural;
� Personalidade fraca.
Outras Razões do Fraudador
� Momentos empresariais deaquisições, fusões,incorporações, falências ouconcordatas constituem umcenário atrativo para execuçãode fraudes.
35
Pontos Vulneráveis� Profissionais Polivalentes atuando em
diversas áreas da Organização;� Terceirização ou Quarteirização de
processos chaves;� Fragilidade de Controles Lógicos face a
necessidade de menores custos eprazos para desenvolvimento deatividades operacionais;
� Contratos Comerciais, principalmentecláusulas financeiras, administrativas etécnico-operacionais.
36
� Controles incompatíveis à natureza dos processos para os quais são destinados;
� Erros sistemáticos no processamento;
� Descumprimento de Normas ou Padrões Operacionais;
� Totais de Controle não fechados;� Uso excessivo de procedimentos
de exceção.
Fontes de Indícios
7
37
Fontes de Indícios
� Padrão de consumo incompatível comseus vencimentos;
� Demasiada preocupação emacompanhar, contribuir ou retardar ostrabalhos de auditoria;
� Mudança de conduta repentina;� Muita Motivação para Pouco Salário.
Especificamente para o Agente Fraudador
38
Medidas Preventivas e Detectivas
� Riscos existentes;
� Relação custo-benefício;
� Disponibilidade de recursos;
� Natureza dos Controles:� Linhas de Negócios� Sistemas Aplicativos� Infra-Estrutura e Ambiente de TI
� Cultura organizacional;
Variáveis para Adoção de Medidas Preventivas
39
� Aperfeiçoamento dos Controles Internos;
� Sensibilização dos gerentes;
� Confecção de manuais de conduta;
� Segregação de funções;
� Estrutura por células de trabalho;
� Rodízio de pessoal;
� Concessão de férias;
Relacionadas a Linhas de Negócio
Medidas Preventivas e Detectivas
40
� Banco de Dados: implementação detrilhas de auditoria, registro deexceções, totais de controle egerencia sob transações nãoconcluídas;
� Geração de Backup;� Procedimentos para concessão e
manutenção das permissões deacesso aos sistemas informatizados;
� Confidencialidade do Negócio ouAplicativo.
Relacionadas a Sistemas Aplicativos
Medidas Preventivas e Detectivas
41
� Geração de LOG: acesso ao Bancode Dados direta ou indiretamente (viasistema);
� Institucionalização de Normas eProcedimentos;
� Segregação de Funções.
Relacionadas à Infra-Estrutura e Ambiente de TI
Medidas Preventivas e Detectivas
42
Exemplos de FraudesAcesso Direto ao Banco de Dados
Fazendo uso de ferramentas específicas, funcionários acessavam as tabelas do Banco de Dados, e alteravam informações de saldos de clientes.Haja vista que o acesso era extra-sistema, as alterações não ficavam registradas, dificultando o rastreamento da Fraude.
8
43
Exemplos de FraudesSistema de Folha de Pagamento
Um mesmo funcionário era responsável pelo processamento da Folha, geração e encaminhamento dos Arquivos Remessa, Recepção e Guarda dos Arquivos Retorno, e baixa dos pagamentos no sistemaResultado: Os arquivos Bancários estavam sendo manipulados, implicando em pagamentos maiores do que o funcionário teria direito.
44
Exemplos de FraudesSistema de Compras
O comprador da empresa tinha acesso a vários módulos do sistema: Cadastro de Fornecedores, Cadastro de Pedidos, Cadastro de Materiais, Necessidades de Compras, Aprovação e Baixa Manual de Pagamentos. Resultado: � Fornecedores Fantasmas� Compras superfaturadas e mal
dimensionadas� Condições comerciais incompatíveis com as
disponibilidades da empresa.
45
Exemplos de FraudesSistema de Contas a Receber
Não havia qualquer sistemática para tratamento das exceções de baixas de pagamento;Todos os funcionários da cobrança tinham autonomia para cadastrar e alterar os valores de pagamentos.Resultados:� Divergências entre os valores pagos e
efetivamente baixados no sistema;� Pagamentos efetuados, mas não
registrados;� Clientes devedores com saldo zerado.
46
Exemplos de FraudesOrdens de Pagamento Eletrônicas
Os Agentes estavam tendo acesso a informações privilegiadas de OP’s (Quem? Irá receber quanto? A partir de quando?).
De posse dessas informações, documentos eram falsificados, e os Agentes compareciam aos Bancos para receber os valores.
47
Exemplos de FraudesInternet Banking
Clonagem de sites bancários;
Engenharia social;
Programas espiões;
Ataques de Força Bruta;
Ataques de Dicionário;
Senhas presumíveis.
48
9
49
O que leva ao indivíduo cometer as fraudes?Que medidas preventivas e corretivaspoderiam ser tomadas para minimizar oimpacto?
Questões para discussão
50
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
51
Segurança
Estado, qualidade ou condição de seguro,protegido, livre de perigos ou causas de ameaças.
SEGURANÇA FÍSICA: proteção dos recursoshumanos e materiais.
SEGURANÇA LÓGICA: proteção de rotinas.
AMEAÇA: efeito de uma causa possível deocorrência.
O fogo não é uma ameaça - ameaça é a destruiçãoque o fogo pode causar.
52
Conceitos e Princípios fundamentais da Segurança
ConfidencialidadePrincipio da manutenção do segredo ou sigilo ou daprivacidade das informações.
IntegridadePrincípio da manutenção do estado das informaçõesda mesma forma que foram geradas.
DisponibilidadePrincipio de garantia da possibilidade de acessocontínuo, ininterrupto, constante a atemporal asinformações.
Conformidade(legalidade)
Principio que determina que as transações e asinformações devem estar em conformidade com asleis, normas, regulamentações contratuais egovernamentais do país.
Irrevogabilidade(não repúdio)
Princípio que garante que as transações einformações não possam ser negadas (repudiadas)por qualquer um dos participantes de umacomunicação legítima.
53
ITIL - Information Technology Infrastructure Library
• Melhores práticas abertas para a Administração de Serviços de TI.
• Patrocinada pelo Governo do Reino Unido.• Escrito por consultores, fornecedores e usuários.• Administrado Independentemente pelo ITSM Fórum.• Vários países: Reino Unido, Holanda, EUA, África do
Sul, Austrália.• Treinamento e esquema de certificação acreditados.• Mais de 60,000 livros vendidos.• http://www.ogc.gov.uk/guidance_itil.asp• Usado por centenas de Corporações e Governos,
incluindo: ABN AMRO, Shell, Chevron, Capital One, Philips etc.
54
CoBit - Control Objectives for Information Technology
• CoBit : é um padrão desenvolvido pelo IT Governance Institute com o objetivo de pesquisar, desenvolver, publicar e promover um conjunto de Controle de TI par o uso no dia-a-dia por gerentes, consultores de segurança, controlers e auditores.
• ISACA Information Systems Audit and Control Association.
• http://www.isaca.org/cobit
10
55
Norma ISO 17799:2005 (27002)
� A norma ISO 17799:2005, também conhecida como ISO 27002, possui 11 seções de controles
� Cada seção especifica as melhores práticas de controles de segurança
� Política de segurança, Organização da Segurança, Gestão de ativos, Segurança em recursos humanos, Segurança física e do ambiente, Gestão das operações e comunicações, Controle de acesso, Aquisição, desenvolvimento e manutenção de sistemas de informação, Gestão de incidentes, Gestão de continuidade e Conformidade
� A certificação ocorre com base na norma ISO 27001
� Serve de base para auditorias de segurança, análises de riscos e planejamento de segurança da informação
56
Aplicação dos padrões ITIL, Cobit e ISO 27002.
Estrutura e Papéis
Tecnologia
CobitITIL
ISO 27002
ITILCobit - limitado
ISO 27002 - limitada
CobitISO 27002
ITIL - limitado
ITILPMI
Cobit (futura ISO 27004 )
57
ITIL / Cobit / ISO 27002Onde aplicar os padrões e frameworks
ITIL é forte nos Processo de TI, mas é limitado em segurança e no desenvolvimento de sistemasCobit é indicado para Controles de TI e Métricas de TI, mas não diz como (ex. fluxo dos processos) e não é m uito forte em segurançaISO 27002 é forte e adequado para Controles de SegurançaConclusões:
� Não há contradições ou sobreposições reais
� Nenhum especifica requerimentos de pessoas
� Não são fortes no lado organizacional (structure & roles)
� Não são orientadas ou fortes em tecnologias58
DetectivoPreventivo Corretivo Restauração
Plano de Contingência
Plano de Segurança
Gestão de Segurança
Gestão de Segurança em TI
Plano de Continuidade de
Negócio
59
Qual é o grau de sigilo requerido nosPlanos de Segurança, Contingência eContinuidade de Negócio do Ambientede Tecnologia da Informação
Questão para discussão
60
Controle
Procedimentos executados com a finalidade de garantirque determinadas normas e/ou especificações pré-estabelecidas, sejam adequadamente cumpridas.
