NOÇÕES DE

AUDITORIA DE SISTEMAS

MÓDULO 2 Fevereiro de 2002

martinelliauditores

2

martinelliauditores

SUMÁRIO

1. TECNOLOGIA DA INFORMAÇÃO 1.1 O que é Tecnologia da Informação? 1.2 Por que usar Sistemas de Informação? 1.3 Como funciona o Departamento de Tecnologia da Informação? 2. SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO 2.1 Por que Preocupar-se com Segurança de Sistemas de Tecnologia de

Informação? 2.2 Objetivos de Segurança 2.3 Política de Segurança 2.4 Análise de Risco 3. PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO 3.1 O que é “Planejamento da Informação” ? 3.2 Custo Total de Propriedade (TCO – Total Cost of Ownership) 4. SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE 4.1 Tipos de Desenvolvimento 4.2 Fases de Desenvolvimento 4.3 A Função do Auditor 4.4 Padrões de Documentação 5. SEGURANÇA DE SOFTWARE 5.1 Auditoria de Sistemas 5.2 Segurança Lógica 5.3 Mecanismos de Controle de Acesso 5.4 Procedimentos Gerais de Verificação de Auditoria de Rede 5.5 Pirataria 6. SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE 6.1 Segurança Física 6.2 Manutenção de Hardware 6.3 Cuidados com Meios Magnéticos 7. SEGURANÇA DE RECURSOS HUMANOS 8. SEGURANÇA NA INTERNET 8.1 Controle de Utilização da Internet 8.2 Transações de Comércio Eletrônico

3

martinelliauditores

8.3 Segurança Contra Hackers 9. ORGANIZAÇÃO DA AUDITORIA 9.1 Utilitários Necessários 9.2 Aplicações dos Utilitários

4

martinelliauditores

1. TECNOLOGIA DA INFORMAÇÃO

1.1 O que é Tecnologia da Informação?

O termo “Tecnologia da Informação”, serve para designar o conjunto de hardware e software usado por uma organização para armazenar, processar, transmitir, e disseminar informações.

1.2 Por que usar Sistemas de Informação?

Algumas das razões que levaram a disseminação do uso dos sistemas de informação:

- Única maneira de fazer determinado trabalho; - Melhorar a eficiência; - Aplicar controles melhores; - Reduzir custos.

O principal benefício que a tecnologia da informação traz para as organizações e a sua capacidade de melhorar a qualidade e a disponibilidade de informações e conhecimentos importantes para a empresa, seus clientes e fornecedores. Os sistemas de informação mais modernos oferecem às empresas oportunidades sem precedentes para a melhoria dos processos internos e dos serviços prestados ao consumidor final. O sucesso das empresas passou a depender de sua capacidade de inovar das áreas de produtos, serviços, canais e processos. Nesse contexto, a tecnologia da informação assume papel crítico, permitindo às empresas modificar-se rapidamente e levar essas inovações até o mercado.

1.3 Como funciona o departamento de Tecnologia da Informação?

O Departamento de Tecnologia da Informação é responsável por todas as funções de informática de uma organização. Os termos “Sistemas de Informação” ou “Tecnologia da Informação”, substituíram o título “Processamento de Dados”, que tende a ser associado a leitoras de cartão perfurados e antigas máquinas de teleprocessamento.

5

martinelliauditores

O departamento de TI precisa ter uma estrutura organizacional bem definida, com as responsabilidades de suas unidades organizacionais claramente estabelecidas, documentadas e divulgadas, e políticas de pessoal adequadas, quanto à seleção, segregação de funções, treinamento e avaliação de desempenho. Esta estrutura é necessária para que se gerencie racionalmente os recursos computacionais da organização, de modo a suprir as necessidades corporativas de informação de forma eficiente e econômica.

O Departamento de Tecnologia da Informação de uma empresa de grande porte apresenta tipicamente, as seguintes divisões:

Administração

A administração do departamento de TI já é vista como uma divisão corporativa separada, com seu próprio diretor executivo.

Desenvolvimento e suporte de aplicação

Divisão dedicada ao projeto, desenvolvimento e manutenção de software aplicativo. Pode englobar muitas equipes de desenvolvimento, formadas por analistas de sistemas, projetistas de sistemas e programadores.

Suporte de produção

Faz a interligação entre o usuário e as demais divisões de TI, prestando serviços na determinação de problemas, registro de defeitos, etc. Este grupo também pode prover serviços de administração de banco de dados. Software de sistemas

Divisão responsável pela instalação e manutenção do software de sistemas, e pelo serviço de suporte de natureza técnica para o resto do pessoal de TI e usuários finais. Estão encarregados de providenciar para que o hardware e software do sistema operem com um desempenho ótimo.

Comunicação de dados

Esta divisão oferece serviços para os usuários de sistema que estejam experimentando problemas de teleprocessamento ou desejem

6

martinelliauditores

comunicar-se com dispositivos ou usuários remotos. Eles são responsáveis pelo desenvolvimento e manutenção de rede de comunicação da organização.

7

martinelliauditores

2. SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO

2.1 Por que preocupar-se com segurança de sistemas de TI?

Há três razões principais para preocupar-se com segurança de sistemas de TI:

Dependência dos sistemas de informação

Sistemas que ofereçam serviços adequados e no tempo certo são a chave para a maioria das organizações atuais. Sem seus computadores e sistemas de comunicação, as empresas ficariam incapazes de fornecer serviços, processar faturas, contatar clientes e fornecedores ou efetuar pagamentos. Os sistemas de informação também armazenam dados sigilosos que, se tornados públicos, causariam embaraço e em alguns casos o fracasso da organização.

