Вы находитесь на странице: 1из 190

Universidade do Sul de Santa Catarina

Auditoria de Sistemas Informatizados


Disciplina na modalidade a distncia

Palhoa UnisulVirtual 2007

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:17:00

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:17:04

Apresentao
Parabns, voc est recebendo o livro didtico da disciplina Auditoria de Sistemas Informatizados. O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto, a construo de competncias se d sobre a articulao de metodologias e por meio das diversas formas de ao/ mediao. So elementos desse processo: O livro didtico; O EVA (Espao UnisulVirtual de Aprendizagem); Atividades de avaliao (complementares, a distncia e presenciais). Os materiais didticos foram construdos especialmente para este curso, levando em considerao o seu perl e as necessidades da sua formao. Como os materiais estaro, a cada nova verso, recebendo melhorias, pedimos que voc encaminhe suas sugestes, sempre que achar oportuno, via professor tutor ou monitor. Recomendamos que antes de voc comear os seus estudos, verique as datas-chave e elabore o seu plano de estudo pessoal, garantindo assim a boa produtividade no curso. Lembre-se: voc no est s nos seus estudos. Conte com o Sistema Tutorial da UnisulVirtual sempre que precisar de ajuda ou alguma orientao. Desejamos que voc tenha xito neste curso! Equipe UnisulVirtual

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:17:04

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:17:04

Ablio Bueno Neto Davi Solonca

Auditoria de Sistemas Informatizados


Livro didtico

Design instrucional Dnia Falco de Bittencourt Viviane Bastos 3 edio

Palhoa UnisulVirtual 2007

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:17:05

Copyright UnisulVirtual 2006 Nenhuma parte desta publicao pode ser reproduzida por qualquer meio sem a prvia autorizao desta instituio.

005.8 B94 Bueno Neto, Ablio Auditoria de sistemas informatizados : livro didtico / Ablio Bueno Neto, Davi Solonca ; design instrucional Dnia Falco de Bittencourt, Viviane Bastos. 3. ed. rev. e atual. Palhoa : UnisulVirtual, 2007. 190 p. : il. ; 28 cm. Inclui bibliograa. 1. Sistemas de segurana. 2. Computadores Medidas de segurana. I. Solonca, Davi. II. Bittencourt, Dnia Falco de. III. Bastos, Viviane. IV. Ttulo.
Ficha catalogrfica elaborada pela Biblioteca Universitria da Unisul

Crditos
Unisul - Universidade do Sul de Santa Catarina UnisulVirtual - Educao Superior a Distncia
Campus UnisulVirtual Rua Joo Pereira dos Santos, 303 Palhoa - SC - 88130-475 Fone/fax: (48) 3279-1541 e 3279-1542 E-mail: cursovirtual@unisul.br Site: www.virtual.unisul.br Reitor Unisul Gerson Luiz Joner da Silveira Vice-Reitor e Pr-Reitor Acadmico Sebastio Salsio Heerdt Chefe de gabinete da Reitoria Fabian Martins de Castro Pr-Reitor Administrativo Marcus Vincius Antoles da Silva Ferreira Campus Sul Diretor: Valter Alves Schmitz Neto Diretora adjunta: Alexandra Orsoni Campus Norte Diretor: Ailton Nazareno Soares Diretora adjunta: Cibele Schuelter Campus UnisulVirtual Diretor: Joo Vianney Diretora adjunta: Jucimara Roesler Coordenao dos Cursos Adriano Srgio da Cunha Ana Luisa Mlbert Ana Paula Reusing Pacheco Ctia Melissa S. Rodrigues (Auxiliar) Charles Cesconetto Diva Marlia Flemming Itamar Pedro Bevilaqua Janete Elza Felisbino Jucimara Roesler Lilian Cristina Pettres (Auxiliar) Lauro Jos Ballock Luiz Guilherme Buchmann Figueiredo Luiz Otvio Botelho Lento Marcelo Cavalcanti Mauri Luiz Heerdt Mauro Faccioni Filho Michelle Denise Durieux Lopes Destri Moacir Heerdt Nlio Herzmann Onei Tadeu Dutra Patrcia Alberton Patrcia Pozza Raulino Jac Brning Rose Clr E. Beche Design Grco Cristiano Neri Gonalves Ribeiro (coordenador) Adriana Ferreira dos Santos Alex Sandro Xavier Evandro Guedes Machado Fernando Roberto Dias Zimmermann Higor Ghisi Luciano Pedro Paulo Alves Teixeira Rafael Pessi Vilson Martins Filho Equipe Didtico-Pedaggica Angelita Maral Flores Carmen Maria Cipriani Pandini Caroline Batista Carolina Hoeller da Silva Boeing Cristina Klipp de Oliveira Daniela Erani Monteiro Will Dnia Falco de Bittencourt Enzo de Oliveira Moreira Flvia Lumi Matuzawa Karla Leonora Dahse Nunes Leandro Kingeski Pacheco Ligia Maria Soufen Tumolo Mrcia Loch Patrcia Meneghel Silvana Denise Guimares Tade-Ane de Amorim Vanessa de Andrade Manuel Vanessa Francine Corra Viviane Bastos Viviani Poyer Logstica de Encontros Presenciais Marcia Luz de Oliveira (Coordenadora) Aracelli Araldi Graciele Marins Lindenmayr Guilherme M. B. Pereira Jos Carlos Teixeira Letcia Cristina Barbosa Knia Alexandra Costa Hermann Priscila Santos Alves Logstica de Materiais Jeferson Cassiano Almeida da Costa (coordenador) Eduardo Kraus Monitoria e Suporte Rafael da Cunha Lara (coordenador) Adriana Silveira Caroline Mendona Dyego Rachadel Edison Rodrigo Valim Francielle Arruda Gabriela Malinverni Barbieri Josiane Conceio Leal Maria Eugnia Ferreira Celeghin Rachel Lopes C. Pinto Simone Andra de Castilho Tatiane Silva Vincius Maycot Seram Produo Industrial e Suporte Arthur Emmanuel F. Silveira (coordenador) Francisco Asp Projetos Corporativos Diane Dal Mago Vanderlei Brasil Secretaria de Ensino a Distncia Karine Augusta Zanoni (secretria de ensino) Ana Lusa Mittelztatt Ana Paula Pereira Djeime Sammer Bortolotti Carla Cristina Sbardella Franciele da Silva Bruchado Grasiela Martins James Marcel Silva Ribeiro Lamuni Souza Liana Pamplona Marcelo Pereira Marcos Alcides Medeiros Junior Maria Isabel Aragon Olavo Lajs Priscilla Geovana Pagani Silvana Henrique Silva Vilmar Isaurino Vidal Secretria Executiva Viviane Schalata Martins Tecnologia Osmar de Oliveira Braz Jnior (coordenador) Ricardo Alexandre Bianchini Rodrigo de Barcelos Martins

Edio Livro Didtico


Professores Conteudistas Ablio Bueno Neto Davi Solonca Design Instrucional Dnia Falco de Bittencourt Viviane Bastos Projeto Grco e Capa Equipe UnisulVirtual Diagramao Vilson Martins Filho Evandro Guedes Machado (3 edio) Reviso Ortogrca Revisare

Equipe UnisulVirtual
Administrao Renato Andr Luz Valmir Vencio Incio Bibliotecria Soraya Arruda Waltrick Cerimonial de Formatura Jackson Schuelter Wiggers

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:17:05

Sumrio
Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09 Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 UNIDADE UNIDADE UNIDADE UNIDADE Introduo auditoria de sistemas informatizados . . . . . 15 Organizao da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Poltica de segurana de informaes . . . . . . . . . . . . . . . . . . 81 Plano de contingncia e de continuidade de negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 UNIDADE 5 Auditoria de sistemas informao . . . . . . . . . . . . . . . . . . . . 141 Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Respostas e comentrios das atividades de auto-avaliao . . . . . . . . . . . . 187 1 2 3 4

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:17:05

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:17:06

Palavras dos professores


A prosso de auditor j existe h um bom tempo, mas com o passar dos tempos muitas mudanas ocorreram no mundo dos negcios, fazendo com que a prosso de auditor tambm sofresse algumas alteraes. O auditor de sistemas informatizados uma pessoa que acima de tudo deve estar atenta s novidades de mercado, pois todos os dias so descobertas novas formas de se invadir os computadores e redes. So vrios os desaos que devem ser ultrapassados por um auditor, pois com os constantes avanos tecnolgicos, auditar sistemas torna-se cada dia mais difcil. Um dos objetivos deste livro minimizar de alguma forma, parte da carncia de informao nesta rea, que nova, mas desde seu incio muito promissora. Um dos desaos de se escrever sobre este assunto que os livros que tratam de segurana de informaes so muito tcnicos, o que pode dicultar o aprendizado. De outra parte, os livros que tratam sobre auditoria deixam, muito a desejar no que diz respeito a atualizaes tecnologicas. Este desao foi o principal motivador para se escrever a respeito deste assunto. Esperamos que este trabalho sirva de fonte de consulta para auditores iniciantes, para analistas de sistemas de informao que passaram a ser auditores e para executivos que pretendem formar a sua equipe de auditores. Seja bem-vindo disciplina Auditoria de Sistemas Informatizados.

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:17:06

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:17:06

Plano de estudo
O plano de estudo tem por objetivo orientar voc no desenvolvimento da disciplina. Ele possui elementos que o ajudaro a conhecer o seu contexto e a organizar o seu tempo de estudo.

Ementa da disciplina
Fundamentos. Responsabilidades legais. Classicao de servios. Procedimentos genricos e especcos para exames e seus respectivos relatrios e certicados. Aspectos de auditoria de controle geral, segurana, aplicaes, desempenho, fraude, uso do sistema e equipamentos. Pontos de controle e trilhas de auditoria. Controle pr-operacional, operacional, de processamento e documental. Relatrio de auditoria de sistemas. Auditoria computadorizada: validao de valores, programas especcos de auditoria, vericao lgica dos programas, monitoria on-line do sistema. Crditos: 4

Objetivo(s)
Geral
Desenvolver habilidades para realizao de auditoria de sistemas nos diversos campos de atuao.

Especcos
Estudar os conceitos que envolvem a auditoria. Conhecer a organizao de um trabalho de auditoria.

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:17:06

Conhecer os diversos componentes de uma poltica de segurana. Identicar a necessidade e as caractersticas de um plano de continuidade de negcios. Identicar os passos necessrios de um trabalho de auditoria de sistemas de informao.

Agenda de atividades
Verique com ateno o cronograma no EVA e organize-se para acessar periodicamente o espao das disciplinas cursadas. Lembre-se que o sucesso nos seus estudos depende da priorizao do tempo para a leitura, da realizao de anlises e snteses do contedo e da interao com os seus colegas e professor tutor. Antes de iniciar a realizao das atividades de avaliao, leia com ateno os critrios de avaliao apresentados pelo professor tutor no plano de ensino da disciplina no EVA. No perca os prazos das atividades. Registre no espao, a seguir, as datas-chave com base no cronograma disponibilizado no EVA.

12

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:17:06

Atividades Avaliao a distncia 1 (AD 1) Avaliao presencial (AP) Avaliao nal (AF) Demais atividades (registro pessoal)

Habitue-se a usar o quadro para agendar e programar as atividades relativas ao desenvolvimento da disciplina.
13

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:17:06

14

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:17:06

UNIDADE 1

Introduo auditoria de sistemas informatizados


Objetivos de aprendizagem
Ao final desta unidade, voc ter subsdios para: contextualizar a evoluo dos sistemas computacionais e da necessidade da segurana da informao. entender o conceito de auditoria e, mais especificamente, da auditoria de sistemas informatizados. compreender a importncia da auditoria de sistemas informatizados. conhecer os desafios ticos e sociais da tecnologia da informao.

Sees de estudo
Apresentamos, a seguir, as sees para voc estudar.

Seo 1 Evoluo dos sistemas computacionais e de


segurana da informao

Seo 2 Quais so os conceitos bsicos da auditoria? Seo 3 Qual o tipo da auditoria objeto deste
estudo?

Seo 4 Por que auditar? Seo 5 Quais so os desafios ticos da auditoria de


sistemas informatizados? Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no final da unidade e no EVA.

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:17:06

Universidade do Sul de Santa Catarina

Para incio de estudo


Para voc que est prestes a iniciar os estudos na rea de auditoria, algumas consideraes so necessrias. Esta unidade pretende conceituar a auditoria de sistemas informatizados. Para que o seu conceito e importncia quem claros, na primeira seo ser abordada a evoluo dos sistemas de informao. Nas terceira e quarta sees so enfocados os desaos ticos que permeiam a tecnologia de informao e a importncia da auditoria nos sistemas informatizados. Bom estudo!

Seo 1 Evoluo dos sistemas computacionais e dos de segurana da informao


Nem sempre o bem mais precioso de uma empresa se encontra no nal da sua linha de produo, na forma de um produto acabado ou de algum servio prestado Ele pode estar nas informaes relacionadas a este produto ou servio. A crescente utilizao de solues informatizadas nas diversas reas de servios exige nveis de segurana adequados e maior exposio dos valores e informaes. A evoluo da tecnologia de informao, migrando de um ambiente centralizado para um ambiente distribudo, interligando redes internas e externas, somada revoluo da Internet, mudou a forma de se fazer negcios. Isto fez com que as empresas se preocupassem mais com o controle de acesso s suas informaes bem como a proteo dos ataques, tanto internos quanto externos. Na poca em que as informaes eram armazenadas apenas em papel, a segurana era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Com as mudanas tecnolgicas e o uso de computadores de grande porte, a estrutura de segurana j cou um pouco

16

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:17:06

Auditoria de Sistemas Informatizados

mais sosticada, englobando controles lgicos, porm ainda centralizados. (CRONIN, 1996) Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua implementao e gerncia. Paralelamente, os sistemas de informao tambm adquiriram uma importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel. A esta constatao, voc pode adicionar o fato de que hoje em dia no existem mais empresas que no dependam da tecnologia da informao, num maior ou menor grau. Pelo fato de que esta mesma tecnologia permitiu o armazenamento de grande quantidade de informaes em um local restrito e centralizado, criou-se a uma grande oportunidade ao acesso no autorizado.
A segurana da informao tornou-se estratgica, pois interfere na capacidade das organizaes de realizarem negcios e no valor de seus produtos no mercado.

Em tempos de economia nervosa e racionalizao de investimentos, a utilizao de recursos deve estar focada naquilo que mais agrega ao valor do negcio. Visando minimizar as ameaas, a ISO (International Standardization Organization) e a ABNT (Associao Brasileira de Normas Tcnicas), em sintonia com a ISO, publicaram uma norma internacional para garantir a segurana das informaes nas empresas, a ISO 17799:1. As normas ISO e ABNT so resultantes de um esforo internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurana eciente e universal.

Unidade 1

17

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:17:07

Universidade do Sul de Santa Catarina

Quais so as ameaas?

Este modelo tem como caracterstica principal tentar preservar a disponibilidade, a integridade e o carter condencial da informao. O comprometimento do sistema de informaes, por problemas de segurana, pode causar grandes prejuzos organizao. Diversos tipos de incidentes podem ocorrer a qualquer momento, podendo atingir a informao condencial, a integridade e disponibilidade. Problemas de quebra de condncia, por vazamento ou roubo de informaes sigilosas, podem expor para o mercado ou concorrncia as estratgias ou tecnologias da organizao, eliminando um diferencial competitivo, comprometendo a sua eccia, podendo perder mercado e at mesmo ir falncia. Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois deixar uma organizao sem matria-prima ou sem suprimentos importantes ou mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem perante os clientes, gerando problemas com custos e levando a margem de lucro a car bem comprometida. Problemas de integridade, causados por invaso ou fatores tcnicos em dados sensveis, sem uma imediata percepo, iro impactar sobre as tomadas de decises. Decises erradas fatalmente reduziro o faturamento ou aumentaro os custos, afetando novamente a margem de lucros. A invaso da pgina de Internet de uma empresa, com modicao de contedo, ou at mesmo a indisponibilidade de servios on-line, revela a negligncia com a segurana da informao e causa perdas nanceiras a quem sofreu algum tipo de ataque.

18

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:17:07

Auditoria de Sistemas Informatizados

Contudo, voc pode inferir que elementos fundamentais para a sobrevivncia das empresas esto relacionados com segurana da informao, a qual contribui muito para a sua lucratividade e sobrevivncia, ou seja, agrega valor ao negcio e garante o retorno do investimento feito. Agora que voc pode entender a importncia para uma organizao de tomar medidas para salvaguardar suas informaes, acompanhe, na prxima seo, conceitos bsicos para quem comea a estudar auditoria.

Seo 2 Quais so os conceitos bsicos da auditoria?


Alguns conceitos bsicos relacionados com a auditoria so: campo, mbito e rea de vericao. O campo compe-se de aspectos como: objeto, perodo e natureza da auditoria. O objeto denido como o alvo da auditoria, pode ser uma entidade completa (corporaes pblicas ou privadas, por exemplo). Perodo a ser scalizado pode ser um ms, um ano ou, em alguns casos, poder corresponder ao perodo de gesto do administrador da instituio. A natureza da auditoria poder ser operacional, nanceira ou de legalidade, por exemplo. Na seqncia, voc estudar com mais detalhes a natureza (ou tipo) da auditoria. O mbito da auditoria pode ser denido como a amplitude e exausto dos processos de auditoria, ou seja, dene o limite de aprofundamento dos trabalhos e o seu grau de abrangncia. A rea de vericao pode ser conceituada como sendo o conjunto formado pelo campo e mbito da auditoria.

Unidade 1

19

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:17:07

Universidade do Sul de Santa Catarina

A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o objetivo de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres.

Os procedimentos de auditoria formam um conjunto de vericaes e averiguaes que permite obter e analisar as informaes necessrias formulao da opinio do auditor. Controle a scalizao exercida sobre as atividades de pessoas, rgos, departamentos ou sobre produtos, para que estes no se desviem das normas ou objetivos previamente estabelecidos. Existem trs tipos de controles.
Preventivos Detectivos Corretivos usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algum sistema informatizado, por exemplo) usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos de tentativas de acesso a um determinado recurso informatizado) usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos de contingncia, por exemplo)

Um dos objetivos desses controles , primeiramente, a manuteno do investimento feito pela corporao em sistemas informatizados, tendo em vista que os sistemas de informao interconectados de hoje desempenham um papel vital no sucesso empresarial de um empreendimento.
A internet e as redes internas similares, ou intranets, e as redes interorganizacionais externas, as chamadas extranets, podem fornecer a infra-estrutura de informao que uma empresa necessita para operaes ecientes, administrao ecaz e vantagem competitiva. Entretanto, os sistemas de informao tambm precisam apoiar as estratgias de negcios, os processos empresariais e as estruturas organizacionais e culturais de um empreendimento.

20

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:17:07

Auditoria de Sistemas Informatizados

Esses controles tambm tm como objetivo evitar que algum sinistro venha a ocorrer; no conseguindo evitar, tentar fazer com que o impacto seja pequeno e, se mesmo assim, o impacto for grande, ter em mos processos que auxiliem a reconstruo do ambiente.
O que precisa ser controlado?

Em geral, um check-list que contempla os itens a serem vericados durante a auditoria. A concepo desses procedimentos antes do incio dos processos de auditoria de suma importncia porque garantir um aumento da produtividade e da qualidade do trabalho. Como exemplo, podese citar que, para o bom andamento de uma partida de futebol, no aconselhvel mudar as regras do jogo enquanto o mesmo estiver acontecendo; faz-se isto antes de comear a partida.
Os chamados achados de auditoria so fatos importantes observados pelo auditor durante a execuo dos trabalhos.

Apesar de que geralmente so associados a falhas ou vulnerabilidades, os achados podem indicar pontos fortes da corporao auditada. Para que eles faam parte do relatrio nal de auditoria, os mesmos devem ser relevantes e baseados em fatos e evidncias incontestveis.

Os papis de trabalho so registros que evidenciam atos e fatos observados pelo auditor.

Esses registros podem estar em forma de documentos, tabelas, listas de vericaes, planilhas, arquivos, entre outros. Estes documentos so a base para o relatrio de auditoria, pois contm registro da metodologia utilizada, procedimentos, fontes de informao, enm, todas as informaes relacionadas ao trabalho de auditoria.
Unidade 1

21

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:17:07

Universidade do Sul de Santa Catarina

J na fase da concepo do relatrio, so feitas as recomendaes de auditoria.

Elas so medidas corretivas possveis, sugeridas pela instituio scalizadora ou pelo auditor em seu relatrio, para corrigir as decincias detectadas durante o trabalho de vericao de vulnerabilidades ou decincias. Dependendo da competncia ou posio hierrquica do rgo scalizador, essas recomendaes podem se transformar em determinaes a serem cumpridas. (DIAS, 2000)

Seo 3 Qual o tipo de auditoria objeto deste estudo?


Vrios autores fazem uma classicao ou denominao formal sobre a natureza ou sobre os diversos tipos de auditorias existentes. Os tipos mais comuns so classicados quanto: forma de abordagem, ao rgo scalizador e rea envolvida. Acompanhe, a seguir, quais so elas:
Tabela 1 Classicao dos tipos de auditoria Classicao Quanto forma de abordagem: Tipos de auditoria Auditoria horizontal Auditoria orientada Descrio auditoria com tema especco, realizada em vrias entidades ou servios paralelamente. focaliza uma atividade especca qualquer ou atividades com fortes indcios de fraudes ou erros. auditoria realizada por um departamento interno, responsvel pela vericao e avaliao dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos reduzir a probabilidade de fraudes, erros, prticas inecientes ou inecazes. Este servio deve ser independente e prestar contas diretamente classe executiva da corporao. auditoria realizada por uma empresa externa e independente da entidade que est sendo scalizada, com o objetivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao nanceira, a legalidade e regularidade de suas operaes. trabalho conjunto de auditorias internas e externas, devido superposio de responsabilidades dos rgos scalizadores, caracterizado pelo uso comum de recursos e comunicao recproca dos resultados.

Auditoria interna

Quanto ao rgo scalizador: Auditoria externa

Auditoria articulada

22

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:17:08

Auditoria de Sistemas Informatizados

Auditoria de programas de governo

Acompanhamento, exame e avaliao da execuo de programas e projetos governamentais. Auditoria do planejamento estratgico verica se os principais objetivos da entidade so atingidos e se as polticas e estratgias so respeitadas. engloba o plano da organizao, seus procedimentos, diretrizes e documentos de suporte tomada de deciso. relativa dedignidade das contas da instituio. Esta auditoria, consequentemente, tem como nalidade fornecer alguma garantia de que as operaes e o acesso aos ativos se efetuem de acordo com as devidas autorizaes. conhecida tambm como auditoria das contas. Consiste na anlise das contas, da situao nanceira, da legalidade e regularidade das operaes e aspectos contbeis, nanceiros, oramentrios e patrimoniais, vericando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade conhecida como auditoria de conformidade. Consiste na anlise da legalidade e regularidade das atividades, funes, operaes ou gesto de recursos, vericando se esto em conformidade com a legislao em vigor. incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob a tica da economia, ecincia e eccia. Analisa tambm a execuo das decises tomadas e aprecia at que ponto os resultados pretendidos foram atingidos. tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informtica, o ambiente computacional, a segurana de informaes e o controle interno da entidade scalizada, identicando seus pontos fortes e decincias.

Auditoria administrativa

Auditoria contbil

Quanto rea envolvida Auditoria nanceira

Auditoria operacional

Auditoria de sistemas informatizados

Destas auditorias, qual delas o seu objeto de estudo?

a auditoria de sistemas informatizados. E como j foi conceituada, a auditoria de sistemas informatizados um tipo de auditoria operacional, ou seja, analisa a gesto de recursos, focalizando os aspectos de ecincia, eccia, economia e efetividade.
Unidade 1

23

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:17:08

Universidade do Sul de Santa Catarina

Dependendo da rea de vericao escolhida, este tipo de auditoria pode abranger: todo o ambiente de informtica ou a organizao do departamento de informtica. Alm disso, pode ainda contemplar: os controles sobre banco de dados, redes de comunicao e de computadores e controles sobre os aplicativos. Deste modo, sob o ponto de vista dos tipos de controles citados, a auditoria pode ser separada em duas grandes reas: Auditoria de segurana de informaes - este tipo de auditoria em ambientes informatizados determina a postura ou situao da corporao em relao segurana. Avalia a poltica de segurana e os controles relacionados com aspectos de segurana, enm, controles que inuenciam o bom funcionamento dos sistemas de toda a organizao. So estes: Avaliao da poltica de segurana. Controles de acesso lgico. Controles de acesso fsico. Controles ambientais. Plano de contingncia e continuidade de servios. Controles organizacionais. Controles de mudanas. De operao dos sistemas. Controles sobre o banco de dados. Controles sobre computadores. Controles sobre ambiente cliente-servidor.