RELAÇÃO CONTROLE / TEMPO
PRÉ-CONTROLE: Reduz erros e/ou falhas na execuçãode uma tarefa/operação. Não é intransponível.
CONTROLE CORRENTE: Age como guia para que certastarefas/operações, se desenvolvam na forma desejada.
PÓS-CONTROLE: Reduz a propagação de resultadoscom erros e/ou falhas advindos da execução detarefas/operações.
11
61
Controle
PROCESSO
MODELOMODELO
Pré-Controle Pós-ControleControle Corrente
ENTRADAS SAÍDAS
62
Trilha de Auditoria
----------------------------------------
--------Tn
----------------------------------------------------------------
BANCO DE DADOS
CRÍTICA ECONSISTÊNCIA
CÁLCULO EATUALIZAÇÃO
CONSULTA EEMISSÃO DERELATÓRIOS
------- T1------ T2------ Tn/ Tt
------- Tt-------------- Tw
------- Tw------- Ty-------- Tz
T1 Tt TwT2
Tn Tw T2
--------------------------------------------------------------------------------
T1
--------------------
T2
--------------------------
63
ContratoValor
1.000,00
2.000,00
3.000,00
Header
2
Total Valor1
2
Total Registros
3.000,00
Nº
Totais de Controle de arquivos
64
Relatório de Gestão
BANCO DE DADOS
* INDICADORES DE QUALIDADE- quantidade de registros - m- registros inconsistentes - x%- registros de exceção - y %
* CURVA “ABC”- faixa A - R$ 999 mil- faixa B - R$ 99mil- faixa C- R$ 9 mil
65
Controle Interno
FAIXAACEITÁVEL Eficiência,
Eficácia
Integridade,Segurança
Custo
.
Controles66
12
67
Assinale para as alternativas abaixo relacionadas, ( V ) verdadeira e ( F ) falsa:( ) Auditores não precisam dedicar em desenvolvimento de sistemas, pois,
qualquer que seja o sistema, os analistas asseguram a implantação de todosos controles que forem possíveis.
( ) Quando os controles são inadequados, pode fazer com que o processamentode dados torne-se inútil.
( ) Controles podem ser incluídos no sistema, posteriormente, com facilidade e,
não durante o desenvolvimento do mesmo.( ) Quando os controles forem excessivos e assíduos, acabam prejudicando o
processamento do sistema de informação.( ) Face aos objetivos e responsabilidades da área de auditoria, a auditoria
externa está mais relacionada ao controle interno administrativo e a internacom o contábil.
Exercícios para Assimilação - 3
68
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em Pontos
de Controle
Agenda
69
• Promover a adequação dos controlesinternos nos sistemas de informação.
• Promover a adequação na utilização derecursos humanos, materiais e
tecnológicos envolvidos no ambiente desistemas de informação.
Objetivos da Auditoria de Sistemas
70
• Sistemas em operação normal
• Sistemas em desenvolvimento
• Administrativo e operacional do ambiente
• Eventos específicos
Trabalhos de Auditoria de Sistemas
71
A auditoria de sistemas em operaçãonormal consiste na revisão e na avaliaçãode procedimentos e resultados dossistemas de informação.
Característica preventiva, detectiva ecorretiva.
Sistemas em Operação Normal
72
A auditoria de sistemas emdesenvolvimento consiste na revisãoe na avaliação do processo deconstrução de sistemas deinformação.
Característica preventiva.
Sistemas em Desenvolvimento
13
73
Abrange todo o ambiente de tecnologia dainformação em termos de infra-estrutura,normas e procedimentos, custos, nível deutilização de recursos, planos desegurança e de contingência etc.
Administrativo e Operacional do Ambiente
74
Abrange a análise da causa, daconseqüência e da ação corretivacabível de eventos específicos elocalizados, detectado por outrosórgãos e levados para seuconhecimento.
Característica corretiva.
Eventos Específicos
75
Uma situação levantada que merece ser validadapela auditoria, segundo determinadosparâmetros de controle interno.
Processo
Rotina operacional, rotina de controle, etapas dedesenvolvimento ou manutenção de sistemas,procedimentos administrativos etc.
Resultado
Documentos, relatórios, arquivos, pontos deintegração, estrutura lógica / física de sistema,modelo entidade-relacionamento etc.
Pontos de Controle
76
Ponto de controle já validado queapresentou fraqueza e que constará norelatório de avaliação do controle interno.
Caracterização
a) Documentação comprobatóriab) Descrição do tipo de fraquezac) Alternativa de solução recomendada
Pontos de Auditoria
77
Ciclo de Vida de Pontos de Controle e de Auditoria
CARACTERIZAÇÃO E INVENTÁRIO DOS
PONTOS DE CONTROLE
AVALIAÇÃO DOS PONTOS DE CONTROLE
SELECIONADOS
CARACTERIZAÇÃO DO PONTO DE
AUDITORIA
APRESENTOU FRAQUEZA?
IMPLEMENTAÇÃO DA SOLUÇÃO
RECOMENDADA
FIM
SIM
NÃO
78
Ciclo de Auditoria de Sistemas
AUDITORIA DE POSIÇÃO AUDITORIA DE ACOMPANHAMENTO
AVALIAÇÃO DOS PONTOS DE CONTROLE
AVALIAÇÃO DOS PONTOS DE AUDITORIAPONTOS DE
CONTROLE CARACTE-RIZADOS
PONTOS DE CONTROLE NÃO SELECIONADOS
PONTOS DE CONTROLE TESTADOS
NÃO APRESENTARAM
FRAQUEZAS
APRESENTARAM FRAQUEZAS
PONTOS DE AUDITORIA
14
79
Ciclo do Projeto de Auditoria
Auditoria de Posição
1. Levantamento
2. Inventário de Pontos de Controle
3. Eleição e Seleção dos Pontos Inventariados
4. Revisão e Avaliação
5. Conclusão (relatório de auditoria)
Auditoria de Acompanhamento
6. Follow-Up
Planejam
ento e Controle
80
Planejamento e Controle
Definição das necessidades de recursoshumanos, tecnológicos, materiais efinanceiros, em função do enfoque,abrangência e delimitação do sistema a serauditado em relação ao prazo estabelecidopela alta administração.Formação das equipes de trabalho:coordenação e execução.Elaboração de cronogramas, quadro derecursos, orçamentos etc.
81
Fase de Levantamento
Caracterização em nível macro,suficiente e abrangente para oentendimento pleno e global dascaracterísticas da tecnologia deinformação.Pode ser promovido por meio de:� entrevistas, análise da documentação etc.
� descrição narrativa, gráficos, tabelas etc.
82
Inventário de Pontos de Controle
Identificação dos diversos Pontos quepoderão vir a ser avaliados pelo auditor, eque podem agrupar-se da seguinte forma:� Processos Informatizados,� Processos Manuais e
� Resultados de Processamento
83
Eleição dos Pontos Inventariados
Consiste em estabelecer prioridades paraavaliação dos Pontos inventariados.São aspectos comumente observados parapriorização desses Pontos:� Análise de risco;� Disponibilidade de recursos;
� Prazos e cronogramas de trabalho;� Decisão gerencial;� Relevância dos aspectos a serem avaliados;� Natureza da avaliação; ou� Foco dos trabalhos de auditoria
84
Revisão e AvaliaçãoConsiste em executar testes de validação dos Pontos deControle, segundo parâmetros de controle interno determinadopara auditoria do sistema de informação.Aplicam-se as técnicas de auditoria que evidenciem as falhasou fraquezas de controle interno.Detectando falhas ou fraquezas, elabora-se o relatório defraqueza de controle interno, apontando e recomendando asalternativas de solução, que minimizem ou até eliminem asfraquezas.O ponto de controle transforma-se em ponto de auditoria, o qualdeverá acompanhar em função do prazo dado para correçãopor parte dos analistas e usuários responsáveis pelamanutenção.Uma vez solucionado, volta ao processo de um novo inventárioou segunda auditoria.
15
85
Conclusão
Consiste em apresentar através do Relatóriode Auditoria, a opinião final sobre a situaçãodo controle interno do sistema de informação:� Satisfatório ou não.� Baixo, médio ou alto risco.
86
Follow-Up
Consiste em revisar e avaliar, dentro deum novo projeto de auditoria, os pontosde auditoria, ou seja, os pontos decontrole que apresentaram fraquezasde controle interno em trabalhosanteriores.
87 88
1) Planejamento e controle ( ) Caracterização dos pontos de controle
2) Levantamento ( ) Técnicas de auditoria de sistemas
3) Inventário ( ) Alocação de recursos e elaboração de cronogramas
4) Priorização e seleção ( ) Relatórios de auditoria
5) Revisão e avaliação ( ) Análise de risco
6) Conclusão e acompanhamento
( ) DFD – Diagrama de Fluxo de Dados, DD – Dicionário de Dados, MER –Modelo Entidade-Relacionamento, DHF – Diagrama Hierárquico de Funções
Correlacione as duas colunas:
Exercícios para Assimilação - 4
89
1) Auditoria de sistemas em produção ( ) Situação levantada que merece ser validada
2) Auditoria durante o desenvolvimento de sistemas
( ) Ponto de controle já validado que apresentou fraqueza de controle interno
3) Auditoria administrativa e operacional do ambiente de T.I.