Vulnerabilidade dos sistemas de TI

Esses sistemas exigem um ambiente estável, podendo ser danificados por desastres naturais como fogo, inundação ou terremotos, falhas no controle de temperatura ou do suprimento de energia elétrica, acidentes ou sabotagens. Os sistemas de TI são a chave para acesso a vasta quantidade de dados corporativos, tornando-se alvo atraente para hackers e espiões, e podem motivar administradores de sistemas a abusar de seus privilégios, vendendo informações para terceiros. A organização depende da exatidão da informação fornecida pelos seus sistemas; se essa confiança for destruída, o impacto para a entidade pode ser comparada a própria destruição do sistema. Dessa forma é importante proteger dados tanto de corrupções acidentais quanto propositais.

Investimento em sistemas de TI

Os sistemas de informação são caros tanto no desenvolvimento quanto na manutenção, e a administração deve proteger esse investimento como qualquer outro recurso valioso. Bens de TI são particularmente atrativos para ladrões, por serem em alguns casos portáteis, e poderem ser facilmente vendidos.

8

martinelliauditores

2.2 Objetivos da Segurança

Os objetivos chaves da segurança são:

Sigilo

Proteção contra a divulgação indevida de informações – Ex.: criptografia e controle de acesso.

Integridade

Proteção contra a modificação não autorizada de informações – Ex.: totais de controle e assinaturas digitais.

Disponibilidade

Proteção contra a interrupção do serviço – Ex.: back-up e duplicação de sistemas.

Que objetivo é o mais importante em cada caso irá depender da natureza do sistema. Por exemplo, em sistemas da área de desenvolvimento de produtos a ênfase seria em sigilo acima de qualquer coisa, enquanto que na maioria das outras aplicações a ênfase maior estaria provavelmente na disponibilidade, seguida da integridade.

Os objetivos da segurança de informações se sobrepõem aos de qualidade de serviço. A qualidade do serviço tende a se concentrar em questões de disponibilidade dos serviços no tempo certo, e de informação precisa e exata, deixando de lado a questão de sigilo, mas existem pontos em comum suficientes para que seja útil considerar qualidade de serviço e segurança de forma conjunta.

2.3 Política de Segurança.

O comprometimento com a segurança de sistemas deve surgir do mais alto nível da organização, alavancado pelo reconhecimento dos sérios problemas que poderiam resultar da divulgação, modificação ou indisponibilidade da informação. Esse comprometimento tende a ser expresso em uma política formal de segurança, estabelecida no contexto dos objetivos e funções organizacionais.

Uma abordagem adotada por muitas organizações é a criação de uma política concisa e simples, que sirva de ponto de partida para outros

9

martinelliauditores

documentos onde são estabelecidos os padrões, procedimentos e orientações para o comportamento dos usuários em relação à segurança.

Áreas específicas a serem cobertas em uma política de segurança de TI corporativa incluem:

- quem é o responsável e presta contas pela segurança em todos os

níveis da organização, e quais são as linhas hierárquicas para essas funções;

- padrão mínimo de segurança a ser aplicado a todos os sistemas

corporativos, e orientação quanto ao uso da análise de risco para a identificação dos sistemas que irão merecer medidas extras de proteção;

- reconhecimento de que uma proteção efetiva exige que a

segurança seja projetada durante o desenvolvimento dos sistemas, e não adicionada posteriormente, devendo ser uma preocupação presente em todas as aquisições ou desenvolvimento de sistemas;

- o princípio de que a segurança da TI deve ser inserida nos

procedimentos operacionais, incluindo controles de acesso e auditoria interna para avaliação da adequação dos controles de sistemas;

- definição sobre a política de segurança de pessoal (verificação dos

antecedentes de candidatos antes da admissão, tratamento das violações de segurança);

- política de treinamento de pessoal, essencial para a

conscientização do quadro quanto à questões de segurança de TI; - referência a procedimentos de controle de material proprietário e

licenças de uso de software;

- referência a procedimentos para registro e certificação de sistemas e dados, e arranjos para garantir a conformidade com a legislação aplicável;

- política quanto a conexão a sistemas externos;

- política quanto a investigação de incidentes de segurança;

- requisitos de planejamento da continuidade do serviço;

10

martinelliauditores

- distinção clara entre as responsabilidades para as funções de gerência, administrador do sistema, administrador do sistema e usuário.

2.4 Análise de Risco.

A análise de risco é o processo pelo qual são identificados os riscos a que estão sujeitos os dados, sistemas de informação e redes de comunicação que lhes dão suporte.

A análise de risco envolve:

Modelagem do negócio

Etapa onde se determina que sistemas de informação dão suporte a quais processos corporativos.

Análise de impacto

Onde se determina a sensibilidade de funções-chave da organização a falhas no sigilo, integridade e disponibilidade dos sistemas e dados.

Análise de dependência

Serve para determinar os pontos de acesso aos sistemas de informação, e os recursos que precisam estar disponíveis para que sejam mantidos os serviços associados às funções-chave.

Análise de ameaças e vulnerabilidades

Determina os pontos fracos da configuração do sistema, e a probabilidade de eventos que possam explorar as debilidades identificadas, causando impactos em termos de quebra de sigilo, integridade ou disponibilidade dos dados e sistemas.

