Auditoria O que auditoria?

? Conjunto de procedimentos empregados com o intuito de validar e avaliar as caractersticas que compem todo o processo envolvido na aquisio do objetivo empresarial a partir da obteno de informaes atuais. Com essas informaes possvel adaptar os procedimentos de acordo com o planejamento predefinido e/ou normais padronizadas. Auditoria uma atividade que engloba o exame de operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. A atividade de auditoria pode ser dividida em trs fases: planejamento, execuo e relatrio. Conceitos Importantes: Validar um conceito que exprime a ideia de teste. Avaliar um conceito que exprime julgamento e a emisso de opinio. Quando se aplicar a auditoria? Constantemente. O processo de auditoria deve caminhar em paralelo com o desenvolvimento empresarial, pois este, para acompanhar a atual concepo do mercado se porta com atitudes dinmicas e arriscadas (de certo modo). Na verdade a auditoria servir como avaliador constante do comportamento empresarial de acordo com suas prprias estimativas. Auditoria em Informtica Todo corpo empresarial moderno tem grande participao de tecnologias de processamento eletrnico de dados (PED) em suas atividades organizacionais. Cada vez mais tem-se conscincia de que o verdadeiro patrimnio das empresas consiste nos elementos tecnolgicos, que formam seus sistemas, processos e informaes. Portanto para a segurana de que os processos e resultados alcanados esteja satisfeita a auditoria atua-se como ponto chave na validao e avaliao dos mesmos. Este tipo particular de auditoria conhecido como auditoria em informtica. Deve-se tambm observar, de forma superficial, que a auditoria em informtica atende um foco de suma importncia no andamento da empresa: sistemas de informao. Todos processos e elementos organizacionais esto direta ou indiretamente envolvidos no processamento de dados, que, na maioria das vezes, realizado por computadores. Auditoria de Sistemas Analisa a gesto de recursos, enfocando os aspectos de eficincia, eficcia, economia e efetividade. Pode abranger o ambiente de informtica como um todo (analisando aspectos como segurana fsica e lgica, planejamento de contingncias e operao do CPD) ou a organizao do departamento de informtica (analisando aspectos administrativos da organizao como polticas, padres e procedimentos, responsabilidades, organizacionais, gerncia de pessoal e planejamento de capacidade). Pode ainda envolver controles sobre banco de dados, redes de comunicao e de

microcomputadores e controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e sada de dados). Classificao de sub-reas: Auditoria da segurana de informaes determina a postura da organizao com relao segurana. Envolve: a) Avaliao da poltica de segurana b) Controles de acesso lgico c) Controles de acesso fsico d) Controles ambientais e) Plano de contingncias e continuidade de servios Auditoria da tecnologia de informao alm dos aspectos citados anteriormente, esta abrange outros controles que podem influenciar a segurana de informaes e o bom funcionamento dos sistemas de toda a organizao, tais como: a) Controles organizacionais b) Controles de mudanas c) Controles de operao dos sistemas d) Controles sobre bancos de dados e) Controles sobre microcomputadores f) Controles sobre ambientes cliente-servidor Auditoria de aplicativos esta voltada para a segurana e o controle de aplicativos especficos. Compreende: a) Controles sobre o desenvolvimento de sistemas aplicativos b) Controles de entrada, processamento e sada de dados c) Controles sobre contedo e funcionamento do aplicativo, com relao rea por ele atendida Recentemente, fomos revendo GLPI , um suporte helpdesk e orientada para sistemas micro que incluiu um inventrio completo de hardware com o qual para realizar um acompanhamento completo dos incidentes e solicitaes associadas a usurios e computadores. Contudo, a manuteno do inventrio, ou seja, registrar novas equipes ou anotar as mudanas podem ser um pouco entediante e uma tarefa que, s vezes ns negligenciamos at que ele atinja uma auditoria de qualidade. Se voc tambm tem que manter uma contagem de software instalado, a tarefa ainda mais complicada. OCS Inventory um aplicativo para o software livre , baseado em um clienteservidor, que coleta informaes de hardware e software instalado em computadores nossa rede em um sistema centralizado. Todas as informaes extradas do OCS feito atravs da instalao de um agente em cada uma das equipas de gesto (seja Windows , Linux ou MacOS ), que envia informaes para o servidor via HTTP e de troca de arquivos XML . O ambiente necessrio no complexa: Apache + Perl + PHP + MySQL , assim voc pode instalar o servio sem muita dificuldade. No lado do

cliente, por exemplo, no Windows, voc s precisa instalar um nico executvel que vai deixar o servio em execuo no sistema. OCS Inventory capaz de detectar todos os dispositivos ativos na rede, incluindo switches, roteadores, impressoras de rede, e qualquer dispositivo autnomo. Para cada um deles armazena o endereo MAC eo endereo IP que permite que seja indexada. Quando o servidor central executado em um sistema Linux, se temos disponvel e nmblookup funes nmap, tambm podemos verificar um endereo IP ou sub-rede para obter detalhes de equipamento no inventariadas. Outra vantagem do OCS Inventory alm de ter o controle total do hardware de cada um dos nossos dispositivos de rede, software instalado, ou os usurios do sistema permitir instalar remotamente aplicaes, por exemplo, realizar uma implantao em massa em todos os equipamentos de informtica nossa central, que muito interessante.

O funcionamento bastante simples: O agente est em execuo no computador envia um inventrio actualizado ao servidor OCS O servidor processa o inventrio e verificar se os pacotes de software designado para a implantao no computador que enviou o relatrio Se as embalagens forem atribudos a este computador, o servidor de comunicao e / ou envia-lo para a implantao do agente usando SSL O agente de downloads do pacote e executa-lo. Uma vez executado, ele retorna um cdigo, notificando o estado da instalao. Um ponto muito interessante integrar o GLPI eo OCS, como uma combinao de ambas as ferramentas, podemos obter um inventrio de hardware e software totalmente atualizado e automaticamente. Isso libera os administradores da tediosa tarefa de manter um inventrio actualizado na mo, consignando todas as instalaes de software so feitas. A verdade que o conjunto GLPI eo OCS Inventory um poderoso aliado da equipe de suporte a sistemas de qualquer empresa.