( ) Abrange os procedimentos e resultados dos sistemas de informação
4) Auditoria de eventos específicos ( ) Avaliação de pontos de auditoria
5) Pontos de controle ( ) Rotinas operacionais e de controle
6) Pontos de auditoria ( ) Abrange contratos de hardware e software, utilização de equipamentos etc
7) Auditoria de posição ( ) Abrange o processo de construção de sistema de informação
8) Auditoria de acompanhamento ( ) Documentos, relatórios e arquivos magnéticos
9) Processo ( ) Abrange análise da causa, conseqüência e da ação corretiva cabível
10) Resultado ( ) Avaliação de pontos de controle
5 - Correlacione as duas colunas:
90
Assinale para as alternativas abaixo relacionadas, ( V ) verdadeira e ( F ) falsa:
( ) Banco de dados corresponde ao processo de um sistema.
( ) Durante o desenvolvimento de sistema, não existem dados e informações
tratados pelo mesmo para serem auditados.
( ) Rotina de emissão de relatórios corresponde ao resultado de um sistema de
informação.
( ) Devido a falta de dados e informações do sistema durante a fase da sua
construção, torna-se impossível avaliar o sistema sob a ótica deeficácia.
( ) Uma vez adotada uma das alternativas de solução sobre o ponto de controle
fraco, este se transforma em ponto de auditoria.
( ) A formação de equipes de coordenação e de execução da auditoria corresponde
a uma das atividades de planejamento do trabalho proposto pela metodologia
em questão.
( ) Revisão e avaliação dos pontos de controle corresponde à auditoria de sistemas
propriamente dita.
Exercícios para Assimilação - 6
16
91
Assinale ( 1 ) para processo e ( 2 ) para resultado:
( ) Consulta aos arquivos
( ) Documentos de entrada de dados
( ) Preparação de dados de entrada
( ) Crítica e consistência de dados
( ) Telas e relatórios
( ) Controle de qualidade
( ) Manutenção de arquivos
( ) Emissão de relatórios
( ) Arquivo de transação
( ) Atualização de banco de dados
( ) Banco de dados
Exercícios para Assimilação - 7
92
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
93
Auditoria do Ambiente deTecnologia da Informação
� Revisão e avaliação dos recursos comuns utilizados no processamento dos diversos sistemas de informação.
� Etapas da auditoria do ambiente:1. Planejamento e controle2. Levantamento e caracterização do ambiente3. Inventário dos pontos de controle4. Eleição dos pontos de controle5. Revisão e avaliação dos pontos de controle eleitos6. Conclusão (Relatório de Auditoria)7. Acompanhamento das recomendações (follow-up)
94
Pontos de Controle do Ambiente deTecnologia da Informação
1 Instalação Físicas - Detectores2 Instalação Físicas - Sistemas de Alarme3 Instalação Físicas - Extintores4 Localização Física5 Instalação Elétrica6 Sala do Computador / Servidor7 Fator Humano8 Segurança Ambiental e Contingência9 Controle de Acesso Físico10 Mídia de Segurança11 Procedimentos de Backup12 Plano de Segurança
95
13 Plano de Contingência14 Microinformática15 Rede de Microcomputadores16 Controle de Operação e Uso de Recursos Computa cionais17 Controle de Acesso Lógico - Senhas18 Critérios de Classificação de Sistemas e de In formações19 Teleprocessamento20 Ambiente “WEB” - Internet / Intranet21 Manutenção de Sistemas de Informação22 Segregação de Funções23 Documentação24 Planejamento e Controle
Pontos de Controle do Ambiente deTecnologia da Informação
96
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
1 Instalação Físicas - Detectores•••• Detectores de fumaça, aumento de calor,
umidade, temperatura.•••• Painel de controle de detecção de sinistro.•••• Teste de detectores.
2 Instalação Físicas - Sistemas de Alarme•••• Teste do Sistema de Alarme.
3 Instalação Físicas - Extintores•••• Tipos de extintor.•••• “Sprinklers”.•••• Treinamento para utilização.
17
97
4 Localização Física•••• Áreas de risco.
5 Instalação Elétrica•••• Luz de emergência.•••• Instalação elétrica independente dos
cabos de transmissão.•••• Fio-terra.
6 Sala do Computador / Servidor•••• Limpeza da sala.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
98
7 Fator Humano•••• Programa de conscientização de segurança.•••• Treinamento de pessoal.•••• Esquema rotativo de tarefas.•••• Seleção e avaliação de novos funcionários.
8 Segurança Ambiental e Contingência•••• Rondas; Sala do computador fechada.•••• Inventário periódico de chaves.•••• Acesso ao pessoal de segurança.•••• Conhecimento e revisão periódica de planos
para emergência e desastres.•••• Seguros; contratos de garantia.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
99
9 Controle de Acesso Físico•••• Controle de acesso às instalações; crachás.•••• Saídas de emergência.•••• Controle de entrada e saída de pacotes.
10 Mídia de Segurança•••• Mídia fora das instalações do ambiente.•••• Identificação e armazenamento de mídias.
11 Procedimentos de Backup•••• Armazenamento de fitas backup.•••• Sistema de controle de backup.•••• Teste de programas e arquivos backup.•••• Garantia de recuperação e prazo de validade.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
100
12 Plano de Segurança•••• Prevenção e detecção de sinistros.•••• Controle do plano.•••• Revisão e teste do plano.
13 Plano de Contingência•••• Compatibilidade das instalações.•••• Prioridades.•••• Correção e restauração do ambiente.•••• Revisão e teste do plano.•••• Responsáveis pela aplicação.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
101
14 Microinformática•••• Proteção dos componentes•••• Estabilizadores e “no-break”.•••• Seguros e contrato de manutenção.•••• Controle patrimonial.•••• Programas alternativos.•••• Antivirus.•••• Backup dos dados.•••• Procedimentos de utilização de micros
(classificação, eliminação de arquivos, senhas).
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
102
15 Rede de Microcomputadores•••• Estabilização da rede elétrica e “no-break”.•••• Manutenção preventiva e computador backup da rede.•••• Cabos de transmissão de dados.•••• Proteção do servidor; “drive”, entrada de software.•••• Mapeamento de nós; backup periódico.•••• Sistema detector e eliminador de arquivos estranhos .•••• Controle de sobrecarga de winchester do servidor.•••• Direcionamento para diretórios específicos aos usuá rios.•••• Topologia da rede e procedimentos de uso.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
18
103
16 Controle de Operação e Uso de Recursos Computa cionais•••• Acompanhamento do uso pela análise de “log”.•••• Detecção de possíveis problemas.•••• Possibilidade de intervenção por outro periférico.•••• Análise e acompanhamento da utilização de recursos
computacionais.
17 Controle de Acesso Lógico - Senhas•••• Medidas de segurança com terminais remotos e uso de
terminais para transmissão e recepção de dados.•••• Mudança, manutenção e cancelamento de senhas.•••• Criptografia de senhas.•••• Linhas abertas e níveis de acesso em sistemas.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
104
18 Critérios de Classificação de Sistemas e de In formações•••• Grau de importância e responsabilidade sobre os dad os.
19 Teleprocessamento•••• Controle de transmissão de dados.•••• Proteção na transmissão de dados sigilosos.•••• Rodízio de responsabilidades e help-desk.
20 Ambiente “WEB” - Internet / Intranet•••• Proteção contra acesso indevido de hackers e cracke rs.•••• Controle de recepção e envio de arquivos e programa s.•••• Monitoração do ambiente “WEB”.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
105
21 Manutenção de Sistemas de Informação•••• Controle de manutenção e teste de programas.
22 Segregação de Funções•••• Programadores / analistas x usuários.
23 Documentação•••• Adequação.•••• Atualização.•••• “Help on-line”.
24 Planejamento e Controle•••• Monitoramento do Plano Diretor de Informática.
Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação
106
107
O Centro de Processamento de DadosSUPERSEGURO, esteve em funcionamento por váriosanos. Finalmente foi fechado, não devido a um ataque,mas por decisão da diretoria de Empresa.
Enquanto esteve em operação, a segurança físicafoi enfaticamente alardeada por palavras e por manuaiscorporativos.
A planta apresentada na figura subseqüente, ilustrao mecanismo de entrada.
Caso: CPD Superseguro
108
Caso: CPD Superseguro
Estacionamento
Porta
Porta
Escritórios
CPD
Janela
Janela
Casa dos
Guardas
Área
Check deSegurança
Hall de Entrada
Porta Porta
Depósito de Formulários
Porta
Porta
19
109
Caso: CPD SuperseguroO Hall de entrada era o único ponto regular utilizado para a entrada
a partir do exterior. Era constantemente monitorado a partir da Casa dosGuardas, por um sistema de Televisão de Circuito Fechado, via umacâmera instalada acima da porta de entrada do Depósito de Formulários.