11

martinelliauditores

3. PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO

3.1 O que é “Planejamento da Informação”?

A Tecnologia da Informação tem um custo elevadíssimo, e os computadores não possuem poderes mágicos de resolver problemas de gestão, racionalizar processos e aumentar a produtividade. Máquinas e softwares idênticos executarão maravilhas em organismos bem estruturados e organizados, mas serão apenas uma fonte de gastos naqueles que não planejarem adequadamente suas necessidades de informação.

O bom aproveitamento das facilidades trazidas pela tecnologia da informação depende de um processo periódico e estruturado de planejamento da informação. Para isso, os administradores precisam se preocupar em adquirir uma visão estratégica de como os sistemas de informação da organização deverão ser implementados ou alterados, de forma a atender as necessidades da organização por um período de aproximadamente 3 anos (é difícil estimar como precisão mais a frente, pela velocidade da mudança tecnológica).

O planejamento de informação deve resultar em um documento – um plano estratégico que decifra a direção futura dos recursos de TI, refletindo as políticas, padrões e procedimentos de recursos de informação como um todo, e oferecendo orientação para todos os setores da organização. Normalmente este plano estratégico é chamado de Plano Diretor de Informática.

3.2 Custo Total de Propriedade (TCO – Total Cost of Ownership)

Um dos aspectos mais importantes a ser vislumbrado no planejamento de informática é o aspecto de redução de custos. Medir o custo de propriedade de cada modelo da computação passou a ser uma preocupação de muitas organizações, pressionadas pela necessidade de redução de custos reais com tecnologia, que aumentaram substancialmente após a invasão dos PC’s e das redes corporativas.

O TCO tenta levar em consideração todas as despesas envolvidas, e inclui também a depreciação. O grande problema é decidir quais elementos de custo devem ser considerados e como deve ser feito este

12

martinelliauditores

cálculo. Por exemplo, é difícil medir o custo do tempo que o usuário gasta com seu micro. Também não há um valor médio do custo dos PC`s que possa ser usado como referência pela organização haja visto que este custo se altera constantemente.

Na prática, não são somente as escolhas técnicas quanto a software e hardware que determinam os impactos financeiros pela organização. A eficácia no gerenciamento destes recursos é fator determinante nos custos da organização.

Uma planejamento racional de utilização, reduz substancialmente os custos de aquisição e manutenção dos recursos de TI.

13

martinelliauditores

4. SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

4.1 Tipos de Desenvolvimento

a) Desenvolvimento Interno

- Adoção de MDS - Metodologia de Desenvolvimento de Sistemas: deve adotar o padrão “joiner” desenvolvimento conjunto entre :

Informática + Usuários + Auditoria (controle)

- Acompanhamento pela Auditoria - Deve gerar documentação apropriada.

b) Desenvolvimento Contratado

- Deve aderir à MDS da empresa: sistemas construídos com MDS

diferente acabam tendo sua manutenção também gerada fora (ficam fora de controle).

c) Sistemas Adquiridos prontos

- Devem entregar: programas fonte; dicionário de dados; software

para o dicionário; documentação para usuário final.

4.2 Fases do Desenvolvimento

- Levantamento de Dados - Projeto do Sistema - Construção - desenvolvimento propriamente dito - Testes - Implantação

4.3 A Função do Auditor

Sua preocupação deve ser prioritária com:

14

martinelliauditores

- Existência de pontos de controle interno - Aderência desses pontos ao projeto do sistema - Identificação de pontos falhos - Acompanhamento de testes

O principal ponto a ser verificado é se o sistema possui trilhas de auditoria. Essas trilhas podem ser definidas como a capacidade de uma informação ser acompanhada até sua saída final, separada de outras informações eventualmente a ela agregadas e, por processo reverso, acompanhar uma informação desde sua saída até sua entrada, inclusive com a decomposição das informações a ela agregadas.

4.4 Padrões de Documentação

- Definição de todas as informações no Dicionário de Dados, inclusive com grau de segurança.

- Todos os documentos de entrada e respectivas telas. - Todos os relatórios de saída, inclusive de telas. - Todas as ligações com sistemas internas e externas. - Um fluxo que ligue todas as informações aos processos

(programas), entidades (internas e externas) e depósito de dados. - Os helps-on-line, os tutorials, etc.

15

martinelliauditores

5. SEGURANÇA DE SOFTWARE

5.1 AUDITORIA de SISTEMAS

Todo e qualquer sistema deve ser observado sob 3 enfoques:

Os Programas

Existe máquina própria para desenvolvimento ou a área de desenvolvimento utiliza a máquina de produção?

Existe norma de Catalogação de Programas de Produção com registro de alterações que demonstre:

- a data da alteração; - impacto da alteração na área do usuário; - outros impactos (em outros programas, rotinas ou sistemas); - as instruções alteradas dentro dos programas.

Rotina:

O Auditor deve solicitar todos os programas fonte catalogados e jogá-los dentro de uma Infobase. Se não tiver tal recurso, deverá copiá-los para dentro do Word (versão 6.0 em diante) ou WordPerfect (versão 6.0a em diante) e fazer o seguinte:

- mês a mês repita o procedimento (de cópia) - compare os programas - verifique as modificações e analise seus impactos.