24

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:17:08

Auditoria de Sistemas Informatizados

Auditoria de aplicativos - este tipo de auditoria est voltado para a segurana e o controle de aplicativos especcos, incluindo aspectos que fazem parte da rea que o aplicativo atende, como: oramento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende: Controles sobre o desenvolvimento de sistemas aplicativos. Controles de entrada, processamento e sada de dados. Controles sobre o contedo e funcionamento do aplicativo com relao rea por ele atendida. Esses tipos de auditoria so comumente usados para se alcanarem altos padres de qualidade no desenvolvimento de softwares: o mais famoso desses modelos o CMM. (DIAS, 2000) Uma vez compreendida a abrangncia e o escopo da auditoria dos sistemas informatizados, compreenda, na seo seguinte, por que auditar.

Seo 4 Por que auditar?


Um ditado popular diz que nenhuma corrente mais forte que seu elo mais fraco; da mesma forma, nenhuma parede mais forte que a sua porta ou janela mais fraca, de modo que voc precisa colocar as trancas mais resistentes possveis nas portas e janelas. De forma similar o que acontece quando voc implementa segurana em um ambiente de informaes. Na realidade, o que se procura fazer eliminar o mximo possvel de pontos fracos ou garantir o mximo de segurana possvel para os mesmos. Acima de tudo, o bem mais valioso de uma empresa pode no ser o produzido pela sua linha de produo ou o servio prestado, mas as informaes relacionadas com este bem de consumo ou servio. Ao longo da histria, o ser humano sempre buscou o controle das

Unidade 1

25

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:17:08

Universidade do Sul de Santa Catarina

informaes que lhe eram importantes de alguma forma; isto verdadeiro mesmo na mais remota antiguidade. O que mudou desde ento foram as formas de registros e armazenamento das informaes; se na pr- histria e at mesmo nos primeiros milnios da idade antiga o principal meio de armazenamento e registro de informaes era a memria humana, com o advento dos primeiros alfabetos isto comeou a mudar. Mas foi somente nos ltimos dois sculos que as informaes passaram a ter importncia crucial para as organizaes humanas. Atualmente, no h organizao humana que no seja altamente dependente da tecnologia de informaes, em maior ou menor grau. E o grau de dependncia agravou-se muito em funo da tecnologia de informtica, que permitiu acumular grandes quantidades de informaes em espaos restritos. O meio de registro , ao mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgao. Esta caracterstica traz conseqncias graves para as organizaes, por facilitar os ataques de pessoas no-autorizadas.
Por exemplo, um banco no trabalha exatamente com dinheiro, mas com informaes financeiras relacionadas com valores seus e de seus clientes. A maior parte destes dados de natureza sigilosa, por fora de determinao legal ou por se tratarem de informaes de natureza pessoal, que controlam ou mostram a vida econmica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a pblico.

Independente do setor da economia em que a empresa atue, as informaes esto relacionadas com seu processo de produo e de negcios, polticas estratgicas, de marketing, cadastro de clientes, etc. No importa o meio fsico em que as informaes esto armazenadas, elas so de valor inestimvel no s para a empresa que as gerou, como tambm para seus concorrentes. Em ltimo caso, mesmo que as informaes no sejam sigilosas, na maioria das vezes elas esto relacionadas com atividades dirias da empresa que, sem elas, poderia ter diculdades.

26

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:17:09

Auditoria de Sistemas Informatizados

Tradicionalmente, as empresas dedicam grande ateno de seus ativos fsicos e nanceiros, mas pouca ou at mesmo nenhuma ateno aos ativos de informao que possuem; esta proteo tradicional pode nem mesmo visar um bem valioso. Da mesma forma que seus ativos tangveis, as informaes envolvem trs fatores de produo tradicionais: capital, mo-de-obra e processos. Assim, ainda que as informaes no sejam passveis do mesmo tratamento sco-contbil que os outros ativos, do ponto de vista do negcio, elas so um ativo da empresa e, portanto, devem ser protegidas. Isto vale tanto para as informaes como para seus meios de suporte, ou seja, para todo o ambiente de informaes. (O`BRIEN, 2002). A gura 1.1 mostra os fatores econmicos de uma organizao, onde o capital, a mo-de-obra e os processos geram os ativos de uma empresa, ou seja, os produtos, os bens e a informaes.

Figura 1.1 Fatores econmicos de produo. Fonte: Caruso&Steen (1999)

Numa instituio nanceira, o ambiente de informaes no est apenas restrito rea de informtica, ele chega a mais longnqua localizao geogrca onde haja uma agncia ou representao de qualquer tipo. Enquanto na rea de informtica os ativos de informao esto armazenados, em sua maior parte, em meios magnticos, nas reas fora deste ambiente eles ainda esto representados em grande parte por papis, sendo muito tangveis e de entendimento mais fcil por parte de seres humanos.
importante ressaltar que muitas empresas no sobrevivem mais que poucos dias a um colapso do fluxo de informaes, no importando o meio de armazenamento das informaes.

Unidade 1

27

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:17:09

Universidade do Sul de Santa Catarina

E, dada caracterstica de tais empreendimentos, que no caso de bancos essencialmente uma relao de conana, fcil prever que isto acarretaria completo descontrole sobre os negcios e at uma corrida ao caixa. A atual dependncia das instituies nanceiras em relao informtica est se estendendo por toda a economia, tornando aos poucos todas as empresas altamente dependentes dos computadores e, conseqentemente, cada vez mais sensveis aos riscos representados pelo eventual colapso do uxo de informaes de controle gerencial. Os riscos so agravados em progresso geomtrica medida que informaes essenciais ao gerenciamento dos negcios so centralizadas e, principalmente, com o aumento do grau de centralizao. Ainda que estes riscos sejam srios, as vantagens dessa centralizao so maiores, tanto sob aspectos econmicos, quanto sob aspectos de agilizao de processos de tomada de deciso em todos os nveis. Esta agilizao tanto mais necessria, quanto maior for o uso de facilidades de processamento de informao pelos concorrentes. preciso, antes de qualquer coisa, cercar o ambiente de informaes com medidas que garantam sua segurana efetiva a um custo aceitvel, pois impossvel obter-se segurana total j que, a partir de um determinado nvel, os custos envolvidos tornam-se cada vez mais onerosos e superam os benefcios obtidos. Estas medidas devem estar claramente descritas na poltica global de segurana da organizao, delineando as responsabilidades de cada grau da hierarquia e o grau de delegao de autoridade e, muito importante, estarem claramente sustentadas pela alta direo. A segurana, mais que estrutura hierrquica, os homens e os equipamentos envolvem uma postura gerencial, que ultrapassa a tradicional abordagem da maioria das empresas.
Dado ao carter altamente dinmico que as atividades relacionadas com o processamento de informaes adquiriram ao longo do tempo, a poltica de segurana de informaes deve ser a mais ampla e mais simples possvel.

28

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:17:09

Auditoria de Sistemas Informatizados

Como conseqncia da informatizao, outros aspectos comeam a ser levantados, o acmulo centralizado de informao, causando um srio problema para a segurana. Os riscos inerentes ao processo agravaram-se e um estudo mais detalhado sobre eles teve que ser realizado. Uma pesquisa realizada pela Mdulo Security Solutions aponta os potenciais riscos aos quais a informao est sujeita. A gura 2 mostra que a principal ameaa s organizaes o vrus de computador.

Figura 1.2 Principais ameaas s informaes nas organizaes Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

As ameaas podem ser definidas como sendo agentes ou condies incidentes que comprometem as informaes e seus ativos, por meio da explorao de vulnerabilidades.

Unidade 1

29

auditoria_de_sistemas_informatiz15 15

22/12/2006 12:17:09

Universidade do Sul de Santa Catarina

O que caracteriza as vulnerabilidades?


As vulnerabilidades podem ser conceituadas como sendo fragilidades presentes ou associadas a ativos que manipulam e/ou processam informaes, que podem ser exploradas por ameaas, permitem a ocorrncia de um incidente de segurana, afetando negativamente um ou mais princpios da segurana da informao: carter condencial, integridade e disponibilidade. As vulnerabilidades por si s no provocam incidentes de segurana, porque so elementos passivos. Porm, quando possuem um agente causador, como ameaas, esta condio favorvel causa danos ao ambiente. As vulnerabilidades podem ser:
instalaes prediais fora do padro; salas de CPD mal planejadas; a falta de extintores, detectores de fumaa e outros para combate a incndio em sala com armrios e chrios estratgicos; risco de exploses, vazamentos ou incndio. os computadores so suscetveis a desastres naturais, como incndios, enchentes, terremotos, tempestades, e outros, como falta de energia, o acmulo de poeira, o aumento de umidade e de temperatura, etc. falha nos recursos tecnolgicos (desgaste, obsolescncia, m utilizao) ou erros durante a instalao. erros na aquisio de softwares sem proteo ou na congurao podem ter como conseqncia uma maior quantidade de acessos indevidos, vazamentos de informaes, perda de dados ou indisponibilidade do recurso quando necessrio. discos, tas, relatrios e impressos podem ser perdidos ou danicados. A radiao eletromagntica pode afetar diversos tipos de mdias magnticas. acessos de intrusos ou perda de comunicao. rotatividade de pessoal, falta de treinamento, compartilhamento de informaes condenciais na execuo de rotinas de segurana, erros ou omisses; ameaa de bomba, sabotagens, distrbios civis, greves, vandalismos, roubos, destruio da propriedade ou dados, invases ou guerras.

Fsicas

Naturais

Hardware

Software

Mdias Comunicao

Humanas

30

auditoria_de_sistemas_informatiz16 16

22/12/2006 12:17:09

Auditoria de Sistemas Informatizados

O que ser Hacker?

O termo genrico para identicar quem realiza ataques em um sistema de computadores hacker. Porm, esta generalizao possui diversas ramicaes, pois cada ataque apresenta um objetivo diferente. Por denio, hacker so aqueles que utilizam seus conhecimentos para invadir sistemas, sem a inteno de causar danos s vtimas, mas como um desao s suas habilidades. Os hackers possuem grande conhecimento de sistemas operacionais e linguagens de programao. Constantemente buscam mais conhecimento, compartilham o que descobrem e jamais corrompem dados intencionalmente. O termo hacker tambm denido pela RFC2828 (2000) como sendo alguma pessoa com um grande interesse e conhecimento em tecnologia, no utilizando eventuais falhas de seguranas descobertas em benefcio prprio. Como se tornou um termo genrico para invasores de redes, o termo hacker freqentemente usado para designar os elementos que invadem sistemas para roubar informaes e causar danos. O termo correto para este tipo de invasor seria cracker ou intruder, que tambm utilizado para designar queles que decifram cdigos e destroem protees de softwares. O termo cracker ou intruder denido pela RFC-2828 como sendo algum que tenta quebrar a segurana ou ganhar acesso a sistemas de outras pessoas sem ser convidado, no sendo, obrigatoriamente, uma pessoa com grande conhecimento de tecnologia como o hacker.

Unidade 1

31

auditoria_de_sistemas_informatiz17 17

22/12/2006 12:17:09

Universidade do Sul de Santa Catarina

O termo hacker existe desde o ano de 1960. A palavra comeou a ser usada pelos membros do Tech Model Rail Club, do Instituto de Tecnologia de Massachusetts (MIT), e indicava pessoas com capacidades tcnicas para proezas que ningum mais conseguia. Na rea de informtica, este termo foi usado para designar programadores prodigiosos, de tcnica apurada, visivelmente superior. Podemos classicar essas pessoas em vrias categorias: Carders Aqueles que fazem compras com carto de crdito alheio ou gerado, ou seja, os carders tm grande facilidade em fazer compras via internet ou em outro meio. Hackers Pessoas com um grande interesse e conhecimento em tecnologia, no utilizando eventuais falhas de seguranas em benefcio prprio. Porm, no destroem dados. Crackers Os crackers so como os hackers, porm gostam de ver a destruio. Eles invadem e destroem s para ver o caos formado. Eles apagam todo o sistema sempre deixando a sua marca registrada. Phreacking So os piratas da telefonia. Eles fazem tudo o que relativo aos telefones, convencionais ou celulares. (SPYMAN, 2002). Existem muitas maneiras de se atacar os sistemas de informao de uma organizao. Na gura 3 est disponibilizada uma pesquisa mostrando um balano dos tipos de ataques mais usados nos cinco ltimos anos. Esta pesquisa foi realizada pelo departamento de crimes de computador do FBI.

32

auditoria_de_sistemas_informatiz18 18

22/12/2006 12:17:10

Auditoria de Sistemas Informatizados

Figura 3 Tipos de ataques mais utilizados Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)

As mais famosas tcnicas de ataques s redes corporativas so: Quebra de Senha O quebrador de senha, ou cracker, um programa usado pelo hacker para descobrir uma senha do sistema. Uma das formas de quebra so os testes de exausto de palavras, a decodicao criptogrca, etc. Denial of Service Tambm conhecido como DoS, estes ataques de negao de servio so aborrecimentos semelhantes aos mails bomba, porm muito mais ameaadores porque eles podem incapacitar temporariamente uma rede corporativa ou um provedor de acesso. um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitaes de servios. Sua nalidade no o roubo de dados, mas a indisponibilidade de servio. Existem variantes deste ataque, como o DoS distribudo, chamado DDoS, ou seja, a tentativa de sobrecarregar o I/O de algum servio feita de vrios locais ao mesmo tempo.

Unidade 1

33

auditoria_de_sistemas_informatiz19 19

22/12/2006 12:17:10

Universidade do Sul de Santa Catarina

Cavalo de tria um programa disfarado que executa alguma tarefa maligna. Um exemplo, o usurio roda um jogo qualquer que foi pego na internet. O jogo instala o cavalo-de-tria, que abre uma porta TCP (Transmission Control Protocol) no micro para a invaso. Este software no propaga a si mesmo de um computador para outro. H tambm o cavalo-de-tria dedicado a roubar senhas e outros dados. Mail Bomb considerado como dispositivo destrutivo. Utiliza a tcnica de inundar um computador com mensagens eletrnicas. Em geral, o agressor usa um script para gerar um uxo contnuo de mensagens e abarrotar a caixa postal de algum. A sobrecarga tende a provocar uma negao de servio, ou um DoS no servidor de correio eletrnico. No h perda de dados na maioria dos casos. Phreacking o uso indevido das linhas telefnicas, xas e celulares. No passado, os phreackers empregavam gravadores de ta e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefnicas foram reforando a segurana, as tcnicas foram cando cada vez mais difceis. Hoje em dia uma atividade muito elaborada, que poucos conhecem. Scanners de Porta So programas que buscam portas TCP abertas por onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima, alguns scanners testam as portas de um computador durante muitos dias, em horrios aleatrios. Smurf outro tipo de ataque de negao de servio. O agressor envia uma rpida seqncia de solicitaes de ping (um teste para vericar se um servidor est acessvel) para um endereo de brodcast. Usando spoong, o cracker faz com que o servidor de broadcast encaminhe as respostas no para o seu endereo, mas para o da vtima. Assim o computador alvo inundado pelo Ping.

34

auditoria_de_sistemas_informatiz20 20

22/12/2006 12:17:11

Auditoria de Sistemas Informatizados

Spoong a tcnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. H muitas variantes, como o spoong de IP. Para executlo, o invasor altera o cabealho dos pacotes IP, de modo que parea estar vindo de uma outra mquina, possivelmente, uma que tenha cesso liberado. Snier um programa ou dispositivo que analisa o trfego na rede. Sniers so teis e usados normalmente para o gerenciamento de redes. Porm nas mos erradas, uma ferramenta poderosa no roubo de informaes sigilosas. Vrus So programas desenvolvidos para alterar softwares instalados em um computador, ou mesmo apagar todas as informaes existentes no computador. Possuem comportamento semelhante ao vrus biolgico, multiplicam-se, precisam de hospedeiros, esperam o momento certo para o ataque e tentam se esconder para no serem exterminados. A internet e o correio eletrnico so hoje os principais meios de propagao de vrus. A RFC-2828 dene vrus como sendo um software com a capacidade de se duplicar, infectando outros programas. Um vrus no pode se auto-executar, requer que o programa hospedeiro seja executado para ativ-lo. Worm So programas auto-replicantes que no alteram arquivos, mas residem na memria ativa e se duplicam por meio de redes de computador. Os worms utilizam recursos do sistema operacional para ganhar acesso ao computador e, ao se replicarem, usam recursos do sistema, tornando as mquinas lentas e interrompendo outras funes. Um worm um programa de computador que pode se autoexecutar, propagar-se pelos computadores de uma rede, podendo consumir os recursos do computador destrutivamente (RFC-2828, 2000).

Unidade 1

35

auditoria_de_sistemas_informatiz21 21

22/12/2006 12:17:11

Universidade do Sul de Santa Catarina

Aps ter acompanhado esta srie de possveis vulnerabilidades, acreditamos que voc esteja convencido de que auditar preciso, no mesmo? Auditar preciso porque o uso inadequado dos sistemas informatizados pode impactar uma sociedade. Informao com pouca preciso pode causar a alocao precipitada de recursos dentro das corporaes e as fraudes podem ocorrer devido falta de sistemas de controle. Ento, para garantir que os investimentos feitos em tecnologia da informao retornem para a empresa na forma de lucros, custos menores e um menor custo total de propriedade que o auditor de sistemas informatizados ir atuar. De posse dos objetivos, normas ou padres da corporao o auditor ir vericar se tudo est funcionando como deveria. Ainda para ilustrar a importncia da atuao do auditor, acompanhe, na seqncia, algumas estatsticas sobre os ataques aos sistemas de informao. A Tabela 2 mostra quais so as medidas tomadas pelas organizaes no que diz respeito segurana no ano de 2003.
Tabela 2 As medidas de segurana mais utilizadas pelas empresas brasileiras no ano de 2003. TOP 10 MEDIDAS DE SEGURANA MAIS IMPLEMENTADAS Ranking 2003 1 2 3 4 5 6 7 8 9 10 Medidas de Segurana Antivrus Sistema de backup Firewall Poltica de segurana Capacitao tcnica Software de controle de acesso Segurana fsica na sala de servidores Proxy server Criptograa Anlise de riscos % 90 76,5 75,5 72,5 70 64 63 62 57 56

Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

36

auditoria_de_sistemas_informatiz22 22

22/12/2006 12:17:11

Auditoria de Sistemas Informatizados

O maior investimento em TI por prossionais da rea foi em antivirus, j que uma grande quantidade de empresas tem sofrido ataques ou at mesmo deixou de car com seus servios disponveis. Logo em seguida, a maior preocupao so os sistemas de backup. E veja que a poltica de segurana est em quarto lugar. Nota-se pela pesquisa da gura 5 que o roubo de informaes e a negao de servio, ou seja, parar de disponibilizar dados, informaes e aplicaes so os ataques que mais do prejuzos para as organizaes.

Figura 5 Perdas nanceiras relacionadas com os tipos de ataques realizados Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)

Unidade 1

37

auditoria_de_sistemas_informatiz23 23

22/12/2006 12:17:11

Universidade do Sul de Santa Catarina

Apesar das vulnerabilidades, no so todas as empresas que prontamente investem em sistemas de segurana de informaes, porque os responsveis por manter o ambiente funcionando enfrentam algumas diculdades para conseguir estes recursos.

Figura 6 Principais obstculos para a implementao da Segurana Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

Falta de conscincia dos executivos (23%), diculdade em demonstrar o retorno (18%) e custo de implementao (16%) foram considerados os trs principais obstculos para implementao da segurana nas empresas, como ilustrado na gura 7. (MDULO, 2003) Quando questionados sobre a fonte de informaes para se obter discernimento a respeito do que fazer quando se trata de segurana, os entrevistados se mostraram bastante informados a respeito, e apontaram as referncias, normas e legislaes que falam sobre o assunto.

38

auditoria_de_sistemas_informatiz24 24

22/12/2006 12:17:47

Auditoria de Sistemas Informatizados

Figura 7 Adequao a legislao / Normas e Regulamentao Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

Sobre as legislaes, normas e regulamentaes de segurana que norteiam suas organizaes, 63,5% dos entrevistados apontaram a ISO 17799; 37% as publicaes do Governo Federal (decreto 4553 e outros); 30% as publicaes do Banco Central (resoluo 2554 e outras); 27% a Regulamentao da ICP-Brasil; 20% o COBIT e 20% as Publicaes da CVM (Resoluo 358 e outras). Voc compreendeu a importncia de realizar auditoria de sistemas informatizados, conheceu as principais vulnerabilidades que ameaam estes sistemas, bem como entendeu as funes de um auditor. A seo seguinte prope que voc estude e reita sobre os desaos ticos da auditoria de sistemas informatizados.

Unidade 1

39

auditoria_de_sistemas_informatiz25 25

22/12/2006 12:17:47

Universidade do Sul de Santa Catarina

Seo 5 Quais so os desaos ticos da auditoria de sistemas informatizados?


Esta seo, convida voc a realizar uma leitura e uma reexo sobre assuntos que lhe faro entender melhor os desaos ticos do auditor de sistemas informatizados. Para iniciar, realize uma breve reexo sobre o dito por Aristteles e a questo dos atos justos:
Sendo os atos justos e injustos tais como os descrevemos, um homem age de maneira justa ou injusta sempre que pratica tais atos voluntariamente. Quando os pratica involuntariamente, seus atos no so justos nem injustos, salvo por acidente, isto , porque ele fez muitas coisas que redundam em justias ou injustias. o carter voluntrio ou involuntrio do ato que determina se ele justo ou injusto, pois, quando voluntrio, censurado, e pela mesma razo torna-se um ato de injustia; de forma que existem coisas que so injustas, sem que, no entanto sejam atos de injustia, se no estiver presente tambm a voluntariedade.

Pois , dentro das corporaes, questes ticas esto envolvidas em muitas decises estratgicas, como por exemplo, no desenvolvimento de novos produtos, em questes ambientais ou at mesmo no salrio de seus funcionrios. Essas decises podem, em alguns casos, afetar diretamente o desempenho da empresa. Por conseqncia, essas oportunidades podem envolver um verdadeiro desao tica, no mesmo? S para direcion-lo mais no assunto em questo, considere que estamos no meio de uma revoluo da informao, onde nossa capacidade de adquirir, manipular, armazenar e transmitir informaes foi fortemente ampliada. Com a tecnologia da internet, atualmente possvel conseguir vrias informaes dos mais variados cantos do mundo em uma frao de segundos. Em contrapartida, graas a esta mesma tecnologia, vrias oportunidades de prticas ticas ou no vieram tona, no concorda? oportuno voltarmos nossa ateno para os

40

auditoria_de_sistemas_informatiz26 26

22/12/2006 12:17:47

Auditoria de Sistemas Informatizados

fundamentos loscos das questes ticas. Segundo OBrien (2002), quatro losoas ticas so bsicas: Egosmo o que melhor para um determinado indivduo o correto. Lei natural os homens devem promover sua prpria vida, propagar-se, buscar conhecimento do mundo, buscar relaes ntimas com outras pessoas e submeter-se autoridade legtima. Utilitarismo so corretas as aes que produzem o bem mximo para o maior nmero de pessoas. Respeito pelas pessoas as pessoas devem ser tratadas como m e no como meio para um m; e as aes so corretas se todos adotarem a regra moral pressuposta pela ao.

Afinal o que tica?

A tica uma caracterstica inerente a toda ao humana e, por esta razo, um elemento vital na produo da realidade social. Todo homem possui um senso tico, uma espcie de conscincia moral, estando constantemente avaliando e julgando suas aes para saber se so boas ou ms, certas ou erradas, justas ou injustas. A tica est relacionada opo, ao desejo de realizar a vida, mantendo com os outros relaes justas e aceitveis. Normalmente, est fundamentada nos ideais de bem e virtude, que so valores perseguidos por todo ser humano e cujo alcance se traduz numa existncia plena e feliz. Hoje, mais do nunca, a atitude dos prossionais em relao s questes ticas pode ser a diferena entre o seu sucesso ou fracasso. Ser tico nada mais do que agir direito, proceder bem, sem prejudicar os outros. Ser tico , tambm, agir de acordo com os valores morais de uma determinada sociedade. Essas regras morais so o resultado da prpria cultura de

Unidade 1

41

auditoria_de_sistemas_informatiz27 27

22/12/2006 12:17:48

Universidade do Sul de Santa Catarina

uma comunidade. Elas variam de acordo com o tempo e sua localizao no mapa. A regra tica uma questo de atitude, de escolha. J a regra jurdica no prescinde de convico ntima - as leis tm que ser cumpridas independentemente da vontade das pessoas. A tica no algo superposto conduta humana, pois todas as nossas atividades envolvem uma carga moral. A pessoa e a organizao so mais ecientes quando h congruncia entre valores e as crenas a respeito de como o trabalho deve ser feito e as expectativas e exigncias da organizao em relao ao sucesso. (JACOMINO, 2000) A empresa que almeje ser tica deve divulgar declaraes precisas, denindo as regras e deve criar procedimentos de vericao para assegurar que todos na organizao as esto cumprindo.
Por que importante saber a importncia das dimenses ticas na utilizao da tecnologia da informao?