A porta de acesso à área de Check de Segurança não poderia seraberta por qualquer dos lados, a menos que um dos guardas acionasse afechadura eletromagnética.
O acesso aos Escritórios ou ao CPD, a partir da área de Check deSegurança, exigia a utilização de crachá magnético, lido por equipamentoapropriado instalado nas portas.
Tanto a área de Check de Segurança, como o CPD eram visíveisaos guardas, através de janelas com vidros à prova de balas.
A porta dupla de acesso ao Estacionamento era, na realidade, umaporta de emergência, anti-pânico, para casos de incêndio. Não podia seraberta pelo lado de fora e, além disso, estava conectada por meios decabos elétricos a um sistema de alarmes.
110
Caso: CPD Superseguro
Havia também, uma central de alarmes sonoros e luminosos,instalada na Casa dos Guardas, que concentrava um conjunto deSensores de fogo, fumaça e água, além de diversas câmeras detelevisão que monitoravam o Hall de entrada, os acessos aoselevadores, e a casa de máquinas de força e ar condicionado. TalCentral de Alarmes era constantemente observada pelos guardas.
Todos os guardas eram ex-policiais da Polícia Local,adequadamente treinados para as funções a que foram designados.
Entretanto, uma vez, uma tentativa de acesso não autorizado,revelou algumas vulnerabilidades de tal sofisticado sistema.
O intruso conseguiu entrar na área de Check de Segurança, eos guardas tiveram de detê-lo, mas não lograram consegui-lo.
111
Caso: CPD Superseguro
Pergunta-se:1) Como os guardas poderiam deter o intruso? Foi fácil e rápido ou não?2) Um funcionário que estivesse saindo dos Escritórios naquele momentocorreria algum risco? Por que? Como ele poderia evitar correr tal risco?Que risco era esse?3) O intruso poderia escapar dos guardas? Como? Por onde? Por que?4) No caso de um funcionário do CPD comportar-se violentamente, osguardas deveriam acorrer ao local para segurá-lo. Quão rápida seria achegada dos guardas ao CPD? Por que?5) Além das fraquezas relacionadas com os dois casos acima, vocêdetectou outras?6) Relacione todas as vulnerabilidades detectadas e sugira medidassimples para reduzi-las ou eliminá-las. Comente como taisvulnerabilidades poderiam ter sido evitadas, quando da instalação de talsistema de controle de acesso físico.
112
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
113
AUDITORIA DE SISTEMAS EM PRODUÇÃO
OBJETIVO PRINCIPAL:
• Promover a adequação dos controles internosnos sistemas de informação.
ATIVIDADES:
Revisar e avaliar os procedimentos e resultadosdos sistemas de informação.
Característica preventiva, detectiva e corretiva.
114
Etapas da Auditoria de Sistemas
Parecer Final
Apresentou
fraqueza?
Revisão e Avaliação
Planejamento e controle
Recomendação
Seleção
sim
não
Levantamento Inventário
20
115
Como todo projeto, um trabalho de auditoria desistemas deve ser bem planejado.O planejamento deve estabelecer:
• recursos necessários para execução dotrabalho;• área de verificação;• metodologias;• objetivos de controle; e,• procedimentos a serem adotados.
PLANEJAMENTO E CONTROLE
116
ETAPAS TÉCNICOS QTDEHORAS
MÊS 1 MÊS 2 MÊS 3
1 2 3 4 1 2 3 4 1 2 3 4a) Planejamento do projeto de auditoriade sistema de informação
Luís 32
b) Levantamento do sistema a serauditado
MarcoNei
8080
c) Identificação e inventário dos pontosde controle
MarcoNei
2424
d) Priorização e seleção dos pontos decontrole do sistema em auditoria
LuísMarco
1616
e) Revisão e avaliação dos pontos decontrole
MarcoNei
120120
f) Acompanhamento e/ou conclusão deauditoria
LuísMarco
Nei
402424
TOTAL GERAL 3 técnicos 600
EXEMPLO DE CRONOGRAMA DE EXECUÇÃO
117
1. LEVANTAMENTO
Caracterização em nível macro, suficiente eabrangente para o entendimento pleno e globaldas características do sistema.
• Entrevistas, análise da documentação etc.
• Diagrama de fluxo de dados, dicionário dedados, modelo entidade-relacionamento,diagrama hierárquico de funções etc.
118
• Consiste em reuniões entre o auditor e osresponsáveis pelos elementos a seremauditados:
• Aspectos a serem considerados para umaentrevista produtiva:
a) Escolha do entrevistadob) Definição dos objetivosc) Identificação dos elementos que estãosendo avaliadosd) Elaboração prévia do questionárioe) Postura do auditor
Entrevista
119
Observação pessoal do auditor sobre oselementos que estão sendo auditados.
•Sala dos Servidores•Rotinas Operacionais de Trabalho
ObservaçõesLembrar que a presença do auditor influencia e modifica o comportamento das pessoas
Verificação In-Loco
120
Conjunto de perguntas a serem encaminhadassimultaneamente para várias pessoas, de tal sorte quedeterminadas informações sejam levantadas numintervalo menor de tempo;
Quesitosa) Identificação criteriosa dos entrevistados;b) Clareza e objetividade das perguntas;c) Conduzir as questões de forma a proporcionar respostas claras e tabuláveis (sugestão: múltipla escolha)d) Definição de prazos para respostas ee) Controles de envios e recebimentos.
Questionário
21
121
Estudar e analisar os documentos relacionados aosobjetivos da auditoria.
Quesitosa) Senso crítico para identificar os documentosrelevantes, separando-os daqueles menosconsistentes ou que não estão relacionados aostrabalhos;b) Gerenciar as solicitações, recebimentos,devoluções e arquivo dos mesmos;
Regra para Análise de DocumentosNão existe relação entre volume de informação equalidade dos trabalhos.
Análise de Documentos
122
FATURAMENTO
1CADASTRAMENTO
ECONTABILIZAÇÃO
BANCOS
CLIENTES
CLIENTES
ATUALIZAÇÃO
DE DALDOSLIMITE DE
CRÉDITO4
ATUALIZAÇÃODE
CRÉDITO
2REMESSA DEDUPLICATAS
PARACOBRAN’ÇA
3ATUALIZAÇÃO
DECOBRANÇA
BORDERÔ
C?DUPLICATASP/COBRANÇA
DUPLICATAS
P/ COBRANÇA
BAIXA
DUPLICATAS
ABERTAS
CONTABILIZAÇÃO
DUPLICTAS A RECEBER
SOLICITAÇÃODE CRÉDITO EINFORMAÇÕESDO CLIENTE
RELAÇÃO DE COBRANÇA
NUMERÁRIOS
DUPLICATASQUITADAS
DUPLICATAS
A RECEBER
(Ponto de Integração)
DAS DUPLICATAS
Diagrama de Fluxo de Dados - DFD
123
2. INVENTÁRIO DE PONTOS DE CONTROLE
Identificação dos pontos de controle:
• documentos de entrada,
• relatórios e telas,
• arquivos magnéticos,
• rotinas ou programas de computador,
• pontos de integração etc.
124
P R E P A R A Ç Ã OD E D A D O S
C O N V E R S A Ç Ã OD E E N T R A D A D E
D A D O S
C R ÍT I C A EC O N S IS T Ê N C IA
D E D A D O S
C Á L C U L O E A T U A L I Z A Ç Ã OD E A R Q U I V O S
A C E R T O S
M A N U T E N Ç Ã OD E
A R Q U IV O S
E M IS S Ã OD E
R E L A T Ó R IO S
C O N T R O L E D EQ U A L ID A D E E
D IS T R IB U I Ç Ã O
R E L A T Ó R IO S
D O C U M E N T O S
A R Q U IV OM E S T R E A R Q U IV O D E
T R A N S A Ç Ã O
R E L A T Ó R I O S D EC O N S IS T Ê N C IA
E A T U A L I Z A Ç Ã O
U S U Á R I O S
U S U Á R I O S
SISTEMAS EM BATCH
125
PONTOS DE CONTROLE – SISTEMAS EM BATCH
• Documentos de entrada• Rotina de preparação de dados• Rotina de conversão e entrada de dados• Rotina de crítica e consistência de dados• Rotina de cálculo e atualização de arquivos• Rotina de acerto de erros de consistência e atualização• Arquivo mestre• Arquivo de transação• Rotina de manutenção de arquivos• Rotina de emissão de relatórios• Rotina controle de qualidade e distribuição de relatórios• Relatórios de saída 126
E N T R A D A D ED A D O S
C R ÍT IC A EC O N S IS T Ê N C IA D E D A D O S
C Á L C U L O EA T U A L IZ A Ç Ã O D E D A D O S
C O N S U L T A
E M IS S Ã O D ER E L A T Ó R IO S
B A N C O D ED A D O S
A R Q U IV O“L O G ”
M A N U T E N Ç Ã O D EB A N C O D E D A D O S
E A R Q U IV O S
T E R M IN A ISR E M O T O S
( s e nh a d e au to r iz aç ã o )T ra n s a ç ã o e A tu ali z aç ã o
d e b an c o d e d ad o s
(s e n h a d e a c es s o)R ec u p er aç ã o d e in f orm a ç ã o
SISTEMA ON-LINE REAL TIME
22
127
PONTOS DE CONTROLE DO
SISTEMA ON-LINE REAL TIME
• Rotina de senha de autorização - acesso ao banco de dados
• Rotina de transação e atualização de banco de dados
• Banco de dados
• Arquivo log
• Rotina de manutenção de banco de dados
• Rotina de consulta e/ou emissão de relatórios
• Telas e relatórios
128
3. ELEIÇÃO E SELEÇÃO
Consiste em estabelecer prioridades e selecionaros pontos de controle inventariados.