Para comparar, no Word por exemplo, faça o seguinte:

1. abra o arquivo mais novo no Word; 2. Comande Ferramentas e Marcas de Revisão; 3. Marque Exibir Revisões na Tela e Exibir Revisões no Documento

Impresso; 4. Comande Comparar Versões e indique o arquivo anterior.

O arquivo aparecerá com as alterações riscadas e em cor diferente.

16

martinelliauditores

A Entrada de Dados

Os dados quando entram no sistema são submetidos a uma bateria de programas de consistência. Se os programas estiverem corretos, se ninguém tiver catalogado nenhum programa frio; se a rotina de consistência não estiver aberta por algum comando derivado de um programa anterior, então, os dados deverão entrar nas bases de dados e executarem as funções solicitadas que, ainda assim, poderão estar erradas. O auditor, portanto, deve:

- Submeter a bateria de crítica A TODAS AS CONDIÇÕES

POSSÍVEIS DE TESTE.

Como?

- Separando todas as telas e documentos de entrada. - Examinando cada campo e comparando com a listagem da

consistência. - Submetendo os dados a uma bateria de testes em ambiente

apropriado (não de produção).

Os testes deverão começar com quesitos simples, do tipo:

- campo aceita brancos; - alfa no lugar de números e seu inverso; - qual a razão de determinado campo ser alfanumérico se só são

usados números nesse campo; - datas devem ser checadas em termos de aceitação de datas

passadas, futuras e absurdas;

Em seguida, depois os testes deverão contemplar as condições cruzadas, do tipo:

- cadastral = função advogado com número de OAB; cálculo = com simulação de cálculos diversos em planilha apartada

e conferida com o resultado dos programas; - função do programa = verificar se o programa executa a função

nele definida e já vista no processo de auditoria de catalogação.

Por exemplo: programa que deve emitir faturas

- inserir condições tais que algumas faturas passem e comprovem o acerto da emissão, inclusive em seus cálculos.

17

martinelliauditores

Neste exemplo, faturas que passarem por erro de consistência deverão ser examinadas detidamente para exame de: - impacto; - novos testes.

Varredura das Bases de Dados

O Auditor deve ter em mente que, a situação examinada no item anterior, pode ser rapidamente alterada se houver cumplicidade na área de informática.

É fundamental, portanto, que as Bases de Dados sejam examinadas por programas de varredura. Tais programas estão disponíveis no mercado com maior ou menor qualidade, mas o Auditor deve saber que tais programas são constituídos basicamente pelos seguintes componentes:

- versão para o seu ambiente de trabalho; - capturadores de dados com formatação, normalmente em padrão

SQL ou ODBC; - funções lógicas e matemáticas semelhantes a qualquer planilha ou

Banco de Dados para Windows existente no mercado; - capacidade de gerar relatórios a exemplo de qualquer Banco de

Dados para Windows.

Deve o Auditor também:

Submeter a bateria de crítica (base de dados) A TODAS AS CONDIÇÕES POSSÍVEIS DE TESTE: Como?

- examinando cada campo e comparando com a listagem da

consistência; - submetendo os dados a uma bateria de testes em ambiente

apropriado (não de produção);

Os testes deverão começar com quesitos simples, do tipo:

- campo aceita brancos; - alfa no lugar de números e seu inverso; - qual a razão de determinado campo ser alfanumérico se só são

usados números nesse campo;

18

martinelliauditores

- datas devem ser checadas em termos de aceitação de datas passadas, futuras e absurdas;

Se quiser, o Auditor pode construir seus próprios programas de varredura a partir dos componentes normais de mercado, com maior ou menor grau de sofisticação. Por exemplo: o WordPerfect 6.0a e WordPro97 (e posteriores) são capazes de capturar dados SQL e ODBC, inclusive do DB2 de Grande Porte. Após a captura ele permite que você faça a Query (consulta) que desejar. O Word também permite a captura de dados, mas com menor capacidade. Não estamos sugerindo que se usem processadores de texto, mas se você somar a capacidade de seu integrado (Office ou MS-Office) é provável que você resolva o problema satisfatoriamente. As varreduras são efetuadas a partir do conhecimento do formato das tabelas do banco de dados a ser auditado. A partir daí, basta criar Queries (consultas) dentro dos mesmos padrões de teste do item 2 (Consistência), com acréscimo do histórico de cada campo.

5.2 Segurança Lógica

A responsabilidade do Auditor não é escolher o Software de Segurança da Rede ou mesmo as implantações do Software Padrão da Rede (Rights).

Os conceitos de segurança lógica devem ser definidos pela Administração de Segurança da Rede (se houver), pelos Owners (responsáveis pelos sistemas) e usuários. Os conceitos são os seguintes:

- Estabelecimento das necessidades de segurança. Revisão das características do software. - Garantia de que as características do software satisfaçam as

necessidades da empresa. - Teste das características do software, identificando as funções

obrigatórias disponíveis:

a) Estabelecimento dos níveis de proteção. b) Monitoramento do acesso aos recursos protegidos e

transações. c) Disponibilidade de arquivos de Log ou de comandos que

informem:

19

martinelliauditores

- Tentativas de Acesso - Violações - Modificações nos parâmetros da rede - Outras consideradas relevantes 5.3 Mecanismos de Controle de Acesso

Os mecanismos de controle de acesso devem identificar:

- Direitos de todos os participantes da rede (Administrador/Supervisor, Usuários, etc).

- Restrições de todos os participantes da rede:

a) conta;

b) horário;

c) dia da semana;

d) estação de trabalho;

e) volume e limites de espaço em disco.