Um ponto de vista quando voc percebe, por exemplo, que o impacto causado pela tecnologia da informao sobre o emprego uma preocupao tica muito importante e est diretamente relacionada ao uso dos computadores para se conseguir um determinado grau de automao. No h dvidas que ao advento dos sistemas informatizados veio aumentar a produtividade, ao mesmo tempo em que diminuiu a oferta de determinadas oportunidades de trabalho. Aplicaes, computadores e mquinas automatizadas realizam tarefas que antes eram realizadas por vrios trabalhadores. O que existe hoje uma procura por habilidades diferentes, formando o grupo de usurios de computadores e o grupo de administradores de computadores, de forma que, se voc no tem uma ou outra habilidade, as chances de conseguir uma oportunidade de trabalho diminuem bastante. Esta questo um problema a ser superado no Brasil, onde 50% das vagas na rea de tecnologia da informao no so preenchidas por falta de mo-de-obra qualicada. Apenas 11% dos jovens na faixa etria entre 18 e 24 anos cursam o ensino
42

auditoria_de_sistemas_informatiz28 28

22/12/2006 12:17:48

Auditoria de Sistemas Informatizados

superior e 64% da populao empregada nem sequer completou o primeiro grau. Se o panorama nacional nos faz crer que a demanda por recursos humanos no ser preenchida a curto prazo, est mais do que na hora das empresas baseadas no Brasil proporem solues que visem minimizar este cenrio e sejam capazes de transformar bits e bytes em poderosa vantagem competitiva para todos. Nesta perspectiva, em contrapartida, surge a possibilidade da gesto do conhecimento, a qual, com uma coleo de processos, governa a criao, disseminao e utilizao do conhecimento para atingir plenamente os objetivos da organizao. A gesto do conhecimento lida principalmente com os aspectos que so crticos para a adaptao e sobrevivncia da empresa diante de um ambiente de mudana crescente e descontnua. O conhecimento a chave para o poder nos negcios e as empresas que se voltam para a gesto do conhecimento, necessitam de uma abordagem que veja a organizao como uma comunidade humana, cujo conhecimento coletivo representa um diferencial competitivo em relao concorrncia.
no conhecimento coletivo que se baseiam as competncias competitivas essenciais. A Tecnologia da Informao tem um papel fundamental que muitas vezes tem sido negligenciado ou at mesmo tem passado despercebido na maioria das empresas e rgos de informtica.

As competncias essenciais e o conhecimento coletivo baseiamse em informaes de negcio: conhecimento e experincia. O papel a ser desempenhado pela TI estratgico: ajudar o desenvolvimento coletivo e o aprendizado contnuo, tornando mais fcil para as pessoas na organizao compartilharem problemas, expectativas, idias e solues. E em meio a este ambiente competitivo do mundo contemporneo, o principal desao das organizaes est em estabelecer os padres ticos nas relaes entre pessoas e empresas.

Unidade 1

43

auditoria_de_sistemas_informatiz29 29

22/12/2006 12:17:48

Universidade do Sul de Santa Catarina

Como aplicar a tica no campo de novas tecnologias?

No podemos ser inocentes e pensar que empresas so apenas entidades jurdicas. Empresas so formadas por pessoas e s existem por causa delas. Por trs de qualquer deciso, de qualquer erro ou imprudncia esto seres de carne e osso. E so eles que vo viver a glria ou o fracasso da organizao. Por isso, quando falamos de empresa tica, estamos falando de pessoas ticas. Uma poltica interna mal denida por um funcionrio de qualquer nvel pode denegrir dois dos maiores patrimnios de uma empresa: a marca e a imagem. Alm de ser individual, qualquer deciso tica tem por trs um conjunto de valores fundamentais. Muitas dessas virtudes nasceram no mundo antigo e continuam vlidas at hoje. Eis algumas das principais: ser honesto em qualquer situao, ter coragem para assumir as decises, ser tolerante e exvel, ser ntegro e ser humilde. A internet tem modicado o comportamento humano, incentivando a paixo pelo conhecimento, educao e cultura. A sociedade contempornea valoriza comportamentos que praticamente excluem qualquer possibilidade de cultivo de relaes ticas. fcil vericar que o desejo obsessivo na obteno, possesso e consumo da maior quantidade possvel de bens materiais o valor central na nova ordem estabelecida no mundo e que o prestgio social concedido para quem consegue esses bens. Esse desejo se tornou mais voluptuoso e de acesso mais fcil depois da ascenso do comrcio eletrnico na internet. A pessoa que antes devia fazer um mnimo esforo para uma compra ou aquisio, hoje se v diante de um mar de ofertas da tela do seu computador. O sucesso material passou a ser sinnimo de sucesso social e o xito pessoal deve ser adquirido a qualquer custo.

44

auditoria_de_sistemas_informatiz30 30

22/12/2006 12:17:48

Auditoria de Sistemas Informatizados

Um dos campos mais carentes, no que diz respeito aplicao da tica, o das novas tecnologias e nisto inclui-se a internet.

No existe uma legislao prevendo condutas ou regras e com isso ca muito perto o limite da tica no trabalho e exerccio prossional. Uma das principais e mais evidentes realidades da internet o individualismo extremo. Este fator, muitas vezes associado falta de tica pessoal, tem levado alguns prossionais a defender seus interesses particulares acima dos interesses das empresas em que trabalham, colocando-as em risco. Este quadro nos remete diretamente questo da formao de recursos humanos, pois as pessoas so a base de qualquer tentativa de iniciar o resgate da tica nas empresas e nas relaes de trabalho e gesto do conhecimento. tica, alm de ser a cincia que estuda o comportamento moral das pessoas na sociedade, um investimento. Um investimento que traz bons frutos a longo prazo. importante entender que o conceito de que estender benefcios sociedade um meio concreto de abraar a tica e criar uma boa imagem para a empresa. Na internet, por exemplo, extremamente necessrio se ter credibilidade para que a empresa possa sobreviver no comrcio eletrnico. (SROUR, R. H., 1998) O ambiente organizacional sob a tica da tica na gesto do conhecimento O conhecimento antropolgico nos ensina que no se deve confundir normas morais, socialmente praticadas, com pautas abstratas, universais e anistricas, pois elas so padres sociais convencionados que espelham condies histricas bem determinadas.

Voc deve distinguir, entretanto, normas jurdicas (leis, regulamentos) e normas morais.

Unidade 1

45

auditoria_de_sistemas_informatiz31 31

22/12/2006 12:17:48

Universidade do Sul de Santa Catarina

Ambas as normas regulamentam as relaes sociais, postulam condutas obrigatrias, assumem a forma de imperativos e visam a garantir a coeso social. A moral um discurso de justicao e se encontra no corao da ideologia. um dos mais poderosos mecanismos de reproduo social, porque dene o que permitido e proibido, justo e injusto, lcito e ilcito, certo e errado. H inmeras situaes carentes de normalizao que no remetem s confortveis dicotomias do tipo branco e preto. Diante delas, as opinies se dividem, exacerbadas porque os interesses subjacentes convivem em frontal oposio.

Quem ser beneficiado e quem sair prejudicado?

Eis a justicativa de uma competente reexo tica. Vale a pena distinguir entre: racionalizaes, que so situaes em que o agente sabe o que certo fazer, mas deixa de fazer mediante justicaes e dilemas, que so situaes em que o agente no sabe o que certo fazer e patina na incerteza moral.
Como ser tico num mundo em que se confrontam valores e fins que, por sua prpria pluralidade, sustentam a irracionalidade tica do mundo?

Toda tomada de deciso processa-se num contexto em que interesses contraditrios se movimentam, tenham ou no conscincia os agentes envolvidos. Tal ou qual curso de ao benecia quem? Quais interesses esto em jogo? Os interesses gerais, nacionais, pblicos ou comunitrios? Os interesses universais, coletivos, sociais ou os interesses paroquiais, familiares e pessoais? Qualquer sistema de normas morais pe em cena crenas e valores, ns e meios, a partir de um conjunto de informaes que procuram descrever uma situao.

46

auditoria_de_sistemas_informatiz32 32

22/12/2006 12:17:49

Auditoria de Sistemas Informatizados

Ele supe tambm as conseqncias provveis das aes que podero vir a ser adotadas e ainda sugere os interesses que sustentam o edifcio todo. Ora, toda moral palpita no corao de uma ideologia e, de maneira aparentemente paradoxal, reivindica um carter universalista. A chave da discusso contempornea gira em torno do egosmo tico em choque com as morais socialmente orientadas. Assim que nos pases latinos e, em particular no Brasil, rastreia-se uma dupla moral social: uma moral da integridade, que a moralidade ocial, edicante e convencional, compondo uma retrica pblica que se difunde nas escolas, nas igrejas, nos tribunais e na mdia; e uma moral do oportunismo, que a moral ociosa, pragmtica e dissimulada, furtivamente praticada como ao entre amigos e muitas vezes celebrada pela esperteza de seus procedimentos. Os valores da moral da integridade so a honestidade, a lealdade, a idoneidade, o respeito verdade e legalidade, o compromisso com a retido. Tais virtudes desenham o perl do homem de carter, convel, decente e digno, cumpridor de suas obrigaes e el palavra empenhada, sujeito eminentemente virtuoso e inexvel na preservao dos valores consagrados. Quaisquer decises e aes deveriam orientar-se por princpios que, por denio, valem para todos os homens. Em contrapartida, a moral do oportunismo funciona com base em procedimentos cnicos como o jeitinho, o calote, a falta de escrpulo, o desprezo irresponsvel pelas conseqncias dos atos praticados, o vale-tudo, o engodo, a trapaa, a exaltao da malandragem, o siologismo e a bajulice. Esta moral valoriza o enriquecimento rpido e o egosmo, consagra a esperteza e acredita que o proveito pessoal move o mundo. Assim, desde que a nalidade seja alcanada, a ao se justica, no importam os meios, lcitos ou no. Ora, queiram ou no, as empresas convivem com os padres morais que suas contrapartes partilham. Ferir tais padres signica estimular a deslealdade individual aos interesses da empresa. Em razo disto, preciso convencionar um cdigo de honra que ligue as organizaes a seus funcionrios. Ademais, as empresas tm uma imagem a resguardar, patrimnio essencial para a continuidade do prprio negcio. A imagem da empresa

Unidade 1

47

auditoria_de_sistemas_informatiz33 33

22/12/2006 12:17:49

Universidade do Sul de Santa Catarina

no pode ser desprezada impunemente, nem pode ser reduzida mera moeda publicitria, porque ela representa um ativo econmico sensvel credibilidade que inspira. A tica est amplamente constituda de regras de sobrevivncia, regras de comportamento associadas prosso, regras de relacionamento que possibilitem harmonia na convivncia social e assim por diante. As atitudes devem ser rpidas e certeiras, mas sempre seguindo estratgias globais; estas sim, capazes de diferenciar as empresas e garantir resultados consistentes no que diz respeito sobrevivncia das organizaes. As empresas hoje buscam prossionais com um perl diferenciado.
A era da informao implacvel: joga para escanteio quem no tm instruo adequada e coloca no pice os mais preparados.

Os sistemas formais da organizao correspondem aos mtodos, s polticas e aos procedimentos que claramente identicam qual o negcio, quando, como, onde e por que ele se realiza. Quando os sistemas formais contm um direcionamento tico claro, os funcionrios tm uma compreenso correta das expectativas e exigncias. Quando estes sistemas no so claros ou quando a mensagem tica varia entre os sistemas, os indivduos buscam outro ponto de referncia para uma orientao denitiva, uma dimenso tipicamente de liderana. Quando os sistemas no se referem questo tica, a mensagem transmitida de que no existe um padro tico. Isto deixa os funcionrios totalmente dependentes de seus valores pessoais e do comportamento observvel dos outros.

48

auditoria_de_sistemas_informatiz34 34

22/12/2006 12:17:49

Auditoria de Sistemas Informatizados

O que fazer para andar com um pouco mais de segurana nesse terreno nebuloso?
saiba exatamente quais so os seus limites ticos; avalie detalhadamente os valores da sua empresa; trabalhe sempre com base em fatos; avalie os riscos de cada deciso que tomar saiba que, mesmo ao optar pela soluo mais tica, poder se envolver em situaes delicadas; ser tico significa, muitas vezes, perder dinheiro, status e benefcios.

Falhas ticas arranham a imagem da empresa e as levam a perder clientes e fornecedores importantes, dicultando o estabelecimento de parcerias, pois na hora de se dar as mos, alm de levantar as anidades culturais e comerciais, as empresas tambm vericam se existe compatibilidade tica entre elas.
fundamental criar relacionamentos mais ticos no mundo dos negcios para poder sobreviver e, obviamente, obter vantagens competitivas.

E assim, com as ferramentas e o saber a postos, o quadro no to ruim assim, pois sem sombra de dvida, a tecnologia criou um verdadeiro mundo de oportunidades de emprego, para a fabricao de computadores e perifricos, desenvolvimento de softwares e outros sistemas de informao. E junto com isto, criou uma gama maior ainda de servios para quem trabalha com tecnologia. Uma vez que voc nalizou a leitura criteriosa desta unidade, realize, a seguir, as atividades propostas e pratique os novos conhecimentos.

Unidade 1

49

auditoria_de_sistemas_informatiz35 35

22/12/2006 12:17:49

Universidade do Sul de Santa Catarina

Atividades de auto-avaliao
Efetue as atividades de auto-avaliao e acompanhe as respostas e comentrios a respeito no final do livro didtico. Para melhor aproveitamento do seu estudo, realize a conferncia de suas respostas somente depois de fazer as atividades propostas. Leia com ateno os enunciados e realize, a seguir, as atividades: 1) Basicamente, descreva quais ao os riscos que as informaes em meio digital ou no correm dentro das empresas?

2) Por que auditar? Explique.

50

auditoria_de_sistemas_informatiz36 36

22/12/2006 12:17:49

Auditoria de Sistemas Informatizados

3) Considerando os aspectos financeiros, sociais e tecnolgicos envolvidos na gesto de TI, descreva a seguir qual o maior desafio tico na rea de tecnologia?

Sntese
Com o estudo desta primeira unidade, voc conferiu os conceitos que permeiam o assunto de auditoria de sistemas informatizados. Constatou que o crescente uso de solues informatizadas dentro das empresas cresceu muito nos ltimos anos. Um novo mundo de oportunidades surgiu com o uso descontrolado dos sistemas de informao, havendo a necessidade iminente de controle e as empresas optaram por um plano de auditoria. Esta auditoria tem como objetivo a manuteno do investimento feito sobre as solues de tecnologia da informao, fazendo com que o custo total de propriedade da soluo se mantenha baixo. Deste modo, voc entendeu os motivos pelos quais a auditoria em sistemas informatizados se faz necessria dentro das corporaes. Por m, estudou tambm que essas lacunas abertas nos levam a verdadeiros desaos em nossa prosso, pois tendo em mos informaes, programas e dados de maneira to fcil e to rpida, um verdadeiro desao tica surge e nos coloca em cheque na hora de decidir como agir.

Unidade 1

51

auditoria_de_sistemas_informatiz37 37

22/12/2006 12:17:49

Universidade do Sul de Santa Catarina

Saiba mais
Para aprofundar as questes abordadas nesta unidade, voc poder pesquisar os seguintes materiais: http://www.gocsi.com CSI/FBI 2003. Pesquisa do FBI a respeito de crimes de internet. http://www.modulo.com.br site da empresa Mdulo, empresa lder de mercado em solues de segurana. http://www.bsibrasil.com.br/ - site da organizao que gerencia a norma BS 7799.

52

auditoria_de_sistemas_informatiz38 38

22/12/2006 12:17:50

UNIDADE 2

Organizao da auditoria
Objetivos de aprendizagem
Ao final desta unidade, voc ter subsdios para: compreender os atributos mais comuns das atividades dos auditores e os aspectos relacionados as suas responsabilidades; conhecer os principais componentes de um planejamento de auditoria; conhecer o que uma concluso de auditoria.

Sees de estudo
A seguir, apresentamos as sees para voc estudar:

Seo 1 A origem da auditoria Seo 2 O auditor e os sistemas informatizados Seo 3 Quais so as responsabilidades do auditor? Seo 4 Como ocorre o planejamento da auditoria? Seo 5 ocorre a concluso da auditoria?
Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no final da unidade e no EVA.

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:17:50

Universidade do Sul de Santa Catarina

Para incio de estudo


A auditoria de suma importncia para os negcios, independente de sua origem, seja ela contbil ou de tecnologia de informao. O termo auditoria relacionado com diversas reas de nossa sociedade. Nesta unidade, voc vai estudar a organizao da auditoria em seu mbito geral e resgatar a relao dela com as diversas reas dos negcios. Bom estudo!

Seo 1 A origem da auditoria


A auditoria sempre foi muito relacionada com a contabilidade e tambm surgiu numa poca bem remota. Este fato diculta a pesquisa de matrias para estudos acadmicos que falam com propriedade a respeito do assunto, j que a literatura disponvel, em sua grande maioria, trata de eventos de auditorias nanceiras. Porm, muitos dos conceitos utilizados so muito bem-vindos pelo fato de que somente o objeto de auditoria est sendo mudado. No Egito antigo, autoridades providenciavam vericaes independentes nos registros de arrecadaes de impostos. Na Grcia, eram realizadas inspees nas contas de funcionrios pblicos atravs da comparao de gastos com autorizaes de pagamentos. J os nobres castelos medievais ingleses indicavam auditores que revisavam os registros contbeis e relatrios preparados pelos criados.

Como surgiu a auditoria de empresas?

A auditoria de empresas comeou com a legislao britnica promulgada durante a revoluo industrial, em meados do sculo XIX. Avanos na tecnologia industrial e de transporte provocaram novas economias de escala, empresas maiores, o advento de administradores prossionais e o crescimento
54

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:17:50

Auditoria de Sistemas Informatizados

da incidncia de situaes em que os donos de empresas no estavam presentes nas aes dirias da corporao. No advento da auditoria, este servio tinha que ser feito por acionistas que no eram administradores das empresas e que recebiam a delegao dos demais acionistas. (PURPURA, 1998)
Voc sabia? Na Inglaterra encontram-se as empresas de auditorias mais bem conceituadas, tais como: Deloitte & Co., Peat Marwick & Mitchell e Price Waterhouse & Co. Tanto eles so pioneiros na rea, que foi de l, de estudos acadmicos, que surgiu o padro de segurana de informaes que os auditores de sistemas informatizados utilizam: o padro BS 7799 que tem suas variaes na ISO (ISO 27001) e na ABNT, onde se encontra a NBR ISO/IEC 17799:1 (2005).

A inuncia britnica foi essencial para os Estados Unidos, no nal do sculo XIX, na mesma proporo em que investidores escoceses e ingleses enviavam seus prprios auditores para a vericao na contas das empresas norte-americanas, nas quais tinham investido muito dinheiro. No nal do sculo XIX, Nova Iorque tornou-se o primeiro estado norte-americano a aprovar uma legislao sobre a prosso de auditor. Vinte anos mais tarde, todos os Estados Americanos j tinham aprovado lei semelhante. No incio do sculo XX, a demanda de servios na rea aumentou exponencialmente, em razo, a princpio, da venda de ttulos ao pblico. Esta situao deixou clara a necessidade de uma maior linearidade na apresentao de demonstraes contbeis.
Voc sabia? Para se ter uma noo do crescimento da profisso de auditor, observe que em 1900 eram apenas 250 auditores autorizados a exercer a profisso nos Estados Unidos e hoje so mais de 500.000. (Fonte: Wise, 2002).

Unidade 2

55

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:17:50

Universidade do Sul de Santa Catarina

Continuando a trajetria histrica, voc vai perceber que a complexidade dos negcios foi aumentando. Na dcada de 40, j eram observadas trs importantes mudanas na prtica da auditoria: a vericao contbil passou a ser realizada por amostragem, em sua maioria; foi desenvolvida a prtica de vincular os testes realizados avaliao dos controles internos da entidade auditada; e, por m, a nfase na deteco de fraudes com o objetivo de uma auditoria foi reduzida. Esta ltima alterao gera controvrsia at hoje, pois no mbito contbil de interesse pblico que os auditores detectem fraudes e no apenas no-conformidades. Esta alterao est prestes a ser mudada. Durante a dcada de 80 e 90, a tnica nos campos prossionais era o conhecimento exigido e, assim, a prosso de auditor deu um outro passo no sentido de assegurar a prestao de servios de qualidade. Cursos de capacitao e reciclagem comearam a ser exigidos, bem como a certicao, pois prossionais certicados eram mais bem conceituados.

Seo 2 O auditor e os sistemas informatizados


Quando os sistemas de computadores surgiram, muitos auditores estavam preocupados com a essncia da auditoria que poderia mudar para poder lidar com a nova tecnologia. Agora est claro que no este o caso. Os auditores devem prover uma avaliao competente e independente indicando se um conjunto de atividades econmicas tem sido registrado de acordo com os padres e critrios estabelecidos.
Os sistemas informatizados tm afetado duas funes bsicas dos auditores: coleta e avaliao das evidncias.

56

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:17:50

Auditoria de Sistemas Informatizados

Coletar evidncias sobre a segurana em um sistema informatizado muito mais complexo do que em um sistema manual, sem automao, justamente devido diversidade e complexidade da tecnologia de controle interno. Os auditores devem entender estes controles e ter know-how para coletar evidncias corretamente. Tecnologias como hardware ou software evoluem muito rapidamente, o que torna o entendimento sobre o controle muito complicado e difcil, pois existem intervalos de surgimento de tecnologias e entendimento da mesma.
Por exemplo, num equipamento de hardware, os famosos appliances que fazem o papel de Firewall so considerados somente bloqueadores de portas lgicas. Uma nova verso deste equipamento possui um software que permite, alm de bloquear portas lgicas, fazer o servio de deteco de intrusos, o que o torna mais eficaz no momento de avaliar a segurana de dispositivos de rede que fazem este papel.

Em alguns casos, no possvel detectar evidncias de forma manual. Nesse caso, o auditor ter que recorrer outros recursos como, por exemplo, sistemas informatizados que possibilitem a coleta das evidncias necessrias. Novas ferramentas de auditoria podem ser requeridas devido evoluo da tecnologia, e infelizmente aqui tambm ocorre um intervalo entre as necessidades da auditoria e as implantaes das mesmas. Devido crescente complexidade dos sistemas informatizados, tambm mais difcil avaliar as conseqncias das vulnerabilidades existentes. Primeiramente, os auditores devem entender quando um controle est agindo de forma segura ou no. Erros em programas de computador tendem a ser deterministas: um programa errado sempre executar incorretamente. Alm disto, erros so gerados em grande velocidade e corrigi-los pode custar caro. Assim, controles internos que garantam que sistemas de computadores de alta qualidade sejam projetados, implementados, operados e mantidos so crticos.
57

Unidade 2

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:17:50

Universidade do Sul de Santa Catarina

O nus sobre os auditores garantir que estes controles sejam suficientes para manter a proteo dos ativos de informao da corporao, integridade dos dados, efetividade e eficincia dos sistemas, alm de disponibiliz-los para que eles sejam operados de forma segura.

Os sistemas de informao passaram a disponibilizar mais informaes para os que detm o poder decisrio das empresas. Os auditores desenvolveram uma fama de entenderem tanto de contabilidade quanto dos fatores que afetam a competitividade de um negcio ou setor de atuao. Contudo, esta prosso tem sido alvo de crticas por no utilizar o know-how adquirido para agregar valor a seu servio. Pode-se, inclusive, comparar com a rea de sistemas informatizados, pois um auditor pode, alm de detectar uma no-conformidade, dar alguma sugesto imediata para resolver esta no-conformidade. Esta situao permite uma discusso bastante interessante:
Primeiro reflita sobre a questo, aps escreva suas concluses: O auditor deve simplesmente detectar as noconformidades e dar a nota ao objeto auditado ou, alm disso, ele pode ajudar a corporao a aumentar o nvel de segurana dos seus sistemas de informao? Utilize o espao, a seguir, para registrar suas reflexes.

58

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:17:51

Auditoria de Sistemas Informatizados

Deste modo, servios de auditoria deslocam-se na cadeia de valores na mesma proporo que o auditor traduz as informaes obtidas com seu trabalho para informaes crticas camada executiva da empresa.
Por exemplo, com seu conhecimento do negcio, o auditor pode reconhecer que uma companhia no est utilizando adequadamente os seus ativos de informao e pode fazer recomendaes sobre como outras empresas o fazem ou, at mesmo, como as normas e padres de segurana mais conceituados no mercado o fariam.

O auditor ocupa posio privilegiada em nossa sociedade por entender o funcionamento de vrias organizaes e saber de que forma elas utilizam os recursos de tecnologia para atingir seus objetivos. O desao desta prosso est em compartilhar o conhecimento de maneira que ajude o cliente a atingir seus objetivos alm de manter a independncia. interessante que este prossional saiba a grande diferena entre fazer recomendaes e implantar decises, respeitando a tica prossional.