A seleção pode ser efetuada através da aplicaçãoda análise de risco.
A análise de risco é um método de apurar comantecedência, quais as ameaças ou eventos futurosnão desejáveis e incertos, cuja ocorrência causamperdas dos ativos.
129
Risco
Conceitos
É a possibilidade de uma ameaça explorar avulnerabilidade de um bem, causando perda ou dano
ao mesmo.Análise de RiscoUma avaliação dos pontos de interesse da auditoria desistemas, quanto aos riscos que podem enfrentar.
Exposição aos Riscos
A medida de exposição aos riscos pode ser avaliadapor um conjunto de critérios baseados nas suas
probabilidades de ocorrência e nos níveis deseveridade dos impactos. 130
Tipos de Ameaças mais Comuns
Oscilações de energia, falhas de climatização, instalações inadequadas, danos físicos
Hardware
Falhas de controle, backups insuficientes / inadequados, desmagnetização, falhas no transporte, falhas no armazenamento
Dados/meios de armazenamento
Furto, alterações indevidas, vírus, falta de controle de acesso
Software
Sabotagem, espionagem, modificação, fraudes, quedas / interrupções
Redes de Comunicação
Insuficiência de equipamentos, falhas técnicas, oscilações elétricas, falta de energia / água / combustível
Infra-estrutura técnica
Fogo, raios, água, furtos / roubos, espionagem, terrorismo / sabotagem
Local/edifício
Exemplos de ameaçasCampos de risco
131
AMEAÇAS VULNERABILIDADES
CONTROLES RISCOS ATIVOS
NECESSIDADESDE SEGURANÇA
VALORES E IMPACTO
POTENCIAL A ATIVOS
EXPLORAM
EXPÕEMPROTEGEM CONTRA
TEMIMPLEMENTADAS COM
Elementos do Risco
132
Identificação e valorização de ativos
Avaliação de vulnerabilidades
Avaliação de ameaças
Identificação dos controles existentes e planejados
Análise de Riscos
Análise de Risco
23
133
Pontos de Controle
1) Rotina de Consistência de Dados 2) Rotina de Atualização de Arquivos
3) Arquivo Mestre
4) Arquivo de Transação
5) Rotina de Emissão de Relatório
2
3
3
1
1
3
2
2
2
1
3
2
2
6
8
7
5
412
Folha de Pontuação para Priorização de Pontos de Controle
Antônio José Luís Total
Grau de importância e impacto: 1 – baixo2 – médio3 – alto
134
4. REVISÃO E AVALIAÇÃO
Consiste em executar testes de validação dospontos de controle, segundo parâmetros decontrole interno determinado para auditoriado sistema de informação.
Aplicam-se as técnicas de auditoria queevidenciem as falhas ou fraquezas decontrole interno, tais como, “ao redor”,“através de” ou “com” computador.
135
Técnicas de Verificação das Fases de Processamento
Técnicas de Verificação dos Resultados de Processamento
Ao Redor de Computador
Através de Computador
Verificação econfrontação deoutput em relação ao input
Teste-deck
Facilidade de teste integrado
Tracing
Mapeamento do programa
Snapshot
Processamento simultâneo
Simulação paralela
Análise de job accounting / log
Análise de instruções do programa
Com Computador
Programas desenvolvidos pelo usuário
Software geral de auditoria
Gerenciador de banco de dados
Adaptado de ARIMA, Carlos H. Metodologia de Auditoria de Sistemas. São Paulo: Érica, 1994. p. 68
Técnicas de Auditoria de SistemasFerramentas para Suporte aos Trabalhos de Auditoria
136
Ferramentas para Suporte à Auditoria
Softwares para gerenciamento de cronogramasFacilidades para trabalho em equipe� E-Mail� Grupos de Trabalho� Videoconferência� Compartilhamento de documentos
Controles e documentação do projetoSoftwares específicos para auditoria
137
TÉCNICA DE AUDITORIA“AO REDOR” DO COMPUTADOR
Análise comparativa dos dados de entrada e dasinformações de saída dos processos do computador com aelaboração da mesma tarefa por meio manual.
Conveniente para sistemas simples e menores.
138
Técnicas Manuais para Avaliação
Entrevistas
Verificação “in-loco”
Questionários
“Check-list”
Análise de Documentos
Diagrama de Causa e Efeito
Diagrama de Pareto
Método 5W1H
24
139
TÉCNICA DE AUDITORIA“ATRAVÉS” DO COMPUTADOR
Consiste na identificação, análise e teste dos pontos decontrole interno do sistema de informação em nívelcomputadorizado.Exemplos:• “Test-Deck”• “Mapping”• “Tracing”• “Snapshot”• Análise de “Job Accounting” / “ Log”• Simulação Paralela• Análise de instruções do programa
140
• Envolve o conceito de massa de dados, ondeinformações fictícias são submetidas ao processamentonos programas informatizados.
• A massa de dados em questão deverá apresentar umadiversidade de combinações extrema, que nem sempreserá encontrada no ambiente original.
• Após o processamento, em análise aos resultadosobtidos, é possível aferir a segurança lógica e/ou aeficiência do sistema auditado.
Observação
Embora não observado na prática, o presente teste deveser apontado como obrigatório para homologação denovos sistemas
Test-Deck
141
MAPPING
Verifica-se a freqüência em que cada linha de código está sendo executada.
TRACING
Verifica-se quais instruções do programa estão sendo executadas, e em que ordem.
SNAPSHOT
Verifica-se os diferentes valores que estão sendo atribuídos as variáveis auditadas.
Mapping, Tracing e Snapshot
142
• Desenvolve-se um programa independente que simuleas funcionalidades do sistema/módulo que está sendoauditado;
• Idealmente, o programa em questão deverá utilizartecnologia (linguagem e ambiente) distintos do sistemaoriginal;
• Ao submeter-se dados idênticos para processamentonos dois sistemas (paralelo e original), confronta-se assaídas, aferindo-se dessa forma a confiabilidade dosistema informatizado.
Exemplo
Programa paralelo para simular contabilizaçãoautomática.
Simulação Paralela
143
TÉCNICA DE AUDITORIA“COM” COMPUTADOR
Consiste no uso do computador para verificar e testar os
dados processados pelo sistema de informação
computadorizado.
O método implica na elaboração de programas de
computador que executam testes de prolongamentos e
condições, seleção e impressão para confirmações e
amostras para auditoria, comparação de dados da
auditoria com registros do sistema e análise das amostras
da auditoria.144
TÉCNICA DE AUDITORIA“COM” COMPUTADOR
Ferramentas:
• Software geral da auditoria. Ex: ACL, IDEA.
• Programas específicos desenvolvidos para auditoria.
• Programas utilitários ou desenvolvidos pelos usuários.
• Gerenciador de banco de dados. Ex: Oracle, SQL.
25
145
5. CONCLUSÃO
Consiste em apresentar através do relatório de auditoria, aopinião final sobre a situação do controle interno do sistemade informação.
• Satisfatório ou não satisfatório.
• Baixo, médio ou alto risco.
Há possibilidade de alguns Pontos elencados não seremavaliados na sua totalidade, ou o processo de avaliação aindanão fornecer elementos que possam dar suporte a opinião doauditor. Especificamente para esses casos, o Status do Parecerserá “Não Avaliado”, e na seqüência apresenta-se os motivospelos quais o mesmo ocorreu.
146
A equipe de auditoria normalmente apresentaseus achados e conclusões na forma de umrelatório escrito, o qual inclui fatos sobre aentidade auditada, comprovações, conclusões erecomendações e / ou determinações.
As informações contidas neste relatório devemser satisfatórias e bem estruturadas.
Relatório de Auditoria
147
• Objetivos
• Trabalhos realizados
• Pontos de controle que apresentaram fraquezas decontrole interno (para cada ponto de controle)- Nome do ponto de controle auditado- Descrição sucinta do ponto de controle- Problemas detectados- Impacto- Recomendações
• Considerações Gerais
• Opinião
RELATÓRIO DE AUDITORIA
148
O processo de auditoria é cíclico, ele não seencerra com o relatório de auditoria.Após a emissão do relatório, a área que sofreuauditoria terá um período de implantação dasrecomendações, e posteriormente as seguintesatividades devem ser tomadas pela auditoria:
• revisão dos pontos relevantes• revisão das conclusões e recomendações
6. FOLLOW-UP (ACOMPANHAMENTO)
149
Atividades de Follow-Up
Consiste em revisar, dentro de um novoprojeto de auditoria, os Pontos de Controleque apresentaram deficiências em trabalhosanteriores.A atividade de Follow-Up tem por finalidade:� Identificar se os problemas foram resolvidos;� Identificar se medidas estão sendo adotadas no
sentido de eliminar tais deficiências;� Adequar e atualizar as recomendações face a
novas realidades tecnológica e organizaçãoempresarial; e
� Avaliar o comprometimento da administraçãofrente a segurança computacional.