- Senhas:

a) óbvias e leis de construção.

b) todos os usuários devem ter senhas.

c) permissão para alterar senha .

d) período mínimo de alteração.

e) a senha deve ser diferente de quantas senhas anteriores?

5.4 Processos Gerais de Verificação de Auditoria de Rede

Geralmente, nas auditorias de rede são utilizados softwares de apoio. Elencamos a seguir algumas das informações identificadas por este tipo de software:

- Senha não atribuída. - Senhas sem segurança. - Senhas muito curtas. - Equivalência do Supervisor. - Existência de Gerentes de Grupos de Trabalho. - Privilégios no diretório-raiz . - Ausência de script no Login .

20

martinelliauditores

- Direitos excessivos de certos diretórios. - Usuário que não fez Login durante certo período de tempo.

5.5 Pirataria

Em fevereiro de 1998 foi criada a Lei do Software (9609) que diz respeito às infrações de direito autoral, determinando penas de detenção ou reclusão de até quatro anos, além de multa pesada.

Atualmente (informação publicada em abril.99) a ABES – Associação Brasileira das Empresas de Software, estima que 61% dos programas utilizados no Brasil sejam piratas. O maior número de infrações está no mercado SOHO, ou seja, são pessoas que duplicam ou compram aplicativos piratas para instalar em máquinas domésticas. Mas a maior perda de dinheiro ocorre no mercado corporativo, seja em empresas que fazem diversas cópias ilegais de um produto ou na venda de softwares pirateados.

A ABES, portanto, está centrando esforços para atacar a pirataria. Indícios são as recentes prisões em flagrante que aconteceram em Minas Gerais e Rio de Janeiro, por exemplo. Para se ter uma idéia, em 1998 foram realizadas 118 ações de vistoria e apreensão, com mais de 20 prisões em flagrante por uso ou venda de softwares ilegais.

Denúncias

“Normalmente, recebemos as informações de ex-funcionários ou empresas concorrentes”, conta Fisher da ABES. Outro ponto de informação importante são os cadastros apreendidos de vendedores ilegais de CDs. Prevenção

θ Estude e leve a sério a possibilidade de utilizar um sistema de

software livre que simplesmente elimina a pirataria, como o LINUX. θ Utilize o documento “Contrato de Garantia da Empresa com

respeito ao uso de Software” θ Examine programas freeware

21

martinelliauditores

θ Teste programas Shareware, sem esquecer, entretanto, que o uso de tais programas deve seguir rigorosamente as normas expressas na autorização para teste, já que são passíveis de enquadramento na Lei.

Contrato de Responsabilidade

Para tentar garantir que os funcionários não instalem softwares piratas em suas máquinas, pode-se criar um Contrato de Responsabilidade como o documento a seguir, sugerido pela ABES. Com ele, cada funcionário será responsável por eventuais multas decorrentes de instalações de software ilegais, e ainda poderá ser demitido por justa causa. Segue exemplo:

CONTRATO DE GARANTIA DA EMPRESA COM RESPEITO AO USO DE SOFTWARE. A EMPRESA possui licenças para uso de software proveniente de uma série de fornecedores. Não somos autores desses softwares ou de sua documentação. Portanto, exceto quando autorizado pelos autores dos softwares, nenhum funcionário ou contratado da EMPRESA tem o direito de reproduzi-los. Os funcionários e contratados da EMPRESA que tomarem conhecimento de algum uso inadequado de software da empresa ou de sua respectiva documentação deverão notificar, por escrito, o Gerente do Departamento de Informática. De acordo com a Lei de Software, as pessoas envolvidas em reprodução ilegal de programas ficam sujeitas ao pagamento das respectivas indenizações por perdas e danos, em valor correspondente a até três mil vezes o valor de cada cópia do programa original, além de sanções penais, como multas e prisão. A EMPRESA não aceita a duplicação ilegal de software. Os empregados ou contratados da EMPRESA que fizerem, adquirirem ou usarem cópias ilegais e não autorizadas, serão punidos de acordo com as circunstâncias, sendo inteiramente responsáveis pela reparação dos danos resultantes de tais atos. Quando empregados, estarão também sujeitos à rescisão do contrato de trabalho por Justa Causa, com base no artigo 482 da C.L.T.

22

martinelliauditores

Penas e Multas

Os riscos que cada tipo de pirataria oferece:

CRIME : Comercialização ilegal de programas

O QUE É

Só quem pode comercializar um programa é o desenvolvedor ou um distribuidor autorizado. Quem comercializa programas sem autorização do desenvolvedor está cometendo crime de uso de propriedade intelectual e pode estar cometendo crime fiscal (pois não está pagando os impostos devidos).

FORMAS MAIS COMUNS

- Comercialização de CDs-ROM com vários programas. - Venda de computadores com programas pré-instalados sem a

autorização do desenvolvedor dos programas.

PENA

- Até quatro anos de prisão - Multa - Indenização de até 3000 vezes o valor dos programas

comercializados

CRIME

Utilização de programa sem licença de uso

O QUE É

Quando se adquire um programa, o usuário terá direito à instalação em apenas UM computador. Em alguns casos, o desenvolvedor autoriza a instalação simultânea em mais de um computador, mas o usuário deve sempre consultar o desenvolvedor sobre isso, e ler a licença de uso para esclarecer eventuais mal-entendidos.

FORMAS MAIS COMUNS

- Instalação em casa de um programa comprado pela empresa.