Quais so os principais valores de um auditor?

possvel resumir, em trs caractersticas, os principais valores de um auditor: manter princpios ticos; possuir integridade; possuir objetividade. Apesar de simples, encontra-se no mercado de auditoria, apesar de vasto, poucas empresas prestadoras de servio de auditoria que respeitam estas propriedades.

Unidade 2

59

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:17:51

Universidade do Sul de Santa Catarina

importante, na hora de contratar tais servios, procurar por empresas com tenham sua reputao baseada nas caractersticas acima mencionadas. A incessante procura por atualizaes das normas e mtodos de auditoria devem tambm fazer parte do dia-a-dia da prosso de auditor, pois vulnerabilidades e ameaas so lanadas todos os dias. Nosso cenrio de muita crtica aos auditores pelo fato de que esta prosso muitas vezes vista como a de relatores de problemas e no como a de solucionadores de situaes de noconformidade.

Quais so as necessidades para ser um prossional auditor?


Auditores necessitam de grande capacidade de comunicao, pois o servio pede que ao levantar-se questes relacionadas com o objeto auditado, a discusso seja levada para a camada executiva da empresa e os resultados deste trabalho tambm. Como a tecnologia inuencia diretamente a forma como os auditores se comunicam, deve-se recorrer a modelos padronizados que possam passar a extenso, concluso e observaes do trabalho realizado. A capacidade de pensar crtica e estrategicamente essencial ao auditor.
Por exemplo, o auditor deve ser capaz de analisar e avaliar o P.D.I. (Plano Diretor de Informtica) de um cliente e avaliar se os recursos de TI que existem na corporao manipulam as informaes de forma concisa e coerente e atendem aos objetivos previamente definidos para estes sistemas.

O auditor deve procurar fazer com que suas competncias no somente sejam ditadas por normas, mas decorram de foco no cliente e no mercado.

60

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:17:51

Auditoria de Sistemas Informatizados

Quais so os servios prestados pelo auditor?

Os principais servios prestados por auditores so: assurance; consultoria gerencial; planejamento; certicao de normas. Assim, os servios de assurance so as tradues de informaes provindas dos recursos encontrados no objeto auditado, melhorando o contexto e a qualidade para que a camada executiva possa tomar suas decises. Os servios de consultoria gerencial abrangem as recomendaes sobre como utilizar os sistemas de informao do cliente de uma forma mais proveitosa e que atenda aos objetivos de negcio da empresa auditada. Os servios de certicao de normas so aqueles em que o auditor ir prover um check-list apontando conformidades e no-conformidades segundo determinada norma e ir emitir uma parecer sobre a emisso ou no para uma empresa daquele certicado. (CARUSO, 1999) Com esta seo, voc conheceu um pouco mais sobre a histria desta prosso e a interao do auditor com os recursos informatizados, que ser melhor apresentado nas prximas unidades. Continue seu estudo e conhea quais so as responsabilidades de um auditor.

Unidade 2

61

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:17:51

Universidade do Sul de Santa Catarina

Seo 3 Quais so as responsabilidades do auditor?


O auditor , na maioria das vezes, visto como um detetive justiceiro, que se insere no mago da organizao para apontar erros, defeitos, problemas, sem a contrapartida de contribuir para uma soluo. Isto torna complicado o trabalho do auditor, pois sua presena pode incomodar os administradores da informao da empresa.

Auditor: vilo incompreendido ou recurso indispensvel para as corporaes.

Um auditor pode incorrer em responsabilidade legal ao prestar qualquer servio prossional. Se voc analisar o passado desta prosso, o auditor tem tido um percentual extremamente baixo de acusaes de falhas ou fraudes em seu servio, em relao quantidade de auditorias realizadas. Apesar de serem raros, os erros em servios de auditoria acontecem, e quando ocorrem, tem conseqncias grandes. E essa falha tem o seu respectivo lado jurdico.
Um exemplo disto que um erro de pouco menos de um grau na programao de um vo de longa distncia, apesar de raramente acontecer, suas conseqncias so muito grandes, como a falta de combustvel para o pouso do avio com segurana.

Quais so as responsabilidades do auditor em relao aos seus clientes?


Um auditor tem uma relao contratual direta com seus clientes. Quando concorda em prestar servios, algumas coisas devem ser lembradas pela empresa contratante para que o processo de auditoria, j aprovado pela camada executiva, siga de acordo com os objetivos esperados.

62

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:17:51

Auditoria de Sistemas Informatizados

Quais cuidados tomar durante o processo de fechamento de contrato?

Assim, alguns cuidados so importantes no processo de fechamento do contrato: Antes da assinatura do contrato, uma proposta comercial deve ser apresentada empresa contratante, a m de se conhecer o escopo de trabalho, ou seja, todas as responsabilidades da empresa contratada e da contratante. Isto favorvel para que, no nal dos servios, possase fazer um processo de Quality Assurance da auditoria em si, isto , uma medio do que foi proposto e do que foi realizado. A empresa que contratar os servios de auditoria de terceiros deve ter o cuidado de escolher a empresa contratada seguindo algumas caractersticas como: tempo que a empresa est no mercado, se a empresa possui um plano de atualizao permanente dos auditores, se a empresa no possui muitas queixas ou processos de clientes, vericar a carteira de clientes da empresa, entre outras caractersticas. Na hora da assinatura do contrato, importante observar a parte sobre o sigilo de contrato, que imprescindvel para um contrato de servios de auditoria. Se a empresa contratada no for de boa ndole, pode acontecer de o auditor repassar informaes para concorrentes, j que ele tambm presta servio para outras empresas. Vericar se a norma ou padro adotado pela empresa contratada tem grande aceitao no mercado; vericar se a mesma est atualizada quanto s ltimas mudanas do mundo contbil, nanceiro ou tecnolgico.

Unidade 2

63

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:17:52

Universidade do Sul de Santa Catarina

Que situaes o auditor pode ser responsabilizado por quebra de contrato?

H trs situaes tpicas onde o auditor pode ser responsabilizado por quebra de contrato, a considerar: na emisso de um parecer-padro de auditoria sem ter aplicado as normas de auditoria geralmente aceitas; na entrega do relatrio fora do prazo estipulado; na violao da relao condencial acordada no contrato. importante ressaltar que na quebra de um contrato pelas situaes anteriormente citadas ou outras, o queixoso geralmente busca uma ou mais das seguintes alternativas: prestao dos servios pelo ru; indenizao monetria por prejuzos ocorridos durante a quebra de contrato; ou uma indenizao por prejuzos indiretos causados pela no realizao dos servios contratados.

1136 TenantsCorp versus Max Rothenberg & Co. (1971)


Responsabilidade por negligncia O queixoso, uma corporao que possui um conjunto de apartamentos, acionou o ru, uma firma de auditores contbeis, pleiteando indenizao porque ru no descobriu um desfalque de quantia superior a US$ 110.000,00 (cento e dez mil dlares), que Riker, o administrador do queixoso, tinha realizado. Riker tinha contratado Rothenberg verbalmente por honorrios anuais de US$ 600,00 (Seiscentos dlares). O queixoso argumentou que Rothenberg tinha sido contratado para realizar todos os servios de contabilidade e auditoria. O ru, por sua vez, rebateu que tinha sido contratado para realizar apenas servios de escriturao e preparao das demonstraes contbeis e da declarao de imposto de renda. Como evidncia de seus argumentos, o queixoso mostrou que contabilizou os honorrios do ru como despesa de auditoria, e o ru mostrou que, em todas folhas das demonstraes, tinha registrado que elas no tinham sido auditadas.

64

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:17:52

Auditoria de Sistemas Informatizados

Alm disso, em uma carta de encaminhamento das demonstraes contbeis, o contabilista afirmou que as demonstraes tinham sido preparadas com base nos livros e registros da empresa e no tinham sido objeto de verificao independente. O tribunal decidiu que acusado tinha sido contratado para realizar uma auditoria porque Rothenberg admitiu que havia realizado alguns procedimentos, como exame de extratos bancrios, faturas e contas. Na realidade, os papis de trabalho do auditor continham um mapa intitulado Faturas no encontradas, que mostrava que no havia comprovantes para pagamentos da ordem de US$ 40.000,00(quarenta mil dlares). O contabilista no informou ao queixoso sobre a falta desses comprovantes e no se empenhou em encontr-los. O tribunal decidiu que o auditor contbil foi negligente e determinou que ele pagasse indenizaes que totalizaram US$ 237.000 (duzentos e trinta e sete mil dlares) afirmando que: Independente de o Auditor contbil ter sido contratado para realizar uma auditoria ou simplesmente preparar demonstraes contbeis, ele tinha o dever de informar o cliente qualquer conduta errada ou suspeita de seus empregados, da qual chegasse a ter conhecimento. Papis de trabalho do ru indicavam que ele tinha realizado alguns procedimentos de auditoria contbil. Os registros mostravam que o ru tinha sido contratado para realizar uma auditoria dos livros e registros do cliente e que os procedimentos utilizados pelo ru tinham sido incompletos, inadequados e realizados de forma no apropriada. 1136 TenantsCorp vs Max Rothenberg & Co. (1971) (36 A2d 30 NY2d 804), 319 NYS2d 1007 (1971).

Unidade 2

65

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:17:52

Universidade do Sul de Santa Catarina

Por que importante documentar por escrito a execuo dos trabalhos?

Para obter tal resposta, acompanhe a seguir, a descrio de um caso interessante. Ele cou conhecido como o Caso 1136 Tenants e utilizado, freqentemente, para demonstrar a importncia do processo de execuo dos trabalhos ser documentado por escrito. A existncia de um contrato por escrito foi boa, porm no foi a nica questo que o caso levantou. A questo crtica aqui que o auditor contbil no informou ao cliente que um empregado seu estava cometendo atos errados, independente do tipo de servio que estava sendo prestado.

Apesar de antigo, esse caso acontece muito em nosso pas: contratos so assinados e muitas informaes so acertadas verbalmente. Por isto, muita ateno! At aqui, voc estudou sobre as responsabilidades do auditor no que diz respeito aos procedimentos a serem adotados com os clientes e, com isso, a importncia do contrato de trabalho. Veja, a seguir ento, quais so as responsabilidades quando o trabalho feito sem a existncia de um contrato, ou seja, com terceiros.
Um terceiro pode ser definido como um indivduo que no tem relao contratual com as partes de um contrato.

De acordo com a lei de perdas e danos, o auditor tem responsabilidade para com todos os terceiros, por negligncia grave e fraude. Por negligncia normal, contudo, sua responsabilidade para com as duas classes de terceiros tem sido diferente.

66

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:17:52

Auditoria de Sistemas Informatizados

O conceito de responsabilidade evoluiu signicativamente, passando a abranger proteo ao consumidor contra atos errados, tanto para fabricantes como para os prestadores de servios. O tamanho das empresas, de uma maneira geral, aumentou, para suportar novos nveis de responsabilidade perante o cliente. Pode-se dizer que hoje em dia as empresas, tecnicamente falando, alm de procurarem um bom prossional para prestar servios, procuram tambm quelas empresas em que possam conar. Anal, o auditor de sistemas de informao ir lidar com dados e informaes que so, em sua grande maioria, sigilosos.

Seo 4 Como ocorre o planejamento da auditoria?


A atividade de auditoria pode ser dividida em trs fases: planejamento, execuo (superviso) e relatrio.

O que ocorre na fase de planejamento?

Uma fase vital para qualquer contrato de auditoria o seu planejamento. Ele desempenha o mesmo papel que em outras reas, na vida pessoal, no desenvolvimento de um novo produto, entre outros. Dele resulta um arranjo ordenado dos passos necessrios conduo de determinado objetivo. Tudo que feito de forma organizada est fadado ao sucesso. Planejamento da auditoria envolve vrios passos importantes. Obteno de conhecimento do negcio e da organizao representa a etapa crtica neste processo, pois estabelece a base para a realizao de muitos outros procedimentos de auditoria. Ao planejar o seu trabalho, o auditor toma importantes decises sobre a relevncia e risco de auditoria. Um produto importante do planejamento envolve a tomada de decises preliminares sobre a estratgia a ser seguida.

Unidade 2

67

auditoria_de_sistemas_informatiz15 15

22/12/2006 12:17:52

Universidade do Sul de Santa Catarina

Por exemplo, num parecer tcnico de um auditor de sistemas de informao, uma constatao de que determinado sistema no de misso crtica influencia e muito na deciso do auditor de recomendar alguma mudana. Isso na relao com a conformidade ou no-conformidade, mas com trabalho prativo do auditor em dizer que, apesar da no-conformidade, esta vulnerabilidade no causar muitos danos, pois o sistema no de misso crtica.

Um aspecto muito importante na obteno das informaes relacionadas com o negcio do cliente o ciclo de vida das informaes. baseado nestes uxos que se avalia a segurana envolvida. Sendo mais especco, deve ser feito um inventrio do ambiente computacional do cliente, com informaes sobre hardware, sistemas operacionais, arquitetura computacional, metodologia usada no desenvolvimento de software, quais so ou no os sistemas crticos.

Com estas informaes, o auditor ir traar o seu plano de auditoria e definir o escopo do servio.

Estes conceitos j foram explorados na unidade anterior.

Um dos motivos do auditor denir o escopo aps o inventrio a necessidade de se saber dos recursos tcnicos a serem alocados. No caso de auditoria de software, por exemplo, necessrio um auditor que conhea as normas e procedimentos para a fabricao de alguma aplicao, j que elas diferem das que aplicam diretrizes e procedimentos, para garantir a alta disponibilidade de um ambiente computacional.
Saber previamente a complexidade do ambiente de tecnologia que ser auditado uma grande vantagem, pois a empresa ter mais tempo na hora de procurar algum recurso humano em especial.

68

auditoria_de_sistemas_informatiz16 16

22/12/2006 12:17:53

Auditoria de Sistemas Informatizados

Lembre-se sempre que as informaes que so anexadas ao processo de auditoria devem ser coletadas em primeira mo, ou seja, com a certeza de que o dado coletado de fonte segura. Considerar o pessoal que administra o ambiente pode ser uma boa estratgia e lgico, que como prestador de servio, uma certa poltica e jogo de cintura so importantes nestes casos. Tendo em mos as informaes pertinentes ao ambiente computacional do cliente, a equipe de auditores pode, neste momento, denir o campo, o mbito e as sub reas a serem auditadas. A denio do escopo, ou seja, o campo, o mbito e as sub reas um passo importante no planejamento da auditoria porque desta forma que o cliente ca sabendo at aonde vai o trabalho realizado pelo auditor, ou seja, evita falsas expectativas, at no que diz respeito ao prazo. Existe uma tendncia muito forte da classe executiva em pensar que auditoria uma simples anlise supercial e leva-se pouco tempo para execut-la. Este aspecto deve ser discutido ainda na fase de contratao dos servios para evitar problemas futuros. Uma das situaes mais corriqueiras durante o planejamento sem dvida a que diz respeito ao conhecimento tcnico necessrio para a realizao do servio. Isto implicar diculdades para formar a equipe de auditoria e causar problemas como: alocar um recurso muito especializado para uma auditoria simples ou perceber, em cima da hora, que se precisa de um suporte muito especializado e, este recurso no estar disponvel no momento desejado. Tais como os recursos humanos, as previses nanceiras devem estar na lista das vericaes, pois podem ocorrer situaes como uma viagem s redes remotas do cliente, envolvendo custos com hotel, despesas de alimentao e deslocamento. Outro caso a contratao de um recurso tcnico para compor a equipe de auditoria, se este recurso no existir no quadro atual de funcionrios da empresa. (DIAS, 2000). To importante como a equipe de auditoria e suas previses nanceiras, so os recursos tcnicos, ou seja, as ferramentas de trabalho do auditor. So elas: manuais de sistemas operacionais, laptops, computadores, software especialista em auditoria, entre outros.

Unidade 2

69

auditoria_de_sistemas_informatiz17 17

22/12/2006 12:17:53

Universidade do Sul de Santa Catarina

Este planejamento envolve o desenvolvimento de uma estratgia global para a conduo da auditoria, dada a sua extenso. O auditor deve planej-la considerando a tica prossional sobre questes como: integridade da administrao, erros e irregularidades e atos ilegais. O volume de planejamento exigido em um contrato varia de acordo com o tamanho e complexidade do cliente, se ele j conhecido do auditor e em experincias passadas que tenha tido com ele. Como se esperaria, o planejamento de uma auditoria inicial requer esforo consideravelmente maior que o de uma auditoria recorrente. Um dos principais motivos dessa preocupao, a princpio aparentemente exagerada, a de que na maioria das organizaes dedicadas auditoria, controle e segurana, os auditores de sistemas so recursos humanos escassos e, com isso, o seu tempo deve ser administrado com muito critrio. Sua presena para execuo de alguma tarefa s denida nos casos em que sua atuao seja realmente necessria.

O que ocorre aps o planejamento?

Aps a etapa do planejamento, vem a superviso. Esta envolve o direcionamento dos trabalhos dos assistentes para atingir os objetivos de auditoria e vericar se os objetivos foram de fato atingidos. A extenso da superviso necessria em um contrato depende da qualicao das pessoas que realizam os trabalhos, entre outros fatores. Com isto, ao planejar uma auditoria e sua superviso, tambm deve ser previsto quantos membros da equipe so inexperientes e quantos so experientes.

70

auditoria_de_sistemas_informatiz18 18

22/12/2006 12:17:53

Auditoria de Sistemas Informatizados

Seo 5 Como ocorre a concluso da auditoria?


Na fase de concluso da auditoria, o auditor freqentemente ir trabalhar sob rgidas condies de prazo, pois os clientes querem obter o parecer o mais cedo possvel. Nada mais justo, porm importante lembrar que no se pode sucumbir s presses decorrentes do trabalho sob pena de emitir um relatrio simples demais, de pouca qualidade ou at mesmo com poucos detalhes.
Quais so as responsabilidades do auditor na concluso dos trabalhos?

As responsabilidades do auditor na concluso dos trabalhos podem ser divididas em trs categorias: concluso do trabalho de campo; avaliao das descobertas; comunicao com o cliente. A seguir acompanhe em detalhes, as caractersticas de cada responsabilidade referente s fases do processo de concluso da auditoria.

a) Concluso do trabalho de campo


Na concluso do trabalho de campo, o auditor deve ter certeza de que j fez todas as entrevistas necessrias, coletou todos os dados necessrios para analisar as evidncias e tecer um parecer correto, que auxilie o cliente a melhorar o seu ambiente de TI aumentando a sua disponibilidade, o seu carter condencial e a sua integridade de dados. Uma boa estratgia revisar as entrevistas com as pessoas envolvidas na administrao da informtica, relendo-as e conrmando os dados com as pessoas envolvidas para garantir a integridade de tais informaes. Tambm e importante revisar atas de possveis reunies passadas, a m de se fazer a mesma conrmao.

A concluso da auditoria deve conter as dificuldades para a obteno de informaes, que possam ter atrapalhado o trabalho.

Unidade 2

71

auditoria_de_sistemas_informatiz19 19

22/12/2006 12:17:53

Universidade do Sul de Santa Catarina

Este um fator importante, pois um parecer pouco detalhado deve ter como justicativa a escassez de informaes ou diculdades em obt-las. Outro ponto a ser lembrado a reviso dos histricos de eventos, os logs, para garantir a integridade dos mesmos, analisar a procura de falhas nas seqncias de datas, que demonstra algum tipo de fraude.

b) Avaliao das descobertas


Ao avaliar o que foi vericado na auditoria, o auditor tem por objetivos determinar o tipo de parecer a ser emitido e determinar se a auditoria seguiu as normas geralmente aceitas. Para formar opinio sobre as demonstraes contbeis, o auditor deve assimilar todas as evidncias que constatou durante a auditoria, da mesma forma que o auditor de sistemas informatizados deve reunir todo tipo de informao coletada do ambiente de TI do cliente. O primeiro passo identicar as distores que foram encontradas e no foram corrigidas pelo administrador de TI Em casos de pouca severidade, o auditor pode ressaltar o fato de que a alterao pode ser feita mais tarde. Porm, em casos graves, ele tambm pode pedir que a alterao seja feita imediatamente.

Como exemplo temos: a correo de algum sistema operacional que influencie diretamente na vulnerabilidade do sistema, deve ser feita o quanto antes, sob pena de perda de disponibilidade da mquina.

Durante a realizao de uma auditoria, vrios testes so realizados. Muitas vezes, estes testes so executados por auditores cuja participao na auditoria pode limitar-se a poucas reas. medida em que os testes correspondentes em cada rea (por exemplo: redes, sistemas operacionais, softwares) vo sendo concludos, um auditor snior vai resumindo o que neles foi constatado.

72

auditoria_de_sistemas_informatiz20 20

22/12/2006 12:17:53

Auditoria de Sistemas Informatizados

Na concluso da auditoria, necessrio que todas as constataes sejam resumidas e avaliadas. Aqui tambm constatada a noconformidade com a norma aceita pelo cliente como sendo padro de segurana de informao. Antes da deciso nal sobre a opinio a ser emitida, geralmente o cliente chamado para uma reunio, na qual a empresa responsvel pela auditoria relata as descobertas, inicialmente de forma oral, e justica, conceitualmente, eventuais ajustes e mudanas que esteja recomendando. (SEGURANA, 2000) A administrao do ambiente de informtica, por sua vez, pode tentar defender a sua posio, porm isto no deve interferir na avaliao de conformidade da norma de segurana, caso contrrio, incorrer no erro de ser complacente com muitas inconformidades e acabar sem ajudar o cliente como proposto. Nesta situao imprescindvel que haja uma formalizao para no haver dvidas sobre o caso. Isto gera segurana para todos os envolvidos, tanto no lado do cliente quanto no lado do auditor. No nal, geralmente se chega a um acordo a respeito das alteraes que devem ser feitas e o auditor pode ento ter que emitir um parecer explicando a situao. A comunicao da opinio do auditor feita por meio de seu parecer.

c) Comunicao com o cliente


Durante uma auditoria, o auditor pode vir a tomar conhecimento de questes relacionadas com controles internos, que sejam de interesse do comit corporativo de segurana ou de outros envolvidos dentro da corporao - que tenham autoridade e responsabilidade equivalente e que normalmente a classe executiva da empresa.

Unidade 2

73

auditoria_de_sistemas_informatiz21 21

22/12/2006 12:17:53

Universidade do Sul de Santa Catarina

Figura 2.1 Diagrama do modelo de implementao e gesto de segurana Fonte: Elaborado pelo autor

Na gura 2.1 voc pode perceber a posio do comit corporativo de segurana dentro de um diagrama. Nela, voc pode visualizar o ambiente de segurana de informao de uma organizao.
O comit um grupo formado por vrios gerentes de diversas reas da empresa e que tem influncia e responsabilidade sobre os ativos de informao da corporao.

74

auditoria_de_sistemas_informatiz22 22

22/12/2006 12:17:54

Auditoria de Sistemas Informatizados

A comunicao em qualquer perodo da auditoria, seja durante ou na concluso dos trabalhos, deve ser feita por um canal escolhido pelas partes envolvidas, ou seja, tanto pelo cliente, quanto pela empresa de auditoria. Tal prtica evita distores de fatos e atos, pois deve ser feita formalmente por escrito, com cpia para todas as pessoas envolvidas no trabalho dos dois lados e com cpia para o comit de segurana da empresa, se for o caso. No caso de apresentar o parecer de maneira formal, a m de encerrar os trabalhos de auditorias, interessante marcar com antecedncia uma reunio para que todas as pessoas envolvidas estejam presentes, porque nesta reunio que ser conrmada a auditoria. As normas de auditorias geralmente aceitas no exigem que vulnerabilidades relevantes sejam identicadas separadamente. Porm muito interessante, para um maior entendimento e at programao de investimentos por parte do cliente, que as vulnerabilidades sejam divididas em nveis de severidade, acusando suas conseqncias caso no sejam remediadas e a medida do risco das mesmas, para se prever em que momento esta fraqueza pode ser explorada por uma ameaa.
importante ter cuidado na hora de comunicar toda e qualquer dificuldade em obter informaes, ou barreiras encontradas para se chegar ao relatrio de concluso da auditoria.

Normalmente, o parecer de auditoria aponta alguma falha humana, ou seja, voc estar apontando algum e para que isto no vire motivo de uma guerra, necessrio ter cautela na forma de passar estas informaes para o cliente. Aqui bom lembrar que, em muitos casos, o auditor de sistemas de informao visto como dedo-duro e bom acostumar-se com isto e saber agir de acordo com esta fama. medida que a auditoria progride, o auditor deve registrar em seus papis de trabalho questes que pretenda incluir no seu relatrio nal para posterior entrega classe executiva da empresa.

Unidade 2

75

auditoria_de_sistemas_informatiz23 23

22/12/2006 12:17:54

Universidade do Sul de Santa Catarina

Resumindo: O relatrio entregue administrao da empresa deve ser cuidadosamente elaborado, bem organizado e escrito em tom de crticas construtivas. A entrega rpida deste relatrio pode ter uma reao imediata e positiva. Uma vez que voc nalizou a leitura da unidade 2, para praticar seus novos conhecimentos, realize as atividades propostas a seguir.

Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades.

1) A profisso de auditor mudou muito nos ltimos anos, porm eles tm uma tendncia que j existe a algum tempo, qual ?

76

auditoria_de_sistemas_informatiz24 24

22/12/2006 12:17:54

Auditoria de Sistemas Informatizados

2) Quando falamos das responsabilidades da profisso de auditor, quais so elas perante os clientes?

Unidade 2

77

auditoria_de_sistemas_informatiz25 25

22/12/2006 12:17:54

Universidade do Sul de Santa Catarina

3) Cite um dos principais motivos de se dar importncia ao planejamento da auditoria?

78

auditoria_de_sistemas_informatiz26 26

22/12/2006 12:17:54

Auditoria de Sistemas Informatizados

Realize tambm as atividades propostas no EVA. Interaja com a sua comunidade de aprendizagem e amplie seu ponto de vista.

Sntese
Nesta unidade, voc estudou que uma auditoria tradicional envolve a reviso do histrico nanceiro da empresa com o intuito de validar a exatido e a integridade das declaraes nanceiras. O controle interno representa uma metodologia primria usada pela classe executiva da organizao para assegurar a proteo dos ativos e a disponibilidade da informao. No advento dos sistemas de informao, o computador j demonstrou impacto em muitas reas distintas dos negcios e de vrias prosses. Com esta nova tecnologia, os processos de revises destes controles ou o processo de auditoria mudaram e os auditores atualmente, tambm devem saber a respeito da tecnologia do processamento eletrnico de dados. Como voc pde perceber, vrios desaos devem ser vencidos na prosso de auditor, pois ela envolve muitas responsabilidades alm de muita organizao. Muitos sistemas no foram projetados para serem seguros. A segurana que pode ser alcanada por meios tcnicos limitada e convm ser apoiada por gesto e procedimentos apropriados. Na prxima unidade voc ir estudar maneiras, mtodos e procedimentos que podem ser utilizados para suprir a decincia tecnolgica encontrada nos sistemas de segurana. At l!

Unidade 2

79

auditoria_de_sistemas_informatiz27 27

22/12/2006 12:17:54

Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize pesquisa nos seguintes livros: PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threatsand Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies, Pinkerton Service Corporation, 2002. PURPURA, Philiph. Security and Loss Prevention : An Introduction. Boston: Butterworth Heinemann, 3 edio, 1998. SENNEWALD, Charles A. Eective Security Management. Boston: Butterworth Heinemann. 3. edio, 1998. ROPER, Carl A. Risk Management for Security Professionals.Boston: Butterworth Heinemann, 1999.

auditoria_de_sistemas_informatiz28 28

22/12/2006 12:17:54

UNIDADE 3

Poltica de segurana de informaes


Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para: conhecer o impacto de ataques externos ao ambiente corporativo da tecnologia da informao. compreender a importncia do inventrio de recursos para uma entidade. conhecer e diferenciar os tipos de controles de acesso lgico. conhecer e diferenciar os tipos de controles de acesso fsico. conhecer e diferenciar os tipos de controles ambientais.

Sees de estudo
A seguir, apresentamos as sees para voc estudar: Qual o papel da poltica de segurana da informao?

Seo 1

Seo 2 Como realizar a anlise de riscos? Seo 3 Inventrio e recursos Seo 4 Como efetuar os controles de acesso lgico? Seo 5
Como executar os controles de acesso fsico?

Seo 6 Como realizar os controles ambientais?


Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no final da unidade e no EVA.

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:17:54

Universidade do Sul de Santa Catarina

Para incio de estudo


Na vida das pessoas dentro das organizaes, tudo gira em torno de decises polticas, no importando quem as tome e que nome elas tenham. Qualquer organizao sempre estabelece diretrizes polticas para serem seguidas pelas pessoas que fazem parte direta ou indiretamente da corporao. Com o propsito de fornecer orientao e apoio s aes de gesto de segurana, a poltica de segurana da informao tem um papel fundamental e, guardadas as devidas propores, tem importncia similar constituio federal para um pas. Aps o entendimento inicial da relevncia deste contedo, siga em frente! Bom estudo!

Seo 1 Qual o papel da poltica de segurana da informao?


Tendo como propsito fornecer orientao e apoio s aes de gesto de segurana, a poltica de segurana da informao assume uma grande abrangncia e, por conta disto, subdividida em trs blocos: procedimentos/instrues, diretrizes e normas, que so destinados, respectivamente, s camadas operacional, ttica e estratgica. a) Procedimentos/instrues: estabelecem padres, responsabilidades e critrios para o manuseio, armazenamento, transporte e descarte das informaes dentro do nvel de segurana estabelecido sob medida pela e para a empresa. Portanto, a poltica das empresas deve ser sempre personalizada. b) Diretrizes: por si s tem papel estratgico, pois precisam expressar a importncia que a empresa d informao, alm de comunicar aos funcionrios seus valores e seu comprometimento em incrementar a segurana a sua cultura organizacional. c) Normas: notria a necessidade do envolvimento da alta direo, que ter a responsabilidade de fazer reetir o carter ocial da poltica da empresa atravs de comunicao e compartilhamento com seus funcionrios.
82

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:17:55

Auditoria de Sistemas Informatizados

Este instrumento deve expressar as preocupaes dos executivos e denir as linhas de ao que orientaro as atividades tticas e operacionais. Responsabilidades dos proprietrios e custodiantes das informaes, mtricas, ndices e indicadores do nvel de segurana, controles de conformidade legal, requisitos de educao e capacitao de usurios, mecanismos de controle de acesso fsico e lgico, responsabilizaes, auditoria do uso de recursos, registros de incidentes e gesto da continuidade do negcio so algumas das dimenses a serem tratadas pela poltica de segurana.
Critrios normatizados para admisso e demisso de funcionrios; criao e manuteno de senhas; descarte de informao em mdia magntica; desenvolvimento e manuteno de sistemas; uso da internet; acesso remoto; uso de notebook; contratao de servios de terceirizados; e classificaes da informao so bons exemplos de normas de uma tpica poltica de segurana.

Em especial, a norma de classicao da informao fator crtico de sucesso, pois descreve os critrios necessrios para sinalizar a importncia e o valor das informaes, premissa importante para a elaborao de praticamente todas as demais normas. No h regra preconcebida para estabelecer esta classicao; mas preciso entender o perl do negcio e as caractersticas das informaes que alimentam os processos e circulam no ambiente corporativo para que os critrios sejam personalizados. Esta relao entre a classicao e o tratamento est ilustrada na gura 3.1.

Unidade 3

83

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:17:55

Universidade do Sul de Santa Catarina

Figura 3.1 Relao entre a classicao e o tratamento da informao. Fonte: Smola (2003).

Por seu perl operacional, procedimentos e instrues devero estar presentes na poltica da empresa em maior quantidade. necessrio descrever meticulosamente cada ao e atividade associada a cada situao distinta de uso das informaes.
Por exemplo: enquanto a diretriz orienta estrategicamente para a necessidade de salvaguardar as informaes classificadas como confidenciais e a norma define que estas devero ser criptografadas em tempo e enviadas por e-mail, o procedimento e a instruo especfica para esta ao tm de descrever os passos necessrios para executar a criptografia e enviar o e-mail. A natureza detalhista deste componente da poltica pressupe a necessidade de manuteno ainda mais freqente.

Diante disso, voc j pode perceber o quo complexo desenvolver e, principalmente, manter atualizada a poltica de segurana da informao com todos os seus componentes.

84

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:17:55

Auditoria de Sistemas Informatizados

Esta percepo torna-se ainda mais latente ao considerarmos o dinamismo do parque tecnolgico de uma empresa e, ainda, as mudanas previsveis e imprevisveis que o negcio poder sofrer. Desta forma, o importante comear e formar um grupo de trabalho com representantes das reas e departamentos mais representativos, integrando vises, percepes e necessidades mltiplas que tendero a convergir e gerar os instrumentos da poltica. A conformidade com requisitos legais, envolvendo obrigaes contratuais, direitos de propriedade intelectual, direitos autorais de software e todas as possveis regulamentaes que incidam no negcio da empresa, deve ser respeitada e ser a linha de conduta da construo da poltica de segurana.

Qual o objetivo da poltica de segurana?

A poltica de segurana tem como objetivo prover direo da organizao orientao e apoio para a segurana da informao, preservando: Carter condencial Garantia de que o acesso informao seja obtido somente por pessoas autorizadas; Integridade salvaguardar a exatido e completeza da informao e dos mtodos de processamento. Disponibilidade Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Como efetivar o documento da poltica da segurana da informao? conveniente que este documento expresse as preocupaes da direo e estabelea as linhas-mestras para a gesto de segurana da informao.
aconselhvel, segundo a ABNT (NBR ISO/IEC 17799:1), que o documento da poltica seja aprovado pela classe executiva da empresa, publicado e comunicado de forma adequada para todos os funcionrios.

Unidade 3

85

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:17:55

Universidade do Sul de Santa Catarina

No mnimo, interessante que as seguintes orientaes sejam includas: Denio de segurana da informao resumo das metas e escopo, e a importncia da segurana como um mecanismo, habilitam o compartilhamento da informao; Declarao do comprometimento feita pela alta direo, apoiando as metas e princpios da segurana da informao; Explanao breve explanao das polticas, princpio, padres e requisitos de conformidade com a importncia especca para a organizao.
Por exemplo: Conformidade com a legislao e clusulas contratuais. Requisitos na educao de segurana. Preveno e deteco de vrus e softwares maliciosos. Gesto de continuidade do negcio. Conseqncias das violaes na poltica de segurana da informao. Definio das responsabilidades definio em linhas gerais e especificas gesto da segurana da informao, incluindo o registro dos incidentes de segurana. Documentao referncias documentaes que possam apoiar a poltica da empresa. Por exemplo, polticas e procedimentos de segurana com detalhes dos sistemas de informao especficos ou regras de segurana a serem seguidas.

Em qualquer atividade organizacional, a primeira tarefa a ser realizada a denio do que se deseja, xando-se os objetivos a serem atendidos, denindo-se os meios e recursos necessrios, estabelecendo-se as etapas a cumprir e os prazos das mesmas.

86

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:17:55

Auditoria de Sistemas Informatizados

Somente aps uma anlise do que se que deseja que se inicia a execuo do plano de ao para a implantao da poltica de segurana. Este plano no xo. Ele deve ser malevel o suciente para permitir que algumas modicaes inesperadas ocorram.

Que diretrizes se inserem na poltica de segurana?

Uma tpica poltica de segurana ou uma poltica de uso aceitvel de recursos computacionais deve abranger diretrizes claras a respeito, pelo menos, dos seguintes aspectos:
Aspecto Objetivo da segurana Alvo Propriedades dos recursos Caractersticas Deve explicar de forma rpida e sucinta a nalidade da poltica de segurana Deve denir em quais estruturas organizacionais elas sero aplicadas. Devem explicar e denir as regras que iro contemplar a poltica no que diz respeito propriedade de ativos de informaes. Devem denir de forma detalhada qual o tipo de responsabilidades envolvidas com a manipulao de ativos de informaes, a quem devem ser atribudas e os mecanismos de transferncia. Contero a indicao de quais os requisitos a serem atendidos para o acesso a ativos de informaes. Indicaro as medidas a serem tomadas nos casos de infringncia s normas. Aqui colocam-se todos os itens e aspectos que no cabem nas demais.

Responsabilidades

Requisitos de acesso Responsabilizao Generalidades

Para ficar mais claro, acompanhe o exemplo de um Modelo de Poltica de segurana de acesso ao Datacenter da Xpto Corp. por parte de empresas terceirizadas Objetivo - Assegurar um mtodo seguro de conectividade entre Xpto Corp. e as empresas terceirizadas, bem como prover diretrizes para o uso de recursos computacionais e de rede associados com a conexo feita por essas empresas.

Unidade 3

87

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:17:56

Universidade do Sul de Santa Catarina

Escopo - Esta poltica se aplica a todas as empresas terceirizadas que acessam o CPD da Xpto Corp. , fisicamente, ou logicamente, de forma a controlar esse acesso e auditar responsabilidades quando necessrio. Descrio - Convm que seja controlado o acesso de prestadores de servio aos recursos de processamento da organizao. Onde existir uma necessidade para este acesso de prestadores de servio, convm que seja feita uma avaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios. Convm que os controles sejam acordados e definidos atravs de contrato assinado com os prestadores de servio. O acesso de prestadores de servio pode tambm envolver outros participantes. Convm que os contratos liberando o acesso de prestadores de servio incluam a permisso para designao de outros participantes qualificados, assim como as condies de seus acessos. Esta norma pode ser utilizada como base para tais contratos e levada em considerao na terceirizao do processamento da informao. Tipos de Acesso - O tipo de acesso dado a prestadores de servio de especial importncia. Por exemplo, os riscos no acesso atravs de uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acesso sejam considerados: a)Acesso fsico: por exemplo, a escritrios, sala de computadores, gabinetes de cabeamento; b)Acesso lgico: por exemplo, aos banco de dados da organizao, sistemas de informao. Razes para o acesso - Acessos a prestadores de servios podem ser concedidos por diversas razes. Por exemplo, existem prestadores de servios que fornecem servios para uma organizao e no esto localizados no mesmo ambiente, mas necessitam de acessos fsicos e lgicos, tais como: Equipes de suporte de hardware e software, que necessitam ter acesso em nvel de sistema ou acesso s funcionalidades de baixo nvel das aplicaes;

88

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:17:56

Auditoria de Sistemas Informatizados

Parceiros comerciais ou Joint ventures, que podem trocar informaes, acessar sistemas de informao ou compartilhar base de dados. As informaes podem ser colocadas em risco pelo acesso de prestadores de servios com uma administrao inadequada de segurana. Existindo a necessidade de negcios de conexo com prestadores de servios, convm que uma avaliao de riscos seja feita a fim de identificar quaisquer necessidades de implementao de controles de segurana. Convm que sejam levados em conta o tipo de acesso requerido, o valor da informao, os controles empregados por prestadores de servios e as implicaes deste acesso segurana da informao da organizao. Contratados para servios internos - Prestadores de servio que, por contrato, devem permanecer dentro da organizao por um perodo de tempo tambm podem aumentar a fragilidade na segurana. Convm que o acesso de prestadores de servios informao e aos recursos de processamento da informao no seja permitido, at que os controles apropriados sejam implementados e um contrato definindo os termos para a conexo ou acesso seja assinado. Generalidades - Todo acesso que seja necessrio ao CPD da Xpto Corp e no est contemplado neste documento deve ser analisado pelo Departamento de T.I. antes de ser liberado, se for o caso. Todas as empresas que, por ventura precisarem acessar de qualquer forma o CPD da Xpto, mesmo que por uma nica vez, ser faz necessria a assinatura do Contrato de sigilo entre empresas, como segue o anexo 3 desta poltica.

A gura 3.2 mostra um diagrama que apresenta o esquema do desao que a implantao de uma poltica de segurana de informaes, com a informao no centro do diagrama, e, ao redor, todos os aspectos envolvidos. Observe!

Unidade 3

89

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:17:56

Universidade do Sul de Santa Catarina

Figura 3.2 Diagrama que representa uma poltica de segurana de informao agindo sobre o principal ativo de uma empresa, a informao. Fonte: Smola (2003)

Voc viu que um crculo central est dividido em trs partes, representando os trs principais aspectos envolvidos na segurana de informaes: a disponibilidade, a integridade e o carter condencial. Numa camada mais externa, encontramos os aspectos que esto relacionados com os citados anteriormente, que so a autenticidade e a legalidade. Na prxima camada, encontra-se o ciclo de vida da informao, que contempla o manuseio, o armazenamento, o transporte e o descarte. Os processos e ativos, que so elementos que manipulam direta ou indiretamente uma informao, esto na camada superior. Todo este aparato voltado estrategicamente para atender demanda de negcios da organizao.

90

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:17:56

Auditoria de Sistemas Informatizados

Como em todo sistema de informaes existem vulnerabilidades, podemos citar trs grandes reas que dividem estes tipos: as fsicas, as humanas e as tecnolgicas. Na penltima camada esto ilustradas as medidas de segurana. A soluo que uma organizao deve adotar para diminuir a possibilidade de eventuais ocorrncias, pode ter um princpio de cunho preventivo, visando manter a segurana j implementada por meios de mecanismos que estabeleam a conduta e a tica da segurana na instituio. uma atuao nas seguintes reas: humanas, tecnolgicas e fsicas. Essa estrutura montada deve conter agentes ou condies que causam incidentes que comprometam as informaes e seus ativos por meio da explorao de vulnerabilidades, que so as ameaas, esboadas na camada mais externa. Uma vez que voc estudou uma introduo ao estudo da poltica de segurana de informao, veja a prxima seo.

Seo 2 Como realizar a anlise de riscos?


bastante interessante que a poltica de segurana de informaes tenha uma pessoa responsvel por sua manuteno e anlise crtica, e que esteja de acordo com um processo denido.

Quando realizar as anlises?

Convm que este processo ocorra na decorrncia de qualquer mudana que venha a afetar a avaliao de risco original, como, por exemplo, um incidente de segurana signicativo, novas vulnerabilidades ou, at mesmo, mudanas organizacionais ou na infra-estrutura tcnica.

Unidade 3

91

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:17:56

Universidade do Sul de Santa Catarina

interessante, tambm, que sejam agendadas as seguintes anlises peridicas: 1. Efetividade da poltica: demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados; 2. Custo e impacto dos controles na ecincia do negcio; 3. Efeitos das mudanas na tecnologia. A nalidade desta anlise obter uma medida da segurana existente em determinado ambiente. A primeira considerao relacionada com segurana de ativos de informaes, como qualquer outra modalidade de segurana, a relao custo-benefcio. No se gastam recursos em segurana que no tenham retorno altura, isto , no se gasta mais dinheiro em proteo do que o valor do ativo a ser protegido. Outro ponto a ser considerado que a anlise deve contemplar todos os momentos do ciclo de vida da informao:

Qual o ciclo de vida da informao?

O ciclo de vida da informao pode ser denido nas seguintes etapas: Manuseio - momento em que a informao criada ou manipulada, seja ao digitar um documento eletrnico, preencher um formulrio de colaborao ou ainda, folhear um mao de papis. Armazenamento - momento em que a informao gerada ou manipulada armazenada, seja em um papel post-it ou ainda em mdia eletrnica, como um disquete, CD-ROM ou disco rgido. Transporte - momento em que a informao transportada, seja ao mandar uma carta pelo correio, enviar informaes via correio eletrnico, falar ao telefone ou, at mesmo, mandar informaes via fax.

92

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:17:57

Auditoria de Sistemas Informatizados

Descarte - Momento em que a informao descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrnico do computador, ou at mesmo ao descartar um CD-ROM usado que apresentou falha na leitura. Observe que a gura 3.3 ilustra o ciclo de vida da informao e destaca que a segurana deve englobar todos os quatro momentos, pois no seria possvel alcanar um bom nvel de segurana protegendo apenas um ou outro momento da vida da informao. Da a importncia de se avaliar todo o processo. Em recurso, se o objetivo dar segurana s informaes de uma organizao, essa segurana dever abranger todo o ciclo de vida da informao.

Figura 3.3 Quatro momentos do ciclo de vida da informao. Fonte: Smola (2003).

Unidade 3

93

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:17:57

Universidade do Sul de Santa Catarina

Dentro de uma anlise de riscos, deve-se ter a noo de dois fatores que inuenciam na determinao da medida de segurana: o grau de impacto que a ocorrncia ter e o nvel de exposio causado por este sinistro. O grau de impacto ocorre quanto cada rea ou a empresa inteira sofre as conseqncias da falta de disponibilidade, da integridade ou do carter condencial da informao.
O nvel de exposio est relacionado com o grau de risco inerente a cada processo ou produto, ou seja, est diretamente relacionado com a probabilidade de ocorrncia de um evento danoso para um determinado ativo.

Nesta anlise, tambm, deve constar uma classicao da informao quanto ao sigilo e preservao, para que possa ser planejada uma poltica de segurana que atenda demanda crescente de segurana.

Seo 3 Inventrio e recursos


A tarefa mais trabalhosa na implantao de segurana em uma organizao , com certeza, o inventrio de usurios e recursos. Empresas com grande preocupao em segurana investem na compra ou no desenvolvimento de ferramentas que auxiliem no inventrio de hardware e software. O volume de trabalho envolvido depender em grande parte do grau de padronizao encontrado na organizao e da ordem j existente. Outro aspecto que inuir no trabalho o grau de dinamismo da organizao. Uma empresa com uma estrutura dinmica ter menos trabalho do que uma organizao com baixo grau de dinamismo ao inventariar os seus recursos.
O que se deve levar em conta na hora de realizar um banco de dados de segurana?

94

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:17:57

Auditoria de Sistemas Informatizados

Em um banco de dados de segurana, deve-se levar em conta as seguintes premissas bsicas: Dados de usurios o banco de dados de segurana deve identicar claramente o usurio, seu cdigo de identicao ou chave de acesso, o domnio de usurios a que pertence, o domnio de recursos que ele pode acessar e a rea onde est alocado, sua matrcula na organizao, ramal de telefone, correio eletrnico da rede interna e as aplicaes que est autorizado a acessar. As funes dos usurios o banco de dados de segurana deve indicar claramente a funo de cada usurio cadastrado. Isto se prende ao fato de se conceder direito de acesso somente em funo da necessidade de se executar tarefas que envolvam acesso a determinados recursos.
Por exemplo, a rea de produo de um CPD de grande porte ou que cuida dos equipamentos centralizados de uma rede de micros, precisa ter acesso total a ativos de informaes, devido necessidade de processamento destes ativos dos usurios e de garantir a integridade de recursos sobre os quais a mesma tenha custdia. Porm, este acesso deve ser estritamente controlado e, sempre que possvel, as tarefas devem ser divididas entre diversas pessoas, de modo que nenhuma delas, isoladamente, acesse mais recursos do que o necessrio para a execuo de suas tarefas.

Propriedade dos recursos a administrao de segurana de acesso a recursos deve levar em conta o perl da propriedade dos recursos. Esta deve car bem clara, de modo que no restem dvidas acerca de quem tem o direito de conceder acesso.

Unidade 3

95

auditoria_de_sistemas_informatiz15 15

22/12/2006 12:17:57

Universidade do Sul de Santa Catarina

Nvel de acesso permitido o banco de dados de segurana tambm deve indicar de forma clara o nvel de acesso que cada usurio pode ter sobre cada recurso para o qual obtenha a permisso de acesso. Isto importante, para se controlar o acesso dado em funo da necessidade de executar operaes relacionadas com o recurso acessado. O ideal que o banco de dados de segurana seja integrado com o sistema de recursos humanos da organizao. Desta forma, qualquer mudana feita no RH reetir automaticamente no banco de dados de segurana. Uma vez que voc estudou e reetiu sobre a importncia de realizar o inventrio de usurios e recursos, na prxima seo ver como se realiza o controle de acesso lgico.

Seo 4 Como efetuar os controles de acesso lgico?


Os controles de acesso, fsicos ou lgicos, tm como objetivo proteger os recursos computacionais (equipamentos, softwares, aplicativos e arquivos de dados) contra perda, danos, modicaes ou divulgao no-autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos de uma organizao, no podem ser facilmente controlados apenas com dispositivos fsicos, como cadeado, alarmes, guarda de segurana, etc., principalmente se os computadores estiverem conectados a redes locais ou de maior abrangncia. preciso controlar o acesso lgico a estes recursos por meio de medidas preventivas e procedimentos adequados a cada tipo de ambiente computacional.

96

auditoria_de_sistemas_informatiz16 16

22/12/2006 12:17:57

Auditoria de Sistemas Informatizados

O que acesso lgico?

O acesso lgico nada mais do que um processo em que um sujeito ativo deseja acessar um objeto passivo. O sujeito normalmente um usurio ou um processo e o objeto pode ser um arquivo ou outro recurso como memria ou impressora. Os controles de acesso lgico so, ento, um conjunto de medidas e procedimentos adotados pela organizao ou intrnsecos aos softwares utilizados, cujo objetivo proteger dados, programas e sistemas contra tentativas de acesso no-autorizadas feitas por usurios ou outros programas. Vale a pena ressaltar que, mesmo que os controles de acesso sejam ultra-sosticados seu ponto fraco ser sempre o usurio.
O compartilhamento de senhas, o descuido na proteo de informaes confidenciais ou a escolha de senhas facilmente descobertas, por exemplo, pode comprometer a segurana de informaes.

A conscientizao dos usurios fundamental para que a estratgia de controle de acesso seja ecaz.
O compartilhamento de senhas, o descuido na proteo de informaes confidenciais ou a escolha de senhas facilmente descobertas, por exemplo, pode comprometer a segurana de informaes.