150
26
151
Exercícios para Assimilação - 8
Identifique os momentos em que se apresentam os pontos de controleabaixo, assinalando:( 1 ) auditoria de sistemas em operação normal( 2 ) auditoria de sistemas durante o desenvolvimento( 3 ) auditoria do ambiente de tecnologia de informação
( ) banco de dados de materiais( ) contratos de hardware e software( ) utilização de recursos tecnológicos( ) especificação do sistema( ) rotina de consulta a banco de dados( ) rotina de consistência e atualização de arquivos( ) plano de segurança e de contingência( ) metodologia de desenvolvimento de sistemas( ) telas e relatórios de saída( ) administração do projeto
152
Assinale ( 1 ) técnica de auditoria ao redor do computador( 2 ) técnica de auditoria através de computador( 3 ) técnica de auditoria com computador
( ) test-deck- teste simulado( ) programa de computador para auditoria( ) mapping- mapeamento de programa( ) questionário de controle interno( ) software de auditoria( ) análise dejob accounting/log( ) tracing- rastreamento de instruções dos programas( ) verificação e confrontação de saídas em relação a entradas( ) snapshot- fotografia das partes da memória do computador( ) programa de análise e confronto de arquivos
Exercícios para Assimilação - 9
153
Conforme os ítens abaixo, identifique os parâmetros de controle interno(fidelidade, segurança física e lógica, confidencialidade, obediência à legislação,eficácia, eficiência e obediência às diretrizes administrativas) e as técnicas (“aoredor”, “através de”, “com” computador) aplicadas para fins de auditoria:
1) Verificação da consistência de dados dos cadastros de clientes e defornecedores, conforme as regras de domínio pré-definidos nos respectivossistemas de gestão, utilizando programas de computador.
2) Criação da massa de dados de teste de duplicatas a receber para realizaçãoda transação de entrada e baixa, com a submissão dos programas de crítica econsistência de dados de transação de títulos.
3) Simulação dos programas de acesso e recuperação de informações da basede dados de contas correntes para checar o tempo de resposta requerido pelosusuários finais.
4) Confrontação de duplicatas a pagar com os saldos contidos no cadastro defornecedores.
Exercícios para Assimilação - 10
154
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
155
Auditoria de DadosTrabalho de auditoria onde a principal“matéria-prima” são as informaçõescontidas em registros magnéticos.O auditor promove os testesacessando diretamente o banco dedados dos sistemas auditados.Permite que se avalie uma quantidademaior de registros (espaço amostral de100%).Oferece maior precisão sobre osresultados.
Banco de
Dados
Sistemas de InformaçãoSistemas de Informação
156
Auditoria de DadosA auditoria geralmente é executada porum auditor com perfil técnico:� Desenvolvimento de rotinas eletrônicas
para extração e confronto de dados,geração de gráficos e confecção derelatórios.
� Análise criteriosa sobre o modelo dedados, com vistas a identificar asinformações mais relevantes e plausíveisde avaliação.
� Confecção de uma documentaçãoextremamente técnica, objetivando atendereventuais questionados sobre osprogramas de auditoria utilizados naavaliação
27
157
Auditoria de Dados
ProcessamentoProcessamentoEntradaEntrada SaídaSaída
Banco de
Dados Auditoria de Dados
Auditoria de Processos
Auditoria de Resultados
No conceito de Auditoria de Sistemas podemos afirmar que aAuditoria de Dados representa um segmento da Auditoria deResultados.
158
Principais Etapas1. Localização das informações a serem testadas;2. Obtenção dessas informações:
� Acesso direto a Tabelas do Banco de Dados;� Acionamento de rotinas específicas para geração de
arquivos a Auditoria;� Interceptação dos Buffers para Impressão;� Recepção de arquivos disponibilizados pelos próprios
analistas da entidade auditada.
3. Pré-validação e refinamento dos dados obtidos;4. Padronização dos campos segundo critérios de
auditoria (nomenclatura, tipo, tamanho eformato)
159
Principais Etapas5. Aplicação dos testes:
� Integridade implícita (ex. campos de preenchimentoobrigatório e código verificador do CPF);
� Regras de negócio (ex. cliente inadimplente não devepossuir autorização para pagamento a prazo);
� Cruzamento e confronto de dados (ex. saldo docontas a receber contra saldo da contabilidade).
6. Validação e refinamento dos testes:� Confronto com os documentos fontes;� Circularizações;� Entrevistas, questionamentos, indagações e
reprocessamentos dos testes.
7. Confecção do relatório de auditoria.160
Situações em que se aplica� Bancos x Financeiro
� Todos os clientes devedores estão sendo cobrados?� Todos os recebimentos estão sendo baixados?� Há divergências entre os valores pagos e baixados no
sistema?� Financeiro x Contabilidade
� Todos os eventos financeiros estão sendo devidamenteregistrados na contabilidade?
� Almoxarifado x Contabilidade� Folha de Pagamento� Módulo de Patrimônio� Qualidade das Informações Cadastrais� Sistema Informatizado de Comércio Eletrônico
161
Bancos x Financeiro
Arquivos Remessa
Arquivos Retorno
Boleto p/ Cobrança
Pagamento do Cliente
Empresa AuditadaBancoCliente
Auditores
Sistemas de Informação
Cliente Final
Registros de Movimentação Financeira
Relatório de Auditoria
162
Bancos x Financeiro - Cobrança
Entendendo o processo de cobrança1. Sistema de Informações (SI) seleciona registros
de clientes cobráveis2. SI gera o arquivo remessa3. Empresa envia o arquivo remessa ao Banco4. Banco remete arquivos retorno a Empresa
28
163
Bancos x Financeiro - Cobrança
Etapas da avaliação do processo de cobrança1. Levantamos e unificamos os arquivos remessa
encaminhados ao Banco dentro do período queestava sendo auditado;
2. Por meio de rotinas eletrônicas, promovemos aleitura do arquivo gerado na etapa anterior, einserimos seus registros na tabela Tbl_Cobrados;
3. A partir do sistema informatizado, efetuamos aleitura dos clientes cobráveis no período queestava sendo avaliado, e inserimos seus registrosna tabela Tbl_Cobráveis;
164
Bancos x Financeiro - Cobrança
Etapas da avaliação do processo de cobrança4. Com o auxílio de rotinas eletrônicas,
promovemos o cruzamento entre as tabelasTbl_Cobrados e Tbl_Cobráveis, onde apuramosas seguintes situações:� Clientes cobráveis que não estavam sendo cobrados;
� Clientes cobrados em duplicidade;
165
Bancos x Financeiro - Recebimento
Entendendo o processo de recebimento1. Cliente paga o título no Banco2. Banco gera arquivo retorno e encaminha para a
Empresa3. SI efetua a leitura do arquivo retorno, promove a
baixa automática dos recebimentos e apontaeventuais divergências
4. Usuários efetuam ajustes manuais nos saldos declientes
166
Bancos x Financeiro - Recebimento
Avaliação das Baixas BancáriasO procedimento de avaliação consistebasicamente no cruzamento entre duastabelas, que são:
Tbl_Baixados
Informações extraídas do BD do módulo financeiro, contendo todos os registros de baixas efetuadas no período que estava sendo auditado.
Tbl_Baixados
Informações extraídas do BD do módulo financeiro, contendo todos os registros de baixas efetuadas no período que estava sendo auditado.
Tbl_Pagos
Informações extraídas dos arquivos retorno, contendo todos os registros de pagamentos efetuados pelos clientes.
Tbl_Pagos
Informações extraídas dos arquivos retorno, contendo todos os registros de pagamentos efetuados pelos clientes.
167
Bancos x Financeiro - Recebimento
Parte I - Geração da Tbl_Pagos1. Levantamos todos os arquivos retorno recebidos
dentro do período que estava sendo auditado.2. Por meio de rotinas eletrônicas, transformamos em
01 os 284 arquivos bancários levantados na etapaanterior.
3. Também com o auxílio de rotinas eletrônicas,promovemos a leitura dos registros contidos noarquivo unificado, e transferimos seus dados para atabela Tbl_Pagos.
168
Bancos x Financeiro - Recebimento
Parte II - Geração da Tbl_Baixados1. No Banco de Dados do Sistema Financeiro,
identificamos a tabela onde estavam contidos osregistros de movimentação financeira de clientes.
2. Por meio de rotinas eletrônicas, extraímos osregistros de baixas de pagamentos que foramefetuadas no período que estava sendo auditado.