23

martinelliauditores

- Comprar uma única cópia de um programa e instalar. - em todos os computadores da empresa. - Instalar cópias de jogos ou aplicativos particulares em

computadores da empresa. - Instalação ou acesso de um programa monousuário em uma rede

local. - Acesso a um programa em rede por mais usuários que o número

de licenças adquiridas.

PENA

- Até 2 anos de prisão - Indenização de até 3000 vezes o valor dos programas utilizados.

24

martinelliauditores

6. SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE

6.1 Segurança Física

Localização

Deve-se verificar se o local onde estão situados os servidores, estações críticas e rack de equipamentos estão localizados em Área Crítica:

- Próximo de dispositivos que causam interferência eletro

magnética? - Ligação entre Departamentos Usuários e Informática (para

segurança)? - Próximo de depósitos de inflamáveis, cozinhas, áreas poluídas ou

assemelhadas ? - Próximo de estacionamentos e garagens? - Ligado a um único ramal de energia elétrica e distante de outro, se

houver? - Em locais sujeitos a sol forte, paredes aquecidas, etc? - Em locais sujeitos a inundação ou infiltração causada por canos em

parede, teto ou piso?

Construção

A construção que abriga os elementos críticos da Rede, possuem características próprias:

- Os materiais são retardantes a fogo? - Os locais são construídos de maneira a vedar o acesso? - Existem detectores de fumaça no local? - Estão corretamente regulados? - Existe espaço para expansão (equivalente a 25% do espaço

ocupado)? - As portas são corta fogo? - Existem janelas no local? De que tipo são (vidro, alumínio, etc.)? - Existe passagem de ar condicionado de outros locais para os locais

críticos?

Ações da Natureza

25

martinelliauditores

O tempo e suas conseqüências constituem risco da Natureza. Poucos são os locais que estão imunes a condições adversas de tempo.

- Existe risco das áreas críticas serem atingidas por alagamentos? - Existe proteção contra descargas atmosféricas?

Ø Locais? Ø Nas proximidades? Ø Por sobrecarga da instalação?

- Quais os dados de proteção do Pára-Raios? Ø Zona de Proteção Ø Número de condutores de descida em função da área coberta e

do perímetro da instalação Ø Resistência da Malha

- Os condutores possuem curvas com ângulo de descida menor que 90 graus?

- Com raio mínimo de 20 cm (redução de indutâncias)? Os condutores estão protegidos mecanicamente por materiais

isolantes até uma altura de 2 m a contar do solo? - Estão isolados cerca de 20 cm do corpo da construção? - Existem árvores próximas às áreas críticas?

Fatores Humanos

Em função da dependência informática da Empresa é essencial analisar os possíveis fatores humanos que possam causar prejuízos.

- Existe sistema de proteção de áreas críticas na hipótese de

greves? - No período noturno, existe esquema de vigilância do local? - O perímetro externo da Empresa é protegido de forma efetiva? - O perímetro do prédio, em dias específicos (domingos e feriados)

tem vigilância efetiva? - O perímetro das áreas críticas é fechado nesses horários e dias? - Existem casos ou suspeita de sabotagem em outras áreas da

Empresa? - A vigilância tem orientação para reportar por escrito casos de

pessoas com comportamento suspeito? - Pessoas que se encontrem nas instalações sem motivo? - Veículos estacionados por longos períodos não pertencentes a:

Ø funcionários? Ø Visitantes ou clientes?

- Nas demissões, o empregado tem suas chaves: Ø físicas recolhidas (chaves,cartões de acesso, etc) e, Ø lógicas (senhas) deletadas assim que o empregado manifeste o

desejo de sair (demissão por iniciativa do empregado)

26

martinelliauditores

Ø ou quando tal decisão é tomada pela empresa ? - Os empregados são treinados para:

Ø extinção de fogo local (manuseio de extintores portáteis)? Ø localizar interruptores de energia? Ø conhecer os processos de desligamento normal?

Controle de Acesso Físico

O acesso de pessoas estranhas às áreas críticas foi estruturado em função de a informática na empresa ser considerada pelo seu nível de risco e conseqüente conceito:

- Não permite a continuidade dos negócios ou atividades da

empresa – Alto Risco. - Apresenta dificuldades para a continuidade dos negócios ou

atividades da empresa – Risco Intermediário. - Não afeta a continuidade dos negócios ou atividades da Empresa –

Risco Baixo.

Existe proibição específica para determinados objetos nas áreas críticas?

- Imãs ou aparelhos que gerem campos magnéticos. - Equipamentos eletrônicos de uso pessoal. - Copiadores de Documentos. - Bebidas e Alimentos. - Material de Fumantes.

Existe regulamento ou norma interna que especifique o Controle de Acesso?

Detecção, Alarme e Combate a Fogo

O fogo deve ser evitado via detecção, comunicado via alarme e combatido por meio de extintores manuais ou automáticos. O risco de fogo deve ser auditado:

As áreas críticas são utilizadas em períodos fora do expediente normal? Existem sensores e alarmes de detecção nessas áreas ?

Tais sensores são ou podem ser:

- do tipo cruzado (acionam os alarmes e algum tipo de combate); - controla fechamento de dumpers;

27

martinelliauditores

- corta a corrente elétrica (se houver No Break); - opera alarmes em pontos estratégicos (Informática e Vigilância);

Os detectores, se existirem:

- estão em suspensos dentro de forros? - estão em caixas de painéis elétricos e de telefones? - estão em dutos de exaustão de ar condicionado?