Devido variedade e complexidade dos ambientes informatizados hoje em dia, cujo processamento centralizado ou distribudo em diversas plataformas de hardware e software, a tarefa da equipe de segurana e auditoria no nada fcil. Nos casos de auditoria, dependendo da complexidade dos controles de acesso lgico implementados pelo sistema operacional ou por outros softwares especializados em segurana, talvez seja necessrio suporte adicional de especialistas com o discernimento e experincia prtica mais detalhada sobre o ambiente especco a ser auditado.
Unidade 3

97

auditoria_de_sistemas_informatiz17 17

22/12/2006 12:17:57

Universidade do Sul de Santa Catarina

Como controlar o acesso lgico?

A primeira coisa a fazer quando se trata de controles de acesso, determinar o que se pretende proteger. A seguir, so apresentados alguns recursos e informaes normalmente sujeitas aos controles lgicos:

Recursos e informaes Aplicativos (Programas fonte objeto)

Por que controlar? O acesso no-autorizado ao cdigo fonte dos aplicativos pode ser usado para alterar suas funes e lgica do programa, como por exemplo, em um aplicativo bancrio, pode-se zerar os centavos de todas as contas correntes e transferir o total dos centavos para uma determinada conta, beneciando ilegalmente este correntista. Base de dados, arquivos ou transaes de bancos devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorizao adequada, como por exemplo, arquivos contendo congurao do sistema, dados da folha de pagamento, dados nanceiros da empresas, etc. O acesso a utilitrios, como editores, compiladores, softwares de manuteno, de monitorao e diagnstico deve ser restrito, j que estas ferramentas podem ser usadas para alterar arquivos de dados, aplicativos e arquivos de congurao do sistema operacional. Por exemplo: o sistema operacional sempre um alvo bastante visado, pois a congurao o ponto-chave de todo o esquema de segurana. A fragilidade do sistema operacional compromete a segurana de todo o conjunto de aplicativos, utilitrios e arquivos. A falta de proteo adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa no-autorizada, ao obter uma userid (identicao) e a senha de um usurio privilegiado, pode, intencionalmente, causar danos ao sistema e dicilmente ser barrado por qualquer controle de segurana instalado, j que se faz passar por um usurio autorizado. Os arquivos de log so usados para registrar as aes dos usurios, constituindo-se em timas fontes de informao para auditorias futuras e anlise de quebras de segurana. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas. Se os arquivos de log no forem devidamente protegidos, um invasor poder alterar seus registros para encobrir aes por ele executadas, tais como, alterao ou destruio de dados, acesso a aplicativos de alterao da congurao do sistema operacional para facilitar futuras invases.

Arquivo de dados

Utilitrios e sistema operacional

Arquivos de senha

Arquivos de log

98

auditoria_de_sistemas_informatiz18 18

22/12/2006 12:17:58

Auditoria de Sistemas Informatizados

Como visualizar o controle de acesso lgico?

O controle de acesso lgico pode ser visualizado a partir de dois pontos diferentes: do recurso computacional que se pretende proteger, e, do usurio a quem se pretende dar certos privilgios e acessos aos recursos. A proteo aos recursos (arquivos, diretrios, equipamentos, etc.) baseia-se nas necessidades de acesso de cada usurio, enquanto que a identicao e autenticao do usurio (conrmao de que o usurio realmente quem diz ser) so feitas normalmente por um userid e uma senha durante o processo de logon.

Qual o objetivo do controle de acesso lgico?

Os controles de acesso lgico tm como objetivo garantir que: apenas usurios autorizados tenham acesso aos recursos; os usurios tenham acesso apenas aos recursos realmente necessrios para a execuo de suas tarefas; o acesso a recursos crticos seja bem monitorado e restrito a poucas pessoas; os usurios sejam impedidos de executar transaes incompatveis com sua funo ou alm de suas responsabilidades. O controle de acesso pode ser traduzido, ento, em termos de funes de identicao e autenticao de usurios; alocao, gerncia e monitoramento de privilgios; limitao, monitoramento e cancelamento de acessos; e preveno de acessos no-autorizados.

Unidade 3

99

auditoria_de_sistemas_informatiz19 19

22/12/2006 12:17:58

Universidade do Sul de Santa Catarina

Ao nalizar os estudo de como realizar o controle de acesso lgico, veja na prxima seo como se procede com relao ao controle de acesso fsico.

Seo 5 Como executar os controles de acesso fsico?


A segurana fsica pode ser abordada de duas formas: segurana de acesso, que trata das medidas de proteo contra acesso fsico no-autorizado e segurana ambiental, que trata da preveno de danos por causas naturais.
Os controles de acesso fsico tm como objetivo proteger equipamentos e informaes contra usurios no-autorizados, prevenindo o acesso a estes recursos.

Apenas as pessoas expressamente autorizadas pela gerncia podem ter acesso fsico aos sistemas de computadores. A segurana de acesso fsico deve basear-se em permetros predenidos na vizinhana dos recursos computacionais, podendo ser explcita, como uma sala-cofre ou implcita, como reas de acesso restrito de acordo com a funo desempenhada na organizao.

Quais recursos fsicos precisam ser protegidos?

Os recursos a serem protegidos diretamente pelo controle de acesso fsico so: os equipamentos - servidores, estaes de trabalho, CPUS, placas, vdeos, mouses, teclados, unidades de disco, impressoras, scanners, modem, linhas de comunicao, roteadores, cabos eltricos, etc; a documentao - sobre hardware e software, aplicativos, poltica de segurana;

100

auditoria_de_sistemas_informatiz20 20

22/12/2006 12:17:58

Auditoria de Sistemas Informatizados

os suprimentos - disquetes, tas, formulrios, papel; e as prprias pessoas. A proteo fsica destes recursos constitui-se em uma barreira adicional e anterior s medidas de segurana de acesso lgico. Portanto, pode-se at dizer que, indiretamente, os controles de acesso fsico tambm protegem os recursos lgicos, como programas e dados.

Quais so os controles fsicos?

Conhea, a seguir, quais so os controles fsicos mais comuns: Um dos controles administrativos mais comuns so os crachs de identicao, que podem distinguir um funcionrio de um visitante ou at mesmo categorizar os funcionrios a partir de cores ou nmeros diferentes.

O uso de crachs facilita o controle visual de circulao feito pela equipe de vigilncia.

Uma outra prtica muito usada a exigncia da devoluo dos bens de propriedade da instituio quando o funcionrio demitido. Ao serem desligados da organizao, os ex-funcionrios normalmente devolvem equipamentos, documentos, livros e outros objetos que estavam sob sua guarda, inclusive chaves, crachs e outros meios de acesso fsico. recomendvel que existam procedimentos para identicar os demissionrios e garantir a restrio de acesso destes indivduos ao prdio da organizao. A partir da demisso, eles devero ser tratados como visitantes e no mais como funcionrios.

Unidade 3

101

auditoria_de_sistemas_informatiz21 21

22/12/2006 12:17:58

Universidade do Sul de Santa Catarina

A entrada e sada de visitantes devem ser controladas por um documento de identicao diferenciado, registros (com data, horrios de entrada e de sada) e, dependendo do grau de segurana necessrio, acompanhamento at o local de destino da visita. Outro grupo de pessoas que merece uma ateno especial a equipe de limpeza, manuteno e vigilncia. Como este tipo de funcionrio ou prestador de servio trabalha fora do horrio normal de expediente e geralmente tem maior liberdade para transitar pelo prdio, deve haver um controle especial sobre suas atividades ou reas de acesso permitidas. H vrios casos de pessoas do servio de limpeza ou vigias atuarem tambm como espies ou ladres. aconselhvel orientar os funcionrios, dependendo do grau de segurana necessrio em seu setor de trabalho, a no deixar os computadores sem qualquer superviso de pessoa autorizada, por exemplo, durante o horrio de almoo ou quando se ausentarem de sua sala por tempo prolongado. Deve-se encorajar o bloqueio do teclado de documentos condenciais, disquetes e laptops em armrios com chave, como medida preventiva. uma prtica instituir o princpio de mesa limpa, isto , o funcionrio instrudo a deixar seu local de trabalho sempre limpo e organizado, guardando os documentos condenciais to logo no precise mais deles. Em algumas instituies, h uma equipe encarregada de vericar, esporadicamente, ao nal do expediente, locais de trabalho escolhidos de forma aleatria, em busca de documentos classicados como condenciais. Se encontrados, estes documentos so reunidos e levados ao gerente do funcionrio, que tomar medidas, orientando, advertindo ou punindo o funcionrio para que essa prtica no volte a ocorrer. Os controles explcitos so geralmente implementados por meio de fechaduras ou cadeados, cujas chaves so criteriosamente controladas. Estas chaves podem ser algo que algum possui ou sabe, como chaves comuns ou cdigos secretos. Os controles explcitos mais encontrados so:
102

auditoria_de_sistemas_informatiz22 22

22/12/2006 12:17:58

Auditoria de Sistemas Informatizados

fechaduras mecnicas ou cadeados comuns; fechaduras codicadas acopladas a mecanismo eltrico com teclado para entrada do cdigo secreto; fechaduras eletrnicas cujas chaves so cartes com tarja magntica contendo o cdigo secreto. Este tipo de fechadura pode ser usado para registrar entrada e sada de pessoas e restringir acesso de acordo com a necessidade do usurio e o grau de segurana do local acessado. Pode ainda ser conectada a alarme silencioso que ativa um outro dispositivo na sala de segurana para indicar acesso indevido; fechaduras biomtricas programadas para reconhecer caractersticas fsicas dos usurios autorizados. Elas podem ser projetadas para identicar formatos das mos, cabeas, impresses digitais, assinatura manual, conformao da retina e voz. Devido ao seu alto custo, so utilizadas somente em sistemas de alta condncia; cmeras de vdeo e alarmes, como controles preventivos e de deteco; guardas de segurana para vericar a identidade de todos que entram nos locais de acesso controlado ou patrulhar o prdio fora dos horrios de expediente normal. Terminado o estudo a respeito do controle de acesso lgico e fsico, veja na prxima seo como se executa os controles ambientais.

Unidade 3

103

auditoria_de_sistemas_informatiz23 23

22/12/2006 12:17:58

Universidade do Sul de Santa Catarina

Seo 6 Como realizar os controles ambientais?


Voc que est estudando auditoria de sistemas de informao, talvez esteja se perguntando se aqui cabe estudar controles ambientais, no mesmo? Pois saiba que os controles ambientais devem constar da poltica de segurana da informao, pois esto diretamente relacionados com a disponibilidade e integridade dos sistemas computacionais. Os controles ambientais visam a proteger os recursos computacionais contra danos provocados por desastres naturais (incndios, enchentes), por falhas na rede de fornecimento de energia, ou no sistema de ar condicionado, por exemplo.
Os controles associados a incndios podem ser preventivos ou supressivos, isto , procedimentos para evitar incndio ou combat-lo de forma eficiente, caso j tenha ocorrido.

As medidas preventivas muitas vezes so implementadas logo na construo do prdio, com o uso de material resistente ao do fogo, dispositivos de deteco de fumaa ou calor e a instalao de pra-raios. Aps a construo, durante o funcionamento normal da organizao, aconselhvel adotar polticas contra o fumo e de limpeza e conservao, mantendo as salas limpas, sem acmulo de papis ou outros materiais de fcil combusto. A instituio deve estar preparada para suprimir ou minimizar os efeitos de um incndio, caso ele acontea. Para tanto, deve possuir mangueiras e/ou extintores de incndio em nmero suciente e do tipo adequado, de acordo com as especicaes tcnicas e instalar sistemas de combate ao fogo, segmentando as suas atuaes por rea ou zona. imprescindvel o treinamento dos funcionrios para utilizarem, de forma adequada, os dispositivos manuais de combate a incndios e a vistoria freqente destes dispositivos para garantir seu perfeito funcionamento quando for necessrio. As equipes de bombeiros normalmente promovem treinamentos de combate e preveno de acidentes, com demonstraes do

104

auditoria_de_sistemas_informatiz24 24

22/12/2006 12:17:59

Auditoria de Sistemas Informatizados

uso correto dos dispositivos contra incndios e simulaes com a participao dos treinados.
Os controles associados a incndios podem ser preventivos ou supressivos, isto , procedimentos para evitar incndio ou combat-lo de forma eficiente, caso j tenha ocorrido.

Falhas ou utuaes no fornecimento de energia eltrica podem afetar consideravelmente a disponibilidade e a integridade dos sistemas da organizao. necessrio estabelecer controles que minimizem os efeitos de cortes, picos e utuaes de energia atravs da instalao de dispositivos, tais como estabilizadores, no-breaks (equipamentos que mantm as mquinas ligadas at que seja restabelecido o fornecimento normal de energia), geradores alternativos (a diesel ou a gs) ou conexo a mais de uma subestao de distribuio de energia eltrica.
Para evitar danificao dos equipamentos e instalaes prediais por descargas eltricas naturais, instale pra-raios estabilizadores de energia e tenha como hbito desligar os equipamentos em caso de fortes tempestades.

Como os equipamentos eletrnicos no combinam com gua, a primeira medida para prevenir danos instal-los em locais pouco suscetveis e a este tipo de ameaa ambiental ou em locais em que a presena de gua seja facilmente detectada e contida. Para se defenderem contra danos provocados pela gua, algumas empresas costumam instalar seus equipamentos nos andares mais altos ou sobre suportes elevados. No entanto, esta medida preventiva no suciente no caso de goteiras ou estouro do encanamento.

Unidade 3

105

auditoria_de_sistemas_informatiz25 25

22/12/2006 12:17:59

Universidade do Sul de Santa Catarina

A maioria dos computadores necessita de um ambiente controlado em termos de temperatura, umidade e ventilao para que possa operar adequadamente.

Assim como as pessoas, os computadores preferem operar dentro de uma determinada faixa de temperatura (tipicamente entre 10 e 32 C). Um ambiente seco demais pode gerar eletricidade esttica e danicar os equipamentos. Por outro lado, em um ambiente mido demais, pode ocorrer condensao nos circuitos dos equipamentos, provocando curtos. Para promover a ventilao necessria ao funcionamento adequado dos equipamentos, no se deve vedar suas canaletas de ventilao, nem disp-los em ambientes muito apertados, que dicultem a circulao de ar. J existem dispositivos que podem auxiliar no monitoramento do ambiente, registrando nveis de umidade e temperatura. As salas onde se encontram os computadores devem ser mantidas limpas, livres de poeira ou fumaa e sem acmulo de matrias de fcil combusto, tais como papis e copos plsticos. Agora que voc nalizou a leitura desta unidade, para praticar os novos conhecimentos, realize as atividades propostas a seguir.

106

auditoria_de_sistemas_informatiz26 26

22/12/2006 12:17:59

Auditoria de Sistemas Informatizados

Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades:

1) Qual a funo de uma anlise de riscos?

2) Basicamente, quais so os objetivos de uma poltica de segurana?

Unidade 3

107

auditoria_de_sistemas_informatiz27 27

22/12/2006 12:17:59

Universidade do Sul de Santa Catarina

3) O que so os controles aplicados em sistemas informatizados? Que tipos de controles podem ser aplicados em um ambiente informatizado? Cite exemplos.

Realize tambm as atividades propostas no EVA. Interaja com a sua comunidade de aprendizagem e amplie o seu ponto de vista.

108

auditoria_de_sistemas_informatiz28 28

22/12/2006 12:17:59

Auditoria de Sistemas Informatizados

Sntese
Voc estudou que a informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. O carter condencial, a integridade e a disponibilidade da informao podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado. Cada vez mais as organizaes, seus sistemas de informao e redes de computadores so colocados prova por diversos tipos de ameaas segurana da informao de uma variedade de fontes, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo ou inundao. Problemas causados por vrus, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sosticados. A dependncia dos sistemas de informao e servios signica que as organizaes esto mais vulnerveis s ameaas de segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a diculdade de se controlar o acesso. A tendncia da computao distribuda diculta a implementao de um controle de acesso centralizado realmente eciente. Muitos sistemas no foram projetados para serem seguros. A segurana que pode ser alcanada por meios tcnicos limitada e convm que seja apoiada por gesto e procedimentos apropriados. A identicao de controles convenientes para implantao requer planejamento cuidadoso e ateno aos detalhes. A gesto da segurana de informao necessita, pelo menos, da participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de fornecedores, clientes e acionistas, ou uma consultoria externa especializada. Na prxima unidade voc estudar que alm de uma poltica de segurana bem concisa, necessrio tambm que a corporao possua um meio de garantir a continuidade de processos e informaes vitais sobrevivncia da empresa atravs de um plano de contingncia e continuidade de negcios. At l!
Unidade 3

109

auditoria_de_sistemas_informatiz29 29

22/12/2006 12:17:59

Universidade do Sul de Santa Catarina

Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize pesquisa nos seguintes livros: BOSWORTH, Seymor. E KABAY, M. E. Computer Security Handbook. Wiley. 2002 NBR ISO/IEC 17799. Cdigo de prticas para a gesto da segurana da informao. ABNT, 2005. ICOVE, David; Seger, Karl; VonStorch, William. Computer Crime. O`Reilly & Associates.

110

auditoria_de_sistemas_informatiz30 30

22/12/2006 12:17:59

UNIDADE 4

Plano de contingncia e de continuidade de negcios


Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para: conceituar planos de contingncia e de continuidade de servios. analisar qual o impacto causado por alguma ocorrncia inesperada. conhecer e escolher corretamente os tipos mais usados de contingncia. desenvolver um plano de contingncia.

Sees de estudo
A seguir, apresentamos as sees para voc estudar:

Seo 1 O que plano de contingncia e de Seo 2


continuidade de negcios? Como realizar a anlise de impacto?

Seo 3 Quais so as estratgias de contingncia? Seo 4 Como desenvolver um plano de


contingncia? Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no final da unidade e no EVA.

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:18:00

Universidade do Sul de Santa Catarina

Para incio de estudo


O ataque ao World Trade Center em Nova Iorque, em setembro de 2001, exps crticas uma atividade que pode determinar o futuro de muitas organizaes. Independente das conseqncias locais, a economia mundial foi afetada pelo ataque, determinando uma mudana no comportamento empresarial, destacando a possibilidade de minimizar impactos decorrentes de desastres que impossibilitem suas instalaes, afetando suas atividades, seu per l econmico e seu mercado de atuao. A questo conseqente foi o levantamento/identicao de planos, quando existiam, para preveno e recuperao das atividades, bem como a reavaliao quanto exposio a riscos e seus impactos. Em decorrncia destes fatos, foi observada uma busca por ferramentas, prossionais, instalaes, entre outros que, teoricamente, proporcionariam uma garantia operacional e a tranqilidade desejada. No to simples assim, mesmo utilizando o exemplo do World Trade Center, vericamos que muitas organizaes que planejaram mal sofreram conseqncias indesejveis, permanecendo impossibilitadas de retomar a suas operaes. Da mesma forma que com nossos bens particulares buscamos seguros conveis e reconhecidos, torna-se necessrio aplicar o mesmo conceito para as organizaes. Utilizando metodologia, recursos e instalaes adequadas ser possvel a continuidade operacional em caso de desastre, proporcionando a continuidade dos negcios. Existem metodologias, ferramentas e procedimentos que devem ser observados nas atividades relativas recuperao de desastres, onde, entidades e institutos mantm programas de treinamento, qualicao e certicao de prossionais, com normas tcnicas descritas, instalaes e equipamentos providos de caractersticas tcnicas favorecendo a misso de disaster recovery.

112

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:18:00

Auditoria de Sistemas Informatizados

Assim, nesta unidade, voc vai estudar como so estabelecidas estas atividades, ou seja, como funciona um plano de contingncia e de continuidade de negcios.

Seo 1 - O que plano de contingncia e de continuidade de negcios?


Voc j sabe que muitas organizaes no seriam capazes de sobreviver no atual mercado competitivo sem seus sistemas de informaes, que os ajudam a escolher estratgias. O fato de uma empresa car refm dos computadores deve ser discutido com a classe executiva da empresa, pois se houver alguma falha destes computadores ou dos dados que esto neles, pode signicar perdas nanceiras ou at mesmo perda de participao de mercado.
Devido s vulnerabilidades existentes no ambiente computacional imprescindvel traar um plano de recuperao em caso de desastres, como o famoso quebre o vidro em caso de incndio!

Os bancos so as organizaes que h tempos se preocupam com o contingenciamento de seu ambiente de TI, o que facilmente explicado, porque se houver perda de informaes de cliente ou at mesmo se o cliente no conseguir fazer uma operao bancria, isto pode signicar perda de credibilidade e por conseqncia, a perda do cliente. As empresas europias e americanas, depois de vrios incidentes, passaram a olhar com outros olhos a questo de planos de contingncia.

Unidade 4

113

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:18:00

Universidade do Sul de Santa Catarina

Voc sabia? O ataque terrorista ao World Trade Center em 11 de setembro de 2001, teve impacto significativo nos mercados dos Estados Unidos e mundial. A Bolsa de Valores de Nova Iorque, o American Stock Exchange e a NASDAQ no abriram em 11 de Setembro e permaneceram fechadas at 17 de Setembro. As instalaes e centros de processamento de dados remotos da Bolsa de Valores de Nova Iorque (NYSE) mais as empresas participantes, consumidores e mercados, foram incapazes de se comunicarem devido aos danos ocorridos instalao de chaveamento telefnico prxima ao World Trade Center. Quando os mercados de aes reabriram em 17 de setembro de 2001, aps o maior perodo de fechamento desde a Grande Depresso em 1993, o ndice do mercado de aes Dow Jones Industrial Average (DJIA) caiu 684 pontos ou 7,1%, passando para 8920 pontos, sua maior queda em um nico dia. No fim da semana, o DJIA tinha cado 1369,7 pontos (14,3%), sua maior queda em uma semana na histria. O mercado de aes americano perdeu 1,2 trilho de dlares em valor em uma semana (Fonte: Wikipedia).

As organizaes brasileiras precisam atentar para esses tipos de situao. Apesar do nosso pas no sofrer com atentados terroristas, sofremos com incndios, falta de luz, enchentes, roubos, sabotagens, sistema de UPS com problemas de fabricao, entre outros.
Por exemplo, numa companhia geradora de energia eltrica, se um tranformador queimar, outro ir assumir o seu papel. Isso na maior parte das vezes transparente para o usurio final.

Da mesma forma, os sistemas de informaes das empresas devem estar preparados para qualquer imprevisto, sem dano ou perda para o usurio nal. Normalmente quando se fala em planos de contingncia, o que se encontra recuperao de desastres para situaes drsticas. Outras falhas, como problemas de link, fontes redundantes, etc. so esquecidos.
114

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:18:00

Auditoria de Sistemas Informatizados

A organizao deve listar todos os recursos de informtica existentes, analisar qual ser a perda, caso os recursos estejam fora do ar e investir de forma a garantir a disponibilidade dos servios e a integridade das informaes. Mas antes de voc conhecer a concepo do plano de contingncia, importante denir alguns aspectos, tais como oramento, prazos, recursos - sejam eles humanos ou materiais - responsabilidades da equipe e a escolha de algum para ser o coordenador do planejamento de contingncias.

O plano de continuidade de negcios de responsabilidade da classe executiva da empresa.

Os auditores internos e externos podem auxiliar a escrever o plano, porm cabe gerncia ou diretoria, garantir sua ecincia para que no haja perdas nanceiras ou outras situaes constrangedoras para a empresa, como interrupo de transaes pela indisponibilidade de servios. Antes de tudo, deve existir um estudo prvio onde sero identicadas todas as funes crticas do negcio, os sistemas envolvidos, pessoas responsveis e usurios. O resultado so informaes que servem de base para que seja feita a anlise de impacto que ser estudada na prxima seo. A partir da, j se tem uma idia do que ser o plano inicial, contendo a relao de funes, sistemas e recursos crticos, estimativa de custos, prazos e recursos humanos necessrios para a realizao da anlise de impacto.

Unidade 4

115

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:18:00

Universidade do Sul de Santa Catarina

Seo 2 Como realizar a anlise de impacto?


Existe um ditado popular que diz No existe almoo grtis!. E se voc parar para pensar nesta frase, ir perceber que ela tem um fundo de verdade porque sempre tem algum que pagar a conta. Ento, responda a seguinte pergunta: qual o valor da conta da segurana da sua empresa? Conhea, ento, as etapas de elaborao do plano de continuidade. Conhecido mundialmente pela sigla BIA Business Impact Analysis, esta primeira etapa do plano de contingncias fundamental, pois fornece informaes para o perfeito dimensionamento das demais fases de sua construo. Basicamente, o objetivo desta etapa levantar o grau de relevncia entre os processos ou atividades que so inclusas no escopo da contingncia para continuidade do negcio.