3. Os registros provenientes da etapa acima tiveremseus campos formatados e nomeados segundopadrões de auditoria, e posteriormente foraminseridos na tabela Tbl_Baixados.
29
169
Bancos x Financeiro - RecebimentoParte III – Tbl_Pagos x Tbl_Baixados� Por meio de rotinas eletrônicas, cruzamos as
informações contidas nas duas tabelas, eapuramos as seguintes situações:
1. Incidência de Baixas sem a correspondente justificativabancária;
2. Pagamentos baixados mas que não foram baixados nosistema;
3. Divergências entre valores pagos e baixados nosistema;
4. Grande incidência de lançamentos e ajustes manuais nosistema;
5. Defasagem entre as datas que o pagamento foiefetuado e baixado no sistema.
170
171
Caso: Auditoria de Crédito e Cobrança
Objetivo do Sistema de Crédito e Cobrança:Controlar a situação do limite de crédito e de contas a receber dos clientes daempresa, em função do faturamento e da liquidação de títulos, mantendo o setoratualizado em nível de saldos e relação de títulos vencidos ea vencer, nãoliquidados.
Documentos de entrada de dados:
Folha de cadastramento de clientes- utilizada para cadastrar clientes novos,que passaram a efetuar compras de produtos do estabelecimento, e registrar olimite de crédito, determinado pelo analista de crédito, a ser concedido aorespectivo cliente.Folha de transação de títulos- utilizada para registrar todos os tipos deoperações de débito e crédito no saldo de clientes, provenientes das vendas deprodutos e pagamento efetuado sobre os títulos gerados nestas vendas,respectivamente.
172
Caso: Auditoria de Crédito e Cobrança
Telas:· Entrada de dados:- cadastramento de clientes- transação de títulos· Consulta:- limite de crédito e saldo devedor do cliente- relação de títulos em carteira do clienteRelatórios de saída:· Diários- borderôs de cobrança- relação de títulos emitidos- relação de títulos liquidados· Mensais- relação de limite de crédito e saldo devedor por cliente- títulos em carteira por cliente- títulos em carteira por data de vencimento- resumo dos valores de títulos em carteira por data de vencimento
173
Caso: Auditoria de Crédito e Cobrança
Banco de Dados:
Clientes- código do cliente (chave)- CNPJ/CPF- nome do cliente- ramo de atividade- endereço completo do cliente- limite de crédito- saldo de títulos- total de débitos- total de créditos- títulos em atraso- cheques devolvidos
Títulos- código do cliente (chave)- código do título (chave)- portador- praça de pagamento- modalidade de cobrança- vendedor- data de emissão- data de vencimento sem desconto- data de vencimento com desconto- taxa de desconto- valor de título- valor do desconto- número do documento- data de pagamento- desconto efetuado- abatimento- líquidos recebidos- liquidação parcial 174
Caso: Auditoria de Crédito e Cobrança
Terminal de Entradade Dados e Consulta
Cadastramento de Cliente
Consulta ao Cliente eTítulos
Transação de Títulos
Clientes Títulos
Emissão de Relatórios
Diários Mensais
Modalidade de processamento:
· Módulo de atualização e consultade cadastro em “on-line” “realtime”;
Módulo de emissão de relatóriosem “batch”.
Fluxograma do sistema:
30
175
Caso: Auditoria de Crédito e Cobrança
Pontos de controle inventariados:
1. Documentos de entrada de dados;2. Rotina de cadastramento de clientes;3. Rotina de transação de títulos e da respectiva
atualização de saldos;4. Rotina de consulta ao cliente e títulos;5. Banco de dados de clientes e de títulos;6. Rotina de emissão de relatórios;7. Relatórios de saída; e,8. Telas de entrada de dados e de consulta.
176
Caso: Auditoria de Crédito e Cobrança
Eleição dos pontos de controle sob a ótica de segurança física,segurança lógica e fidelidade da informação em relação aos dados:
PONTOS DE CONTROLE Audito-ria
Gerente de TI
Tesoura-ria
Contabili-dade
TOTAL
1. Documentos de entrada de dados 2 2 2 2 8
2. Rotina de cadastramento clientes 2 2 3 3 10
3. Rotina transação títulos atualização 3 2 3 3 11
4. Rotina de consulta clientes e títulos 1 2 1 2 6
5. Banco de dados clientes e títulos 3 3 3 3 12
6. Rotina de emissão de relatórios 1 1 1 1 4
7. Relatórios de saída 2 2 1 2 7
8. Telas entrada de dados e consulta 2 1 1 1 5
Prioridade do exame de auditoria: pontos 5, 3, 2, 1 , 7, 4, 8 e 6.Elabore o programa de auditoria dos pontos 5, 3 e 2 .
177
1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em
Pontos de Controle
Agenda
178
Ambiente dos Servidores
Restrição de Acesso FísicoLimpeza e OrganizaçãoDispositivos para Monitoramento 7x24Equipamentos para Combate a Sinistros
Segregação de AmbientesLocalização Física das InstalaçõesCondições Ambientais (ruído, temperatura, umidade etc.)
179
Ambiente dos Servidores
180
Infra-Estrutura para as Estações
Infra-Estrutura� Rede elétrica estabilizada� Cabeamento estruturado� Identificação e proteção dos dispositivos de rede:
Hubs, Roteadores, Cabos...
Estações de Trabalho� Mobília Adequada (princípios ergonômicos)� Equipamentos protegidos com lacres ou
cadeados� Limpeza� Configuração compatível com a carga de trabalho
31
181
Infra-Estrutura para Estações
182
Restrição de Acesso aos Sistemas
Política de Senhas: � Tamanho Mínimo, � Periodicidade para Troca e � Senhas Frágeis.
Níveis de Acesso Diferenciados por UsuárioProcedimentos para Concessão e Manutenção das Permissões de AcessoNível de FormalizaçãoConscientização dos UsuáriosExemplos de Teste: � Funcionários Ativos x Acessos Concedidos� Acessos Concedidos e Pouco Utilizados
183
Prevenção e Combate a Sinistros
Equipamentos de Segurança� Alarmes;
� Extintores;
� Splinkers
Treinamentos e SimulaçõesPortas para Saída de EmergênciaFormalização� Quem? Fará o Que? Em que Momento?
184
Plano de Continuidade de Negócios
Quais são as atividades críticas?Quais os possíveis riscos?Quais os mecanismos contingenciais?Há um plano formal e claro?� Nível de Atualização
� Coerência dos Controles Implementados
� Grau de Envolvimento de Pessoas
185
LOG de Operações dos Sistemas
Facilidades de Acesso ao LOG OperacionalDiferentes Níveis de LOGMecanismos para Integridade do LOGPeríodo Mínimo de RetençãoFacilidades para ConfiguraçãoSistemática para Avaliação Contínua das Transações Registradas
186
Cópias de Segurança - Backup
PeriodicidadeTempo de RetençãoCiclos de BackupLocal de GuardaRestrição de AcessoBackup dos Arquivos dos UsuáriosNível de Formalização dos ProcedimentosAnálise do LOG de Backup
32
187
Banco de Dados
Tecnologia Utilizada x Criticidade dos Dados
Versão do Software
Parâmetros de Configuração
Regras de Negócios
Normalização de Tabelas em BD Relacionais
Documentação: Dicionário de Dados, MER etc.
Segregação de Ambientes para Testes e Desenvolvimento de Programas
188
Prevenção e Controles contra Vírus
Instalação e Configuração de SoftwaresAnti-vírus: atualização da lista de vírusConhecimento e conscientização por parte dos usuáriosNível de Formalização das RegrasAvaliação por amostragem de alguns equipamentos
189
Documentação dos Sistemas
Padronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e ManuseioFerramentas CASEExemplos: � Diagrama de Fluxo de Dados� Modelo Entidade Relacionamento� Fluxogramas
190
Manuais dos Usuários
Padronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e Manuseio (helpon-line)Facilidade de Entendimento
Os usuários estão efetivamente utilizando esses manuais?
191
Formalização de Atividades Críticas
Critérios para seleção e eleição das atividadesPadronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e Manuseio (help on-line)Facilidade de EntendimentoExemplos� Conciliação Bancária� Conciliação Contábil� Processos de Compras e Pagamentos� Análise Crítica de Clientes para Concessão de
Crédito192
Controles Mantidos pelos Usuários
Inventário dos Controles: Quais são e quem são os responsáveis
Tecnologia Utilizada x Criticidade do ControleHá padrões para desenvolvimento?São adotados procedimentos básicos de segurança? Ex. Backup.Os mesmos são realmente necessários?
33
193
Relatórios Impressos
Sistemática para emissão, manuseio, transporte, guarda e destruição
Padrões de lay-out (cabeçalho e rodapé)Análise do Conteúdo x FinalidadeConhecimento e conscientização por parte dos usuáriosNível de formalização das regras
194
Softwares Alternativos
Padrões para instalação de programasControles que permitam avaliar irregularidadesRecursos que impedem a instalação de programas não autorizadosConhecimento e conscientização por parte dos usuáriosNível de formalização das regras
195
Inventário de Software e Hardware
Grau de AtualizaçãoFacilidades para Acesso e AtualizaçãoNível de detalhe das informações� Hardware: configuração, modelo,
periféricos, componentes etc.� Software: nome, versão, licença etc.