Os extintores são adequados ao ambiente?

- CO² (dióxido de carbono); - Halon (1301 ou 1211); - Monofosfato de Amônia;

Existe treinamento para manuseio de extintores ? Os materiais existentes nas áreas críticas ou próximo delas é resistente a fogo? Existem materiais combustíveis ou tóxicos (álcool isopropílico, solventes, freon, etc) Estão armazenados próximo ou dentro das áreas críticas? As luminárias fluorescentes são dotadas de reatores blindados ou possuem reatores fora do ambiente crítico? Os extintores estão dentro do prazo de validade (conteúdo e cilindro)? Extintores de CO² e Pó Químico são pesados periodicamente? No mínimo a cada 5 anos os extintores sofrem vistoria e ensaios de pressão eletrostática? As inspeções de segurança são efetuadas nos prazos? - baterias não seladas do No Break; - alarmes de fogo; - recarga de extintores; - detectores de combustão

Sistemas de proteção contra fogo O sistema de proteção contra fogo subdivide-se em:

28

martinelliauditores

a) Sistema de detecção de superaquecimento e fogo:

Este sistema é formado por detectores de calor instalados em pontos de ocorrência mais provável de fogo. Os detectores podem ser locais (sensores que protegem pontos isolados) ou contínuos (sensores em forma de fio, que protegem ao longo de sua extensão), e provocam o acionamento de um alarme sonoro e visual na cabine de comando

b) Sistema de extinção de fogo – acionado em emergências para áreas

vazias de pessoas:

Ao ocorrer aviso de fogo, é necessário seguir os procedimentos recomendados pelo fabricante, incluindo verificações quanto ao falso alarme ou mero superaquecimento.

Princípios do combate ao fogo

Para que um material possa entrar em combustão, é preciso que existam três fatores : o combustível, o oxigênio e o calor. Para extinguir o fogo, basta eliminar ou isolar um desses fatores.

Tipos de incêndio

Os incêndios são divididos em classes

CLASSE A Materiais que deixam brasa ou cinza, como a madeira, o papel, tecidos, etc.

CLASSE B Líquidos inflamáveis como a gasolina e o álcool. CLASSE C Materiais elétricos como fios, isolantes, etc.

CLASSE D Metais como o magnésio das rodas

29

martinelliauditores

Agentes Extintores

Os agentes extintores mais usados são: Água apaga por resfriamento incêndios de classe A. Espuma apaga por abafamento incêndios em líquidos (classe B). É corrosiva e ataca metais; grande eficiência nos incêndios com combustível.

Pó químico apaga por abafamento incêndios de classes B e C. Pó seco apaga por abafamento incêndios de classe D.

Dióxido de carbono (CO2) é recomendado em incêndios elétricos, porque não conduz eletricidade, afastando possibilidades de choques.

Energia Elétrica

O projeto elétrico, dada a importância das áreas críticas de informática, exige que seja abordado criteriosamente e que aborde os seguintes aspectos:

Ø Alimentação elétrica normal Ø Alimentação elétrica alternativa Ø Distribuição de eletrodutos e/ou canaletas Ø Distribuição dos cabos elétricos (força) Ø Distribuição dos circuitos elétricos Ø Dispositivos de Proteção de Circuitos Ø Terminais de Força e Controle Ø Dispositivos de Emergência (No Break) Ø Dispositivos de Emergência (Short Break) Ø Pára Raios Ø Aterramento O Auditor deverá pesquisar o seguinte material e identificar sua existência e conhecimento pelo pessoal da manutenção: Ø Desenhos de Planta de Iluminação Ø Desenhos de Planta das Casas de Força e Controle Ø Desenhos de Dispositivos de Proteção, vida útil, tempo de

30

martinelliauditores

manutenção e garantia Ø Desenhos de Alimentação Geral e Iluminação Externa Ø Desenhos de Corte e Detalhes Ø Desenhos do Pára-Raios e aterramento geral, mostrando tipo do

pára-raios e área de cobertura Ø Planta de Força e Aterramento por Rede

Aterramento

O projeto elétrico, dada a importância das áreas críticas de informática, exige que seja abordado criteriosamente e que aborde os seguintes aspectos: Objetivos Escoar para terra a eletricidade estática gerada por equipamentos ou por atrito de materiais isolantes:

• as descargas atmosféricas ocorridas;

• fluxo de correntes transitórias (de fuga); e

• sobretensões contingenciais.

Fornecer um referencial de terra zero de tensão para a lógica digital.

6.2 Manutenção de Hardware

A manutenção tem como objetivo manter os equipamentos em boas condições de funcionamento para garantir a segurança das operações. Pode ser feita por agentes internos ou prestadores de serviço terceirizados. A boa conservação dos equipamentos também deve ser objeto de verificação pelo Auditor. A manutenção é classificada em:

- Manutenção corretiva: corrige deficiências. - Manutenção preventiva: previne falhas.

31

martinelliauditores

Inspeções Periódicas

A inspeção é o serviço de manutenção mais simples e consiste em verificações visuais ou por outros meios imediatos, destinadas a detectar anormalidades.

6.3 Cuidados com Meios Magnéticos

Ao transportar ou armazenar discos rígidos removíveis, disquetes, fitas streamer de alta densidade, inclusive DATs, CD’s ou qualquer outro meio magnético, verifique se as seguintes cautelas foram tomadas:

Armazenagem local de backups operacionais:

- local do armazenamento

- geração dos dados

- risco idêntico ao do disco original

- risco diferente ao do disco original (indicar + ou -)

Armazenagem Externa (de segurança) de backups críticos:

- local do armazenamento

- geração dos dados

- risco idêntico ao do disco original

- risco diferente ao do disco original (indicar + ou -)

Transporte - percurso entre a área operacional e a de segurança

- referencie e descreva o meio de transporte utilizado

- caixas de disquetes ou cartucho (sem proteção)

- caixas com muito uso (sem proteção)

- meio próprio (tipo malafita)

- outros meios (descreva)

32

martinelliauditores

7. SEGURANÇA DE RECURSOS HUMANOS

Quanto a auditoria de recursos humanos de informática são aplicados os mesmos procedimentos de análise de qualquer outra área, como por exemplo: - Treinamento adequado. - Competência profissional. - Segregação de responsabilidades que fragilizem os controles interno da

empresa. - Plano de cargos e salários, etc. Atenção especial deve ser dispensada quanto a contratação de pessoal ligado a áreas estratégicas, como por exemplo a área de desenvolvimento de produtos. Nestes casos, recomenda-se que a empresa realize uma completa investigação dos antecedentes do candidato à vaga afim de evitar o vazamento de informações confidenciais. Também deve-se atentar para os aspectos ergonômicos das instalações da empresa (teclados, iluminação, cadeiras, monitores de vídeo), afim de evitar eventuais ações trabalhistas por lesões (Ex.: LER – lesão por esforço repetitivo).

33

martinelliauditores

8. SEGURANÇA NA INTERNET

8.1 Controle de Utilização da Internet

Alguns dos controles que devem ser objeto de verificação pelo Auditor são:

- Controle de sites visitados (estatísticas de utilização). - Controle de mensagens enviadas e recebidas via e-mail

(vazamento de informações sigilosas). - Controle de Downloads e arquivos anexados aos e-mail’s (infecção

por vírus, trojan horse). - Limitação de tamanho de e-mail (tráfego lento). - Administração de contas de correio eletrônico (colaboradores

desligados continuam recebendo mensagens internas da empresa) - Configuração de anti-vírus. - Avaliação do tipo de conexão e largura de banda disponibilizada.

8.2 Transações de Comércio Eletrônico

Os aspectos mais importantes a serem considerados e que podem ser objeto de verificação pelo Auditor são:

- Criptografia utilizada na recebimento e envio de dados. - Sigilo das informações pessoais ou cadastrais do cliente. - Meios de pagamento empregados (cartão de crédito, depósito

bancário, etc.). - Eficiência da área de logística (entrega da encomenda ao cliente). - Reclamações de clientes. - Testa as fragilidades do site em aceitar dados “frios”. - Autenticação de segurança. - Lay-out do site não pode ser confuso. - Meios de assegurar a disponibilidade do site “no ar”.

8.3 Segurança contra Hackers Alguns aspectos a serem considerados pelo Auditor são:

- Existência de firewall’s.

34

martinelliauditores

- Anti-vírus atualizado. - Softwares de detecção de trojam-horse (podem ser os anti-vírus

atualizados). - Política de senhas. - Bloqueio de portas de comunicação. - Ações contra a engenharia social (não jogar informações sigilosas

do sistema no lixo). - Controla acessos de terceiros (externos) aos sistemas das

empresa (Ex.: PCAnywhere).

Um aspecto importante a ser observado é que muitas invasões partem de funcionários da própria empresa. Todo usuário desligado deve ter seus direitos imediatamente eliminados do sistema.

35

martinelliauditores

9. ORGANIZAÇÃO DA AUDITORIA

Na moderna auditoria, busca-se um ferramental que torne dois aspectos desse trabalho, extremamente produtivo: - Organização

- Trabalho de campo

Nesse contexto, a informática aparece como auxiliar valiosa no aumento da produtividade e na escolha de soluções adequadas. 9.1 Utilitários Necessários

Um simples (até certo ponto) pacote Office, pode fornecer soluções práticas de apoio à auditoria.

Entre os mais sofisticados, entretanto, existem hoje alguns processos chamados de facilitadores de Inteligência Competitiva, que manipulam informações textuais com tremenda facilidade.

Permitem a criação das Bases de Informações de apoio à Auditoria que podem, com facilidade sustentar todo o processo de suporte de argumentação que um auditor necessita no campo.

Assim, podemos hoje ter Bases Históricas de Relatórios, Bases Legais acrescidas de todo o processo normativo interno, Bases Textuais de Trabalhos de Campo, etc.

O exemplo mais contundente é o uso dos softwares de Infobase, como o Folio ou o Acrobat.

9.2 Aplicação dos Utilitários

a) Para matriz de risco: - Planilhas e Gerenciadores de Projeto

36

martinelliauditores

b) Para planejamento anual de auditoria:

- Gerenciadores de Projeto c) Para fluxogramação:

- Interativos com geração automática de fluxograma. d) Para geração de programas de trabalho:

- Interativos para geração automática de fluxograma e aproveitamento dos scripts ou editores de texto.

e) Para papéis de trabalho e anexos:

- Html com links via scanner.

f) Para gerenciar dados: - Gerenciadores tipo Access e Approach.

g) Para gerenciar textos:

- Infobases

h) Para testes:

- Freeware e Shareware obtidos na Internet.