Tabela 4.1 Funo entre os processos de negcio versus escala de criticidade Escala 1 2 3 4 5 Processo de negcio No-considervel Relevante Importante Crtico Vital x x x x PN1 PN2 PN3 x PN4 PN5

De posse dos resultados desta anlise, j se possui condies de denir prioridades no que diz respeito a alocar recursos conforme o oramento, de saber os nveis de tolerncia e a probabilidade de acontecerem algumas falhas , e desta forma, construir uma fotograa de criticidade dos processos. Continuando esta anlise, considere agora as possveis ameaas e relacione-as com a tolerncia, adquirida atravs da relao do processo de negcio com o seu senso crtico. Neste processo, voc teria:
116

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:18:00

Auditoria de Sistemas Informatizados

Tabela 4.2 Relao entre processos de negcio / ameaas / tolerncia Ameaas Incndio PN1 PN2 PN3 PN4 PN5 X X X X X X X X X Greve Falta de luz X Ataque de D.O.S. Sabotagem X 48h 5h 24h 15 min 0 Tolerncia

Com a Tabela 4.2, voc tem uma noo mais completa da situao, do sinistro que se est esperando, ao passo que se sabe o quanto preciso investir por causa da sua tolerncia. O relatrio da anlise de impacto deve identicar os recursos, sistemas e funes crticas para a organizao e classic-los em ordem de importncia. Em seguida, deve descrever, em cada um, que tipo de ameaa poder ocorrer e qual o dano que ela causa a esta vulnerabilidade.

Seo 3 Quais so as estratgias de contingncia?


Usualmente as organizaes para garantir a continuidade dos negcios utilizam as seguintes estratgias de contingncia : Hot-site; Warm-site; Relocao de operao; Bureau de servios; Acordo de reciprocidade; Cold-site; Auto-sucincia; Plano de administrao de crise; Plano de continuidade operacional. A seguir, veja do que trata cada uma. Acompanhe com ateno.

a) Hot-site
Recebe este nome por ser uma estratgia pronta para entrar em ao assim que algum sinistro ocorrer. Mais uma vez, o tempo de operacionalizao desta estratgia est diretamente ligado ao tempo de tolerncia s falhas do objeto.

Unidade 4

117

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:18:01

Universidade do Sul de Santa Catarina

Por exemplo: no caso de um banco de dados, consideram-se milsimos de segundos de tolerncia para garantir a disponibilidade do servio mantido pelo equipamento.

b) Warm-site
Esta estratgia se aplica a objetos com maior tolerncia paralisao, os quais podem se sujeitar indisponibilidade por mais tempo, ou seja, at o retorno operacional da atividade. Como exemplo, temos o servio de e-mail dependente de uma conexo de comunicao. Veja que o processo de envio e recebimento de mensagens mais tolerante que o exemplo usado na primeira estratgia, pois poderia car indisponvel por minutos, sem, no entanto, comprometer o servio ou gerar impactos signicativos, apesar de que para algumas empresas, o e-mail considerado um servio altamente essencial.

c) Relocao de operao
Esta estratgia objetiva desviar a atividade atingida pelo sinistro para outro ambiente fsico, equipamento ou link, pertencentes a mesma empresa. Ela s possvel com a existncia de folgas de recursos que podem ser alocados em situaes de desastre. Um exemplo disto o redirecionamento do trfego de dados de um roteador ou servidor com problemas para outro que possua mais recursos.

d) Bureau de servios
Nesta estratgia, considera-se a possibilidade de transferir a operacionalizao da atividade atingida para um ambiente terceirizado, isto , fora dos domnios da empresa. O seu uso restrito a poucas situaes por requerer um tempo de tolerncia maior, em funo do tempo de reativao operacional da atividade. Informaes manuseadas por terceiros requerem uma ateno redobrada na adoo de procedimentos, critrios e mecanismos de controle que garantam condies de segurana adequadas relevncia e senso crtico da atividade de contingncia.

118

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:18:01

Auditoria de Sistemas Informatizados

e) Acordo de reciprocidade
Esta estratgia bastante conveniente quando os investimentos necessrios na falta de uma infra-estrutura de segurana adequada, pois nada mais do que um acordo entre duas empresas que possuem um ambiente de TI que exija a possvel relocao de servios, mas que no disponham de recursos nanceiros para contratar uma empresa especializada no assunto. Da mesma forma do bureau de servios, preciso ter cuidado na hora de expor as informaes da sua empresa para outra, pois o risco existe e grande. Este tipo de acordo comum entre empresas de reas diferentes e no concorrentes.

f) Cold-site
Seguindo os modelos de classicao citados anteriormente, Hot-site e Warm-site, o Cold-site prope uma alternativa de baixo custo para ambientes de TI, ou seja, pouco budget para investimentos na rea de continuidade de negcios. No entanto, exige uma tolerncia alta, pois o mesmo no suporta alta disponibilidade. Um exemplo deste modelo um ghost de um HD de um servidor de Active Directory. Supondo que o HD do servidor principal queimou, coloca-se o HD cold para funcionar, e ao invs de ler, faz-se a restaurao dos dados. Este um procedimento de resultados duvidosos, porm, de baixo custo.

g) Auto-sucincia
Este caso ocorre quando nenhuma outra estratgia aplicvel, pois prev aproximadamente 100% de disponibilidade, integridade e carter condencial dos dados. Seria o ideal para qualquer empresa, porm necessrio se fazer o clculo para medir o quanto se perde, caso a informao no esteja disponvel.

h) Plano de administrao de crise


Este plano um tutorial que dene todos os passos, procedimentos, equipes responsveis que sero acionadas, como este acionamento feito, o que se deve fazer para que a situao volte a operao normal.

Unidade 4

119

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:18:01

Universidade do Sul de Santa Catarina

Comunicao impressa para classe operacional da empresa, distribuda entre rgos e departamentos so aspectos de um tpico plano de administrao de crise.

i) Plano de continuidade operacional


neste documento que voc ir relatar o passo-a-passo para o contingenciamento das informaes com o intuito de reduzir o down-time, isto , o tempo de parada. Ele deve conter aes a serem executadas no caso de uma queda de energia, por exemplo. Uma vez conhecidas as estratgias para elaborar um plano de contingncia, acompanhe, na prxima seo, o desenvolvimento deste plano.

Seo 4 Como desenvolver um plano de contingncia?


A norma ISO 17799:1- 2005 recomenda que o plano seja desenvolvido e implementado para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
O que recomendvel considerar em um plano de contigncia?

recomendvel que o processo de planejamento da continuidade dos negcios considere os seguintes itens: a) identicao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio; b) identicao da perda aceitvel de informaes e servios;

120

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:18:01

Auditoria de Sistemas Informatizados

c) implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios. A avaliao de dependncias externas ao negcio e de contratos existentes merece ateno especial; d) procedimentos operacionais para seguir concluso pendente de recuperao e restaurao; e) documentao dos processos e procedimentos acordados; f) educao adequada de pessoas quanto aos procedimentos e processos denidos, incluindo o gerenciamento de crise; g) teste e atualizao dos planos.

preciso identicar os servios e recursos que facilitam o desenvolvimento do plano, prevendo a contemplao de pessoal, recursos em geral, alm da tecnologia de informao, assim como o procedimento de recuperao dos recursos de processamento das informaes. Tais procedimentos de recuperao, podem incluir procedimentos com terceiros na forma de um acordo de reciprocidade ou um contrato de prestao de servios.
Que informaes devem ser contempladas no plano de continuidade?

O plano de continuidade do negcio deve tratar das vulnerabilidades da organizao, especicamente das informaes sensveis que necessitem de proteo adequada. Convm que cpias do plano de continuidade do negcio sejam guardadas em um ambiente remoto, distante sucientemente para escapar de qualquer dano no local principal.

Unidade 4

121

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:18:01

Universidade do Sul de Santa Catarina

A administrao deve garantir que as cpias dos planos de continuidade do negcio estejam atualizadas e protegidas com o mesmo nvel de segurana do ambiente principal. A direo deve garantir que as cpias dos planos de continuidade do negcio estejam atualizadas e protegidas com o mesmo nvel de segurana do ambiente principal. Outros materiais necessrios para a execuo do plano de continuidade do negcio tambm devem ser armazenados em local remoto. Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que eles sejam consistentes, para contemplar os requisitos de segurana da informao e para identicar prioridades para testes e manuteno. Cada plano de continuidade do negcio deve descrever o enfoque para continuidade, por exemplo, assegurar a disponibilidade e segurana do sistema de informao ou da informao. Cada plano de continuidade do negcio deve especicar o plano de escalonamento e as condies para sua ativao, assim como as responsabilidades individuais para execuo de cada uma de suas atividades. Quando novos requisitos so identicados, importante que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, por exemplo, o plano de abandono ou o procedimento de recuperao. Convm que os procedimentos do programa de gesto de mudana da organizao sejam includos para assegurar que os assuntos de continuidade de negcios estejam sempre direcionados adequadamente. Cada plano deve possuir uma pessoa responsvel em separado. Procedimentos de emergncia, de recuperao, manual de planejamento e planos de reativao deve ser de responsabilidade dos gestores dos recursos de negcios ou dos processos envolvidos. Procedimentos de recuperao para servios tcnicos alternativos, como

122

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:18:02

Auditoria de Sistemas Informatizados

processamento de informao e meios de comunicao, normalmente deveriam ser de responsabilidade dos provedores de servios. Basicamente, o desenvolvimento de um bom plano de continuidade de negcios consiste em detalhar dez aspectos que so primordiais: administrao do projeto, anlise de riscos, anlise de impacto, estratgia de continuidade de negcios, respostas e operaes de emergncia, desenvolvimento do plano, treinamento, manuteno, administrao da crise e parcerias. Acompanhe, no decorrer dos seus estudos, detalhes de cada um dos aspectos citados para que quem claros todos os componentes de um plano de contingncia e continuidade de negcios. Na gura 4.1, voc encontra um diagrama que ilustra o que foi abordado at aqui.

Unidade 4

123

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:18:02

Universidade do Sul de Santa Catarina

Figura 4.1 Diagrama de Fluxo de um projeto de plano de Contingncia Fonte: Marinho (2003).

124

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:18:02

Auditoria de Sistemas Informatizados

Acompanhe agora, as descries de cada fase da elaborao do plano de contingncia e continuidade de negcios.

a) Incio e administrao do projeto


Nesta primeira fase denido o escopo de atuao do plano de continuidade de negcios. Isto inclui: procurar apoio, se necessrio, denir o gerenciamento do projeto, e organizar o plano de acordo com os limites de recursos temporais e nanceiros. A pessoa que recebe a incumbncia desta tarefa, deve atingir os seguintes objetivos: auxiliar o patrocinador do projeto, que normalmente uma pessoa da camada executiva da empresa, na denio de objetivos e polticas, analisar os fatores de sucesso, os requisitos, casos que j ocorreram e aderncia s normas; coordenar e gerenciar o projeto do plano de continuidade de negcios, atravs da convocao de uma equipe operacional, esclarecendo alguns pontos como a diferena entre recuperao de desastres e continuidade de negcios, resposta a crises e o seu gerenciamento, reduzir ao mximo possvel a ocorrncia de eventos; supervisionar o projeto por meio de ferramentas de controle e o gerenciamento de mudanas; apresentar e defender o projeto junto aos funcionrios da organizao; desenvolver o plano do projeto e orar seus custos; denir a equipe de projeto e a delegao de responsabilidades, bem como o gerenciamento do projeto.

Unidade 4

125

auditoria_de_sistemas_informatiz15 15

22/12/2006 12:18:02

Universidade do Sul de Santa Catarina

b) Anlise e controle de riscos


As atividades relacionadas com a anlise de risco envolvem as possibilidades de ocorrncia de qualquer sinistro dentro de uma organizao. atravs delas que se sabe o quanto esto vulnerveis os ativos de informao da corporao. Nesta fase, so determinados os possveis danos relacionados com cada evento e quais as aes a serem tomadas para prevenir e reduzir os efeitos de algum desastre. Aqui, importante tambm uma anlise sobre o retorno de investimento para ajudar na venda do projeto para a camada executiva. O responsvel por esta fase deve atingir as seguintes metas: conceber a funo da reduo, atravs da organizao; identicar potenciais riscos para a organizao; identicar a exigncia de suporte tcnico; identicar vulnerabilidades, ameaas e exposies; identicar as alternativas de reduo dos riscos; identicar a consistncia das fontes de informao (trabalhar sempre com os dados mais precisos possveis); interagir com a classe executiva da empresa para a denio de nveis aceitveis de risco; documentar todos os passos.

c) Anlise de impacto
Nesta etapa, tambm conhecida como B.I.A. - Business Impact Analyisis, ou seja, Anlise de impacto aos negcios, onde sero identicados, avaliados e relatados os impactos resultantes dos sinistros ocorridos. Alm disto, ser denida o senso crtico dos processos de negcios e as prioridades de recuperao e relacionamento entre elas com a nalidade de vericar a dependncia entre um servio e outro. Com isto, o prazo para restabelecimento dos sistemas de informao se dar de acordo com o planejado.

126

auditoria_de_sistemas_informatiz16 16

22/12/2006 12:18:02

Auditoria de Sistemas Informatizados

As principais tarefas desta fase so: identicao de eventos que podem ocasionar a interrupo de servios; avaliao de risco para determinao do impacto; plano estratgico para se determinar a continuidade de negcios. Para realizar tais tarefas, o responsvel por ela dever atingir os seguintes objetivos especcos: identicar todos os processos de negcios da corporao; identicar os responsveis por cada processo; denir e vericar os critrios de senso crtico: criticidade; auxiliar a camada executiva na denio de critrios para a anlise; identicar o relacionamento entre os processos; denir objetivos, janelas para recuperao de desastres, incluindo os tempos de recuperao, as perdas previstas e as prioridades; identicar os recursos necessrios para a anlise; avaliar junto classe executiva da empresa os custos de interrupo de negcios; preparar e apresentar o relatrio de anlise de impacto. Durante a etapa de anlise de impacto, voc precisa ter cuidado na hora de vericar as vantagens e desvantagens qualitativas e quantitativas. Uma avaliao quantitativa fornece uma medida da magnitude dos impactos, que poder ser utilizada para a avaliao do custobenefcio dos controles de segurana. Lembre-se que, uma medida quantitativa mal formulada resulta na falta de preciso no seu resultado.
127

Unidade 4

auditoria_de_sistemas_informatiz17 17

22/12/2006 12:18:02

Universidade do Sul de Santa Catarina

Por sua vez, a avaliao qualitativa prioriza os riscos e identica reas para melhorias imediatas. interessante ressaltar que esta medida no fornece dados para mensurar a magnitude de impactos. A tabela 4.3 apresenta as categorias de impactos que podem ser utilizadas para a medio quantitativa deles.

Tabela 4.3 - Nveis de impacto e sua descrio Nvel Alto Mdio Baixo Descrio Perda signicante dos principais ativos e recursos Perda da reputao, imagem e credibilidade Impossibilidade de continuar com as atividades de negcio. Perda dos principais ativos e recursos Perda da reputao, imagem e credibilidade. Perda de alguns dos principais ativos e recursos Perda da reputao, imagem e credibilidade. Fonte: Ferreira (2003).

d) Estratgias de continuidade de negcios


Esta a fase onde so denidas as estratgias operacionais para a recuperao dos processos e dos componentes de negcios dentro do prazo de recuperao estipulado. Para que estas estratgias sejam realmente efetivas, uma boa poltica dividi-las em dois planos distintos: um plano de recuperao de desastres, que seria o responsvel pelas atividades relacionadas recuperao ou substituio de componentes que falharam; e, um plano de contingncia, que seria o responsvel pelas atividades dos processos de negcios. A pessoa responsvel por estas atividades dever atingir os seguintes objetivos especcos:

128

auditoria_de_sistemas_informatiz18 18

22/12/2006 12:18:02

Auditoria de Sistemas Informatizados

identicar e analisar as possveis alternativas para a continuidade de negcios disponveis - esta anlise deve conter vantagens e desvantagens, custos e recursos para auxiliar na tomada de deciso; identicar estratgias de recuperao compatveis com as reas funcionais do negcio porque cada processo de negcios possui suas peculiaridades. Portanto, o plano dever contemplar estas personalizaes; consolidar estratgias, reduzindo o risco de congelar o processo, pois na ocorrncia de um sinistro a agilidade uma caracterstica a ser lembrada; e, obter o comprometimento da classe executiva da empresa.

Agora conhea um pouco mais cada um dos dois planos. Plano de recuperao de desastres fornece maneiras de restaurar de forma rpida os sistemas de informao, nas situaes de interrupes no-programadas. Alm disso, deve contemplar os impactos de uma paralisao e o tempo mximo aceitvel de parada. Como exemplos, voc pode considerar: backup, localidades alternativas, a reposio de equipamentos e regras e responsabilidades a serem seguidas pela equipe em situaes de emergncia. Plano de contingncia consiste em procedimentos de recuperao preestabelecidos para minimizar o impacto sobre as atividades da organizao no caso de ocorrncia de um dano ou desastre e que os procedimentos de segurana no conseguiram evitar. Para que o plano seja realmente efetivo, imprescindvel que as regras e responsabilidades estejam bem explcitas e detalhadas para as equipes, assim como os procedimentos relacionados com a recuperao de um ambiente informatizado vtima de um sinistro.

Unidade 4

129

auditoria_de_sistemas_informatiz19 19

22/12/2006 12:18:03

Universidade do Sul de Santa Catarina

e) Respostas e operaes de emergncia


Nesta etapa, so desenvolvidos e implementados procedimentos de resposta e estabilizao de situaes atingidas por um incidente ou evento, incluindo a criao e a especicao de normas para o gerenciamento de um centro operacional de emergncia utilizado como central de comando durante uma crise. O prossional responsvel por esta etapa dever atingir os seguintes objetivos especcos: identicar os tipos potenciais de emergncias e as respostas necessrias (por exemplo: incndio, inundao, greves etc.); vericar a existncia de procedimentos de resposta apropriados s emergncias; recomendar o desenvolvimento de procedimentos de emergncia quando no existam; identicar os requisitos de comando e controle para gerenciamento de emergncias; sugerir a elaborao de procedimentos de comando e controle para denir o papel das autoridades e os processos de comunicao para o gerenciamento das emergncias; assegurar que os procedimentos de resposta a emergncias estejam integrados com os procedimentos de rgos pblicos.
Por exemplo: assegurar que o tempo que voc relatou para um link dedicado volte a funcionar possuindo uma determinada proporo com o tempo que a operadora telefnica passa para a resoluo desse tipo de problema.

O Plano de resposta emergencial deve ter incio no momento T-2 at o momento T+1, ou seja, o tempo disponvel para a realizao dos procedimentos se dar em funo da antecedncia do alarme de desastre at a durao do desastre propriamente dito.
130

auditoria_de_sistemas_informatiz20 20

22/12/2006 12:18:03

Auditoria de Sistemas Informatizados

A gura 4.2, a seguir, ilustra o uxograma da estratgia de um plano de resposta emergencial.

Figura 4.2 - Fluxograma da estratgia de um plano de resposta emergencial Fonte: Saldanha (2000).

Unidade 4

131

auditoria_de_sistemas_informatiz21 21

22/12/2006 12:18:03

Universidade do Sul de Santa Catarina

f) Desenvolvimento do plano
Nesta fase, os componentes, at ento elaborados e planejados, sero integrados em um plano de continuidade de negcios, a m de permitir o atendimento s janelas de recuperao dos componentes e dos processos da corporao. De acordo com a norma ISO 17799:1, o PCN deve ser desenvolvido para a manuteno ou recuperao das operaes do negcio, na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos. Para isto, recomenda-se que o processo de planejamento da continuidade do negcio considere os seguintes itens: identicao e concordncia de todas as responsabilidades e procedimentos de emergncia; implementao dos procedimentos de emergncia que permitam a recuperao e restaurao nos prazos necessrios. Ateno especial deve ser dada avaliao de dependncias externas ao negcio e de contratos existentes; documentao dos processos e procedimentos acordados; treinamento adequado do pessoal nos procedimentos e processos de emergncia denidos, incluindo o gerenciamento da crise; teste e atualizao dos planos.

O processo de planejamento deve focalizar os objetivos requeridos do negcio, como por exemplo, a recuperao de determinados servios especcos para os clientes, em um perodo de tempo aceitvel.
importante que o plano especifique claramente as condies de sua ativao, assim como as responsabilidades individuais para a execuo de cada uma das atividades.

132

auditoria_de_sistemas_informatiz22 22

22/12/2006 12:18:03

Auditoria de Sistemas Informatizados

Quando novos requisitos so identicados, imprescindvel que os procedimentos de emergncia relacionados sejam atualizados de forma apropriada, permitindo, desta forma, sua execuo com sucesso. O responsvel por esta fase dever atingir os seguintes objetivos especcos: identicar os componentes de planejamento dos processos; planejar a metodologia; organizar o plano; dirigir as responsabilidades; denir as pessoas envolvidas; controlar o processo de planejamento e produzir o plano; implementar o plano; testar o plano; denir a manuteno do plano.

g) Treinamento
O processo de treinamento das equipes comea com a distribuio do plano para cada um dos seus componentes, sendo que cada parte do plano deve ser encaminhada para o responsvel por ela, acompanhada da viso geral do plano e da viso geral da sua equipe. Telefones de emergncia, dos demais membros da equipe e de fornecedores tambm devem fazer parte do conjunto de instrues bsicas. Durante a contingncia, os membros de cada equipe no estaro necessariamente desempenhando os mesmos papis de seus cotidianos. Desta forma, necessrio que os membros sejam pessoas aptas e preparadas para desempenhar satisfatoriamente as funes e executar a contento as atividades que lhes couberem. O objetivo do treinamento, por sua vez, familiarizar os participantes com o plano e suas atribuies.

Unidade 4

133

auditoria_de_sistemas_informatiz23 23

22/12/2006 12:18:03

Universidade do Sul de Santa Catarina

Alm do treinamento, bastante interessante vender a idia de continuidade de negcios para a equipe e colaboradores da organizao, ou seja, a adoo de um programa de conscientizao para ressaltar a importncia das medidas preventivas e dos procedimentos de garantia de continuidade. Este programa deve utilizar todas as mdias de comunicao existentes na organizao e possuir como meta a manuteno do nvel de conscientizao permanentemente elevado. Algumas aes que podem ser utilizadas para manter a conscientizao em alta so: distribuir artigos sobre desastres operacionais, segurana e planos de continuidade; produzir e divulgar um vdeo apresentando o plano, sua razo de existir e seu escopo; publicar o material na intranet; promover palestras; mandar periodicamente matrias para as listas de e-mail; incluir os fornecedores entre o pblico a ser conscientizado; cobrar dos fornecedores a implementao de um SLA - Service Level Agreements (Acordo de garantia de nvel de servios).

h) Manuteno
Nesta fase, como o prprio nome diz, faz-se um pr-plano para gerenciar os exerccios do plano de continuidade de negcios, avaliando os resultados obtidos. Alm disso, sero desenvolvidos processos para a manuteno das variveis dos planos de acordo com os objetivos estratgicos da empresa. importante que o plano de continuidade de negcios seja mantido por meio de anlises crticas regulares e atualizaes, de forma a assegurar a sua contnua efetividade, pois um plano sem atualizao anlogo a um administrador de redes que faz

134

auditoria_de_sistemas_informatiz24 24

22/12/2006 12:18:03

Auditoria de Sistemas Informatizados

regularmente o backup de dados, porm no faz periodicamente testes de restaurao destes mesmos dados. Segurana no produto, nem um projeto, um processo. Alguns exemplos que podem demandar atualizaes no plano incluem a aquisio de um novo equipamento, atualizaes dos sistemas operacionais ou ainda alteraes de pessoal ou nmeros telefnicos, mudanas na estratgia de negcios, legislao, ou at mesmo mudana de prestadores de servio. O responsvel por esta fase dever atingir os seguintes objetivos especcos: preparar o planejamento dos exerccios; gerenciar os exerccios; implementar o exerccio das atividades dos planos; documentar e avaliar os resultados; atualizar e adequar os planos; reportar os resultados e a avaliao dos exerccios aos gestores; assimilar as diretivas estratgicas do negcio.

i) Administrao da crise
Este documento tem o propsito de denir detalhadamente o funcionamento das equipes envolvidas com o acionamento da contingncia antes, durante e depois da ocorrncia do incidente. Nesta etapa, encontra-se o desenvolvimento, coordenao, avaliao e exerccio do manuseio de mdias e documentos durante a ocorrncia de um desastre, bem como os possveis meios de comunicao que minimizem atritos entre a corporao, seus funcionrios e suas famlias, clientes-chave, fornecedores, investidores e gestores corporativos. Atravs dos procedimentos desta etapa, ser possvel assegurar o fornecimento de informaes para todos os investidores, por meio de uma fonte nica e constantemente atualizada.

Unidade 4

135

auditoria_de_sistemas_informatiz25 25

22/12/2006 12:18:03

Universidade do Sul de Santa Catarina

O prossional responsvel por esta etapa dever atingir os seguintes objetivos: estabelecer programas de relaes pblicas para o gerenciamento proativo de crises; estabelecer a necessria coordenao de crises com agncias externas; estabelecer a comunicao essencial de crise com grupos de investidores relevantes, colaboradores, fornecedores e clientes, ou seja, o que cada uma destas pessoas deve saber.

j) Parcerias
Por m, esta a fase onde sero estabelecidos os procedimentos e respostas necessrias para as atividades de continuidade e restaurao de negcios, com o auxlio de parcerias, sejam elas pblicas ou privadas. Em caso de autoridades pblicas estes sero estabelecidos para o atendimento de normas e leis; no caso de entidades privadas, quando estas compartilham interesses comuns; ou de terceiros contratados para a execuo de tarefas e servios devido especializao de sua estrutura e objetivo de negcio para limitao de responsabilidades e funes.

O prossional responsvel por esta etapa dever atingir os seguintes objetivos: coordenar preparativos de emergncia, resposta, recuperao, retomada e procedimentos de restaurao com o apoio de rgos pblicos; estabelecer procedimentos de acordos e contratos durante situaes de crise, emergncia ou desastre; manter atualizado o conhecimento entre parceiros.
136

auditoria_de_sistemas_informatiz26 26

22/12/2006 12:18:04

Auditoria de Sistemas Informatizados

Finalizada a leitura dos contedos desta unidade, para praticar os novos conhecimentos, realize as atividades propostas a seguir:

Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades: 1) Qual a funo de uma anlise de impacto?

2) O que leva um C.I.O. a escolher uma estratgia de contingncia chamada Cold Site ao invs da estratgia Hot Site?

Unidade 4

137

auditoria_de_sistemas_informatiz27 27

22/12/2006 12:18:04

Universidade do Sul de Santa Catarina

3) Por que a manuteno de um plano de continuidade de negcios importante?

Realize tambm as atividades propostas no EVA Espao UnisulVirtual de Aprendizagem. Interaja com a sua comunidade de aprendizagem e amplie seu ponto de vista.

138

auditoria_de_sistemas_informatiz28 28

22/12/2006 12:18:04

Auditoria de Sistemas Informatizados

Sntese
O principal objetivo de um plano de continuidade de negcios (BCP Business Continuity Plan) garantir a operao da empresa em situaes de contingncia com o mnimo impacto aos clientes. No atentado de 11 de setembro de 2001 s Torres Gmeas do World Trade Center de Nova Iorque, as empresas que tinham BCPs bem estruturados reiniciaram suas operaes poucas horas depois do atentado terrorista. Algumas empresas subestimam os riscos de um desastre e no investem em BCPs. Os planos de continuidade de negcios podem ser classicados em dois tipos: os planos de continuidade das reas de negcios e os planos de recuperao de desastres (DRP Disaster Recovery Plan) do Centro de Processamento de Dados. Em muitos casos, as reas de negcios das empresas dependem fortemente do processamento de dados para suas atividades e sua paralisao pra o negcio da empresa. Um exemplo foi a paralisao do servio de e-mail do provedor de internet Terra por dois dias devido a um problema no subsistema de armazenamento de dados, em abril de 2003. O portal Terra teve que abonar dois dias da mensalidade dos seus 800 mil assinantes com um prejuzo de mais de R$400 mil. Nesta unidade voc viu o que um plano de negcios, seus componentes e suas caractersticas. Viu tambm, com detalhes, os componentes que formam o desenvolvimento de um plano de continuidade de negcios. Na prxima unidade, voc ver que uma auditoria tradicional envolve a reviso do histrico nanceiro da empresa com o intuito de validar a exatido e a integridade das declaraes nanceiras. O controle interno representa uma metodologia primria usada pela classe executiva da organizao para assegurar a proteo dos ativos e a disponibilidade da informao. A prxima unidade ir abranger aspectos voltados para a vericao de controles gerais da organizao, sua infra-estrutura de informtica e segurana de informaes. At l!

Unidade 4

139

auditoria_de_sistemas_informatiz29 29

22/12/2006 12:18:04

Universidade do Sul de Santa Catarina

Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder pesquisar os seguintes livros: CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurana de Informtica e de Informaes. Senac. 1999. SALDANHA, Fernando. Introduo a planos de continuidade e contingncia operacional. Rio de Janeiro: Papel Virtual, 2000. MARINHO, Fernando. Como proteger e manter seus negcios. Rio de Janeiro: Campus, 2003. FERREIRA, Fernando N. F. Segurana da informao em ambientes informatizados. Rio de Janeiro: Cincia Moderna, 2003.

140

auditoria_de_sistemas_informatiz30 30

22/12/2006 12:18:04

UNIDADE 5

Auditoria em Sistemas de Informao


Objetivos de aprendizagem
Ao final desta unidade voc ter subsdios para: conhecer as tcnicas de auditoria de sistemas de informao mais usadas; compreender os controles gerais envolvidos na auditoria; conhecer os tipos de auditoria de sistemas informatizados; estabelecer um plano de trabalho das verificaes que devem ser realizados durante o trabalho de auditoria.

Sees de estudo
A seguir, conhea as sees para voc estudar:

Seo 1 Quais so as tcnicas de auditoria de SI? Seo 2 Quais so os controles gerais? Seo 3 Quais so os tipos de auditoria de SI? Seo 4 Roteiro para avaliao dos controles internos
em auditoria de sistemas Aps a leitura do contedo, realize as atividades de autoavaliao propostas no final da unidade e no EVA.

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:18:04

Universidade do Sul de Santa Catarina

Para incio de estudo


Para esta ltima unidade, voc conhecer detalhadamente a auditoria em sistemas informatizados. Alguns tpicos iro dar a impresso de repetio de conceitos de unidades passadas, e exatamente isso que o objetivo. O que vai diferir agora que estes conceitos sero colocados dentro do contexto da unidade. Com o objetivo de aperfeioar as atividades de auditoria possivelmente desenvolvidas por voc aluno, esta unidade tem como caracterstica a praticidade, facilitando assim a assimilao do conhecimento de auditoria em sistemas informatizados. Cabe aqui relembrar que um sistema de informao pode ser conceituado como um conjunto de partes que se integram entre si para atingir objetivos ou resultados informativos. Um sistema de informao pode ser manual ou informatizado. No caso de sistemas informatizados, as caractersticas predominantes so: Manipulao de grandes volumes de dados e informaes; Complexidade de processamento; Muitos usurios envolvidos; Contexto abrangente, mutvel e dinmico; Interligao de diversas tcnicas e tecnologias; Auxlio qualidade, produtividade e competitividade organizacional, e suporte tomada de decises empresariais. Uma auditoria de sistemas de informao pode abranger desde o exame de dados registrados em sistemas informatizados, at a avaliao do prprio sistema informtico aplicativos, sistemas operacionais etc.; a avaliao do ambiente de desenvolvimento, do ambiente de operao, do ambiente de gerenciamento da rede e todos os demais elementos associados a um ou mais sistemas de informao corporativos. Antes de iniciar a auditoria de um sistema de informao, o auditor deve determinar o tipo e o escopo (ou grau de

142

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:18:04

Auditoria de Sistemas Informatizados

abrangncia) da auditoria a ser realizada e solicitar unidade a ser auditada os documentos adequados para planejar seu trabalho. Em ambientes complexos de processamento de dados o auditor ter uma grande variedade de objetos de controle a considerar. Os documentos a serem solicitados e os procedimentos de auditoria a serem aplicados iro variar de acordo com o tipo ou escopo da auditoria. E a proposta desta unidade e lev-lo a entender como os conceitos apresentados at aqui, acontencem na prtica. Siga em frente com determinao!

Seo 1 Quais so as tcnicas de auditoria de SI?


Existem inmeras tcnicas de auditoria de sistemas de informao. durante a fase de planejamento da auditoria, dependendo dos objetivos, do escopo e das limitaes inerentes ao trabalho, que a equipe de auditoria seleciona as tcnicas de auditoria mais adequadas para se chegar s concluses esperadas do trabalho. Algumas tcnicas usadas em auditorias de sistemas so comuns a outros tipos de auditoria, como: entrevista (reunio realizada com os envolvidos com o ponto auditado, que deve ser documentada); questionrio (conjunto de perguntas que podem ser aplicadas a muitas pessoas simultaneamente, sem a presena do auditor); vericao in loco (observao direta de instalaes, atividades ou produtos auditados). Outras tcnicas so especcas para a avaliao de operaes, transaes, rotinas e sistemas em operao ou desenvolvimento. A seguir, acompanhe quais so elas:

Unidade 5

143

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:18:05

Universidade do Sul de Santa Catarina

Quadeo 5.1 - Tcnicas de auditoria de SI Mtodo Test-deck Caractertisticas consiste na aplicao do conceito de massa de teste para sistemas em operao, envolvendo testes normais e corretos, com campos invlidos, com valores incompatveis, com dados incompletos, etc. consiste na elaborao de programas de computador para simular as funes da rotina do sistema em operao que est sendo auditado. Utiliza-se os mesmos dados da rotina em produo como input do programa de simulao. avaliao de um sistema em operao quanto aos procedimentos manuais e/ou automticos para a recuperao e retomada do processamento em situaes de falhas. Um exemplo tpico testar para ver se o backup funciona. Vericao de um sistema em operao quanto ao consumo de recursos computacionais e ao tempo de resposta de suas operaes (exige instrumentos de monitorao para hardware e software). Avaliao do comportamento de um sistema em operao quando submetido a condies de funcionamento envolvendo quantidades, volumes e freqncias acima do normal. Avaliao dos mecanismos de segurana preventivos, detectveis e corretivos presentes no sistema. Mtodo que se concentra nos requisitos funcionais dos programas em operao. Os casos de testes, normalmente derivados de diferentes condies de entrada, avaliam funes, interfaces, acessos a bancos de dados, inicializao e trmino do processamento. Mtodos que prevem a insero de rotinas especiais nos programas em operao, usadas para depurlos (debug) aps serem executados. So estes: Mapping: lista as instrues no utilizadas que determina a freqncia daquelas executadas. Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto , visualizar quais instrues de uma transao foram executadas e em que ordem. Snapshot: fornece o contedo de determinadas variveis do programa durante sua execuo, de acordo com condies preestabelecidas. Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes avaliam decises lgicas, loops, estruturas internas de dados e caminhos dentro dos mdulos. Consiste na implementao de rotinas de auditoria especcas dentro dos programas de um sistema em implantao, que podero ser acionadas com dados de teste, em paralelo com os dados reais de produo, sem comprometer os dados de sada.

Simulao paralela

Teste de recuperao Teste de desempenho Teste de estresse Teste de segurana Teste de caixa preta

Mapping, tracing e snapshot

Teste de caixa branca ITF Integrated Test Facility

Ao auditor recomendado conhecer todos os mtodos para saber fazer uso deles e melhor realizar seu trabalho. Conhecidas as tcnicas de auditoria de SI, estude na prxima seo os controles gerais.

144

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:18:05

Auditoria de Sistemas Informatizados

Seo 2 Quais so os controles gerais?


Controles gerais consistem na estrutura, polticas e procedimentos que se aplicam s operaes do sistema computacional de uma organizao como um todo. Eles criam o ambiente em que os sistemas aplicativos e os controles iro operar. Durante uma auditoria em que seja necessrio avaliar algum sistema informatizado, seja ele nanceiro, contbil, de pagamento de pessoal etc., preciso inicialmente avaliar os controles gerais que atuam sobre o sistema computacional da organizao. Controles gerais decientes acarretam uma diminuio da conabilidade a ser atribuda aos controles das aplicaes individuais. Por esta razo, os controles gerais so normalmente avaliados separadamente e antes da avaliao dos controles dos aplicativos que venham a ser examinados em uma auditoria de sistemas informatizados.
Quais so as categorias de controles gerais a serem consideradas em auditoria?

So identicadas cinco categorias de controles gerais que podem ser consideradas em auditoria. Acompanhe, a seguir, quais so: a) Controles organizacionais - polticas, procedimentos e estrutura organizacional estabelecidos para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas rea da informtica. Os elementos crticos para a avaliao dos controles organizacionais so: unidades organizacionais bem denidas, com nveis claros de autoridade, responsabilidades e habilidades tcnicas necessrias para exercer os cargos;

Unidade 5

145

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:18:05

Universidade do Sul de Santa Catarina

atividades dos funcionrios controladas atravs de procedimentos documentados de operao e superviso e polticas claras de seleo, treinamento e avaliao de desempenho; poltica de segregao de funes e controles de acesso para garantir na prtica a segregao de funes; recursos computacionais gerenciados para as necessidades de informao de forma eciente e econmica.

Figura 5.1 - Exemplo de estrutura organizacional para o departamento de Tecnologia da Informao (organizao de tamanho mdio).

b) Programa geral de segurana - oferece estrutura para: (1) gerncia do risco, (2) desenvolvimento de polticas de segurana, (3) atribuio das responsabilidades de segurana, e (3) superviso da adequao dos controles gerais da entidade; c) Plano de continuidade do negcio - controles que garantam que, na ocorrncia de eventos inesperados, as operaes crticas

146

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:18:05

Auditoria de Sistemas Informatizados

no sero interrompidas., Elas devem ser imediatamente retomadas e os dados crticos protegidos. d) Controle de software de sistema - limita e supervisiona o acesso aos programas e arquivos crticos para o sistema que controla o hardware e protege as aplicaes presentes.
So exemplos de software de sistema: Software de sistema operacional; Utilitrios de sistema; Sistemas de bibliotecas de programas; Software de manuteno de arquivos; Software de segurana; Sistemas de comunicao de dados; Sistemas de gerncia de base de dados (SGBD).

O controle sobre o acesso e a alterao do software de sistema essencial para oferecer uma garantia razovel de que os controles de segurana baseados no sistema operacional no esto comprometidos, prejudicando o bom funcionamento do sistema computacional como um todo. Os controles de software de sistema so avaliados por meio dos seguintes elementos crticos: acesso limitado ao software de sistema; acesso e uso supervisionado do software de sistema; controle das alteraes do software de sistema. e) Controles de acesso - limitam ou detectam o acesso a recursos computacionais (dados, programas, equipamentos e instalaes), protegendo estes recursos contra modicao no-autorizada, perda e divulgao de informaes condenciais. Os controles de acesso tm o propsito de oferecer uma garantia razovel de que os recursos computacionais (arquivos de dados, programas aplicativos, instalaes e equipamentos relacionados
147

Unidade 5

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:18:05

Universidade do Sul de Santa Catarina

aos computadores) esto protegidos contra modicao ou divulgao no-autorizada, perda ou dano. Eles incluem controles fsicos, tais como manuteno dos computadores em salas trancadas para limitar o acesso fsico, e controles lgicos (softwares de segurana projetados para prevenir ou detectar acesso no autorizado a arquivos crticos). Os elementos crticos que determinam a adequao dos controles de acesso so: classicao dos principais recursos de informao de acordo com sua importncia e vulnerabilidade; manuteno de lista atualizada de usurios autorizados e seu nvel de acesso; implantao de controles lgicos e fsicos para prevenir ou detectar acesso no autorizado; superviso do acesso, investigao de indcios de violao da segurana e adoo das medidas corretivas apropriadas. Uma vez que voc conheceu quais so os controles gerais, na prxima seo estude os tipos de auditoria de sistemas informatizados.

Seo 3 Quais so os tipos de auditoria de SI?


Nesta seo voc ir estudar os tipos de auditoria de sistemas de informao, os quais so: auditoria de software aplicativo, auditoria do desenvolvimento de sistemas, auditoria de banco de dados, auditoria de redes e de microcomputador.

3.1. Auditoria de software aplicativo


Software aplicativos so aqueles projetados para executar determinado tipo de operao, a exemplo do clculo da folha de pagamento ou de controle de estoque. Veja, a seguir, quais so os controles que podem ser auditados:

148

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:18:06

Auditoria de Sistemas Informatizados

Controles de aplicativos

So aqueles incorporados diretamente em programas aplicativos, nas trs reas de operao (entrada, processamento e sada de dados), com o objetivo de garantir um processamento convel e acurado. Sem um controle de aplicativo apropriado, existe o risco de que caractersticas de segurana possam se omitidas ou contornadas, intencionalmente ou no, e que processamentos errneos ou cdigos fraudulentos sejam introduzidos. Por exemplo: um programador pode modicar cdigos de programas para desviar dos controles e obter acesso a dados condenciais; a verso errada de um programa pode ser implementada, causando processamentos errados ou desatualizados; um vrus pode se introduzido, prejudicando o processamento. So projetados para garantir que os dados sejam convertidos para um formato padro e inseridos na aplicao de forma precisa, completa e tempestiva. Os controles de entrada de dados devem detectar transaes no-autorizadas, incompletas, duplicadas ou errneas, e assegurar que sejam controladas at serem corrigidas. Nem sempre possvel ter procedimentos de autorizao antes da entrada de dados. Em sistemas de entrada de dados on-line, so indispensveis as rotinas de validao de dados para compensar a ausncia da autorizao. O sistema deve checar automaticamente se o usurio est cadastrado para usar aquele aplicativo e se os dados por ele preenchidos satisfazem certas condies. A organizao deve estabelecer rotinas que impeam o uso no-autorizado ou indevido de microcomputadores ou terminais durante a entrada de dados. Os controles de processamento devem assegurar que todos os dados de entrada sejam processados e que o aplicativo seja executado com sucesso, usando os arquivos de dados, as rotinas de operao e a lgica de processamento corretos.

Controles de entrada de dados

A autorizao para entrada de dados

Controles do processamento de dados

Controles da sada so utilizados para garantir a integridade e a correta e tempestiva distribuio dos dados de sadas. Controles da sada de A principal preocupao com a sada de dados consiste na restrio do acesso a informaes dados sigilosas s pessoas autorizadas. Os controles devem proteger cpias em papel ou meio magntico, impresso local e remota, armazenagem, transmisso dos dados.

3.2. Auditoria do desenvolvimento de sistemas


A auditoria do desenvolvimento de sistemas objetiva avaliar a adequao das metodologias e procedimentos de projeto, desenvolvimento, implantao e reviso ps-implantao dos sistemas produzidos dentro da organizao auditada. Esta avaliao pode abranger apenas o ambiente de desenvolvimento da organizao ou prever tambm a anlise do processo de desenvolvimento de um sistema especco, ainda na fase de planejamento, j em andamento ou aps sua concluso. O desenvolvimento de um sistema de informao representa um investimento que no pode ser assumido sem dados conveis

Unidade 5

149

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:18:06

Universidade do Sul de Santa Catarina

e precisos sobre o custo do projeto, seus benefcios e os riscos envolvidos Todos os projetos de desenvolvimento de sistemas precisam ter sido avaliados em profundidade, devendo ser precedidos de anlises de custo/benefcio, capacidade de satisfao dos usurios e de atendimento aos objetivos da organizao, custos de desenvolvimento, medidas de desempenho, planos de implementao, previso de recursos humanos, etc. So necessrios, tambm, mecanismos gerenciais que auxiliem a denio de prioridade dos projetos e permitam sua avaliao e controle durante todo o processo de desenvolvimento.

3.3. Auditoria de banco de dados


Tradicionalmente, o termo banco de dados foi usado para descrever um arquivo contendo dados acessveis por um ou mais programas ou usurios. Os arquivos de dados eram designados para aplicaes especcas e o programa era projetado para acess-los de uma forma predeterminada.

3.4. Auditoria de redes de computadores


Atualmente, bastante comum que os usurios de um sistema estejam em um local diferente de onde se encontram os recursos computacionais da organizao. Isto torna necessrio o uso de mecanismos de transporte de informaes entre diferentes computadores e entre computadores e seus perifricos. Para o bom funcionamento da comunicao de dados so usados: Arquivo log de comunicaes, onde cam registrados todos os blocos transmitidos correta e incorretamente para efeito estatstico e para tentativas de recuperao de dados transmitidos; Software de comunicao de dados para vericao de protocolo de transmisso, gravao do arquivo log de transaes e para codicao de sinais de comunicao; Protocolo de transmisso que garante a recepo correta do bloco de informaes transmitidas;

150

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:18:06

Auditoria de Sistemas Informatizados

Software ou hardware para a realizao de codicao e decodicao das informaes transmitidas. O principal risco oferecido pelas redes o de acesso no autorizado a dados e programas da organizao, que pode resultar em danos ou prejuzos intencionais ou acidentais. Existe uma grande variedade de software e hardware especializados em limitar o acesso de indivduos ou sistemas externos a uma rede de comunicao.
Exemplos de componentes de rede que podem ser usados para limitar o acesso incluem gateways ou firewalls (dispositivos que restringem acesso entre redes, importantes para reduzir o risco associado ao uso da internet); monitores de teleprocessamento (programas incorporados ao sistema operacional dos computadores para limitar o acesso) e dispositivos de proteo dos canais de comunicao.

Alm dos riscos associados facilidade de acesso a dados e programas, a auditoria das redes de comunicao de computadores deve contemplar os riscos relativos operao incorreta do sistema, perda de informaes que podem causar dano ou prejuzo organizao em funo do ambiente de rede.

Quais os elementos crticos que a auditoria de redes de comunicao deve abranger?

A auditoria de redes de comunicao deve abranger os seguintes elementos crticos: Gerncia de rede - devem existir procedimentos e polticas para auxiliar a gerncia do ambiente de rede e padres denidos para controle do hardware envolvidos; Segurana dos dados e da rede - devem existir mecanismos de controle de hardware e software que garantam a segurana e integridade dos dados mantidos

Unidade 5

151

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:18:06

Universidade do Sul de Santa Catarina

no ambiente de rede e dos recursos fsicos que a compem; bem como limitem e controlem o acesso a programas e dados; Operao da rede - a organizao deve oferecer condies para uma operao eciente da rede, incluindo normas e procedimentos de treinamento de pessoal, execuo de cpias de segurana, avaliao da ecincia do servio e rotinas de recuperao da rede aps interrupes inesperadas; Software de rede - a gerncia de rede deve monitorar e controlar o software de comunicao e o sistema operacional instalado.

3.5. Auditoria de microcomputadores


Normalmente so chamados microcomputadores os computadores de mesa que compreendem um processador, disco rgido e exvel, monitor e teclado. Os microcomputadores podem ser utilizados isoladamente ou estar conectados a uma rede, com o propsito de compartilhar dados ou perifricos.
Exemplos dos riscos especficos associados aos microcomputadores: Familiaridade por causa da aparente simplicidade e facilidade de utilizao, existe o risco de que o uso inadequado seja subestimado por usurios e pela gerncia; O custo ainda que os microcomputadores possam ser considerados de baixo custo, importante levar em conta gastos com softwares, perifricos e manuteno, que pode elevar significativamente o custo de uma mquina; Localizao microcomputadores normalmente esto localizados em escritrios comuns, com pouca proteo contra furto, acesso no-autorizado ou dano acidental; Software proprietrio apesar de ser mais barato adquirir programas do que desenvolv-los internamente, os softwares oferecidos pelo mercado muitas vezes no apresentam mecanismos de segurana adequados;

152

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:18:06

Auditoria de Sistemas Informatizados

Para que possa proteger-se contra estes riscos, a organizao precisa adotar polticas e procedimentos especcos quanto ao uso de microcomputadores pelos seus funcionrios, compreendendo padres de hardware, software, aquisio, treinamento e suporte, alm dos controles gerais e de aplicativos. Os microcomputadores precisam de controles especcos destinados a proteg-los de furto ou acidente, que podem ocasionar a perda de dados e programas. Isto pode ser evitado atravs de restries fsicas de acesso s mquinas, controles de software, tais como: senhas de acesso e realizao peridica de cpias de segurana. O furto de equipamentos pode ser evitado por meio de mecanismos adequados de segurana no local de trabalho.
Quais so os elementos crticos para auditoria de microcomputadores?

Os elementos crticos para a auditoria dos microcomputadores so: Controles do software em uso - destinados a garantir consistncia da operao dos softwares instalados nos microcomputadores, impedindo a instalao de programas no-autorizados, sua alterao indevida, etc., Segurana - controla o acesso a recursos computacionais, dados e programas, protegendo-os contra alteraes indevidas, furtos, divulgao de documentos sigilosos, etc. Controles sobre a operao - protegem os recursos de microinformtica contra prejuzos e danos causados por falta de treinamento de pessoal e de manuteno adequada. Uma vez que voc estudou os tipos de auditoria, chega a vez de entender como os conhecimentos estudados at agora nesta disciplina, se aplicam a prtica do auditor.

Unidade 5

153

auditoria_de_sistemas_informatiz13 13

22/12/2006 12:18:07

Universidade do Sul de Santa Catarina

Seo 4 Roteiro para avaliao dos controles internos em auditoria de sistemas


A seguir, apresentado um roteiro para servir de base avaliao dos controles internos em auditoria de sistemas. Os tpicos a serem avaliados devem ser escolhidos com base nos objetivos da auditoria. Outros itens de avaliao podero ser necessrios dependendo das circunstncias.

Avaliao dos controles gerais


O auditor deve avaliar se dentro do departamento de tecnologia da informao (DTI) existem unidades organizacionais bem denidas e com suas funes claras. Como parmetro para o DTI, foram denidas: Cada Unidade dentro do DTI deniu seus principais objetivos e padres de desempenho. Cada Unidade dentro do