� Ambos: nota fiscal, fornecedor, departamento, data de compra etc.
Ferramentas para Inventário On-Line196
Política para Investimentos em TI
PDI - Plano Diretor de InformáticaCenário atual e expectativas para médio e longo prazoParâmetros formais e criteriosos para identificar onde e quanto investir em tecnologia:� Hardware e Software,
� Peopleware e Consultoria,
� Segurança.
197
Grau de Integração entre Sistemas
Incidência de lançamentos manuais que poderiam ser promovidos de forma automática
Capacidade dos Sistemas compartilharem um mesmo Banco de DadosRecursos para Geração e Importação de Arquivos de Dados
198
Auditabilidade dos Sistemas
Pontos de Auditoria
Totais de Controle
Relatórios de Consistência
Ferramentas para Extração de Dados p/ Auditoria
Módulos para Cruzamento de Informações
Documentação Técnica
Qualidade e Precisão do Código Fonte dos Programas
34
199
Homologação de Novos Sistemas
Critérios para Aplicação dos TestesCritérios para Homologação de cada SistemaHistórico de AvaliaçõesAmbientes distintos para Desenvolvimento, Testes e OperaçãoControle de Versões
200
201
BANCO DE DESENVOLVIMENTO RURAL NACIONAL S/A
Você foi contratado pelo BADERNA para efetuar uma avaliação dasituação geral da área de informática, nas áreas de:
Organização e GerênciasDesenvolvimento de SistemasManutenção de SistemasSegurança
Nos trabalhos de revisão e levantamento que foram efetuadosidentificaram-se os seguintes aspectos:
1. As atividades da área de informática obedecem a um planoformal, de longo prazo, que não é revisto há aproximadamente 5(cinco) anos.
2. Em cada área do CPD existem procedimentos formalmentedefinidos e geralmente seguidos pelos profissionais.
CASO BADERNA S/A
202
3. O plano de treinamento do pessoal não é definido em funçãodas características do quadro do pessoal e dos objetivos do Banco.
4. O CPD está vinculado à Diretoria Comercial.
5. Em caso de problemas com a qualidade da documentaçãofonte recebida dos usuários, é permitido ao pessoal do CPD alteraros elementos de dados que eventualmente estejam ilegíveis, malidentificados ou que o pessoal de digitação julgue que estão errados.
6. Os novos sistemas do BADERNA são desenvolvidos combase em metodologia orientadas por objeto, sendo que a elaboraçãodos modelos e programas, bem como, o levantamento dos requisitosdos usuários é efetuado com base na experiência dos analistasenvolvidos. Os usuários são considerados um mal necessário esomente são contactados pelos analistas novatos no banco. Alémdisso, são contactados, obviamente, quando solicitam um novosistema.
CASO BADERNA S/A
203
7. Para todos os sistemas é constituído um Comitê de Projeto,formado pelos diversos representantes das áreas envolvidas que,sempre aprovam as decisões tomadas. Não há calendário pré-estabelecido para as reuniões do Comitê.
8. Os testes são executados com todos os sistemas com osquais o novo sistema manterá interface. São realizados no ambientenormal de operação e com os arquivos reais de produção, pois,assim, o usuário entende melhor os resultados.
9. Os usuários são comunicados dos resultados dos testes,embora não haja uma aprovação formal, dos resultados obtidos.
10.A documentação dos sistemas é produzida após a implantação emantida em biblioteca específica. Sua retirada é controlada por umfuncionário que tem também uma enorme gama de outrasatividades.
CASO BADERNA S/A
204
11.Cada analista decide o que é importante em termos de segurançapara o sistema sob sua responsabilidade.
12.Todas as modificações são centralizadas pela gerência do CPD.Há normas que definem a formalização das solicitações demodificações, embora nem sempre sejam obedecidas, pois a maioriadas alterações solicitadas são urgentes.
13.No que tange à segurança existem algumas regras corporativas.Entretanto, o gerente não cobra o seu cumprimento.
14.A instalação possui um Software de Biblioteca para manter asegurança dos programas fontes e executáveis. Há procedimentosdefinidos para solicitar, alterar e recadastrar um programa.
CASO BADERNA S/A
35
205
15.A área não possui um registro das manutenções efetuadas.Segundo estimativas chegam a 150 por mês. O back-log não éconhecido.
16.Os testes das modificações, quando não são significativas, sãoexecutados por estagiários. Quem decide se as instalações são ounão significativas é o programador responsável pela manutenção.
17.Em caso de problemas à noite, o pessoal de operação podealterar os programas ou chamar o analista responsável pelosistema.
18.Há um software de segurança, mas à noite os operadores odesativa, pois se houver problemas ele complica os trabalhosnecessários à sua solução.
CASO BADERNA S/A
206
19.Normalmente o LOG está ativado, mas como ocupa muitoespaço em disco, os operadores deletam o arquivo que o LOGproduz. Quando ocorre algum problema mais sério, tenta-sereproduzir o evento para verificar os registros de LOG, deaccounting e do software de segurança.
20.Até o momento, contam as pessoas, poucos casos de acessoindevido às informações ocorreram.
21.As senhas não são alteradas há mais ou menos 3 anos e, nesseperíodo muitos funcionários já foram demitidos a admitidos noBanco.
CASO BADERNA S/A
207
Pede-se:Preparar um quadro relacionando:
Os 21 (vinte e um) Pontos de Controle com os seguintesparâmetros de Controle Interno:
Segurança Lógica,Confidencialidade,Fidelidade de Informação em relação aos dados,Eficiência eEficácia.
Preparar um relatório apontando:Fraquezas (vulnerabilidades) mais significativas.Ameaças a que as informações estão expostas.Riscos mais significativos.Medidas saneadoras para aumentar o nível de segurança e
confiabilidade das informações.Sua opinião final.
CASO BADERNA S/A
208
Fontes para PesquisaARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. São
Paulo : Érica, 1994.
CARUSO, Carlos A.A. & STEFFEN, Flávio Deny. Segurança eminformática e de informações. 2a. ed. São Paulo: EditoraSENAC, 1999.
DIAS, Cláudia. Segurança e auditoria da tecnologia dainformação. Rio de Janeiro: Axcel Books, 2000.
FONTES, Edson Luiz Gonçalves. Vivendo a segurança dainformação: orientações práticas. São Paulo:Sicurezza:Brasiliano & Associados, 2000.
GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas 2000.
GIL, Antonio de Loureiro. Segurança em Informática. São Paulo: Atlas 2000.
209
Fontes para PesquisaGIL, Antonio de Loureiro. Fraudes Informatizadas. São Paulo: Atlas
1996.
NAKAMURA, Emilio T., GEUS, Paulo Lício. Segurança de redes em ambientes corporativos São Paulo: Ed. Berkeley, 2002
OLIVEIRA, Wilson José de. Segurança da informação: técnicas esoluções. Florianópolis: Visual Books, 2001.
SAWICKI, Ed. Segurança: seu guia para o uso seguro em redes locais Rio de Janeiro: Editora Campus, 1993
SCHMIDT, Paulo; SANTOS, José Luiz dos; ARIMA, Carlos Hideo.Fundamentos de auditoria de sistemas. São Paulo: Atlas, 2006.
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre aproteção na vida digital. Rio de Janeiro: Editora Campus, 2001.
210
Fontes para PesquisaThe Computer Security Institute
http://www.gocsi.com
Infosecurity
http://www.infosec.co.uk/page.cfm
The Institute of Internal Auditors (The IIA)
http://www.theiia.org
INTOSAI - International Organization of Supreme Audit Institutions
http://www.intosai.org
ISACA - The Information Systems Audit and Control Association & Foundation
http://www.isaca.org
UK National Audit Office
http://www.nao.gov.uk
36
211
Fontes para PesquisaInstitute of Electrical and Electronics Engineers
http://www.ieee.org
IEEE Computer Society
http://www.computer.org
CERT Coordination Center
http://www.cert.org
The SANS Institute - System Administration, Networking and Security
http://www.sans.org
Instituto dos Auditores Internos do Brasil
http://www.audibra.org
Information Security Policies & Computer Security Policy Directory
http://www.information-security-policies-and-standards.com212
Fontes para PesquisaABNT - Associação Brasileira de Normas Técnicas
http://www.abnt.org.br (NBR-ISO 17799)
ISO 17799 Service & Software Directory
http://www.iso17799software.com
Contingency Planning and Business Continuity World: ContingencyPlanning & Disaster Recovery
http://www.business-continuity-world.com
Portal ISO 17799
http://www.iso17799.hpg.ig.com.br
213
Dados para Contato
Arima e Associados Ltdawww.arimaweb.com.brcharima@uol.com.br
Tel: (11) 5085-5828
Profo. Dr. Carlos Hideo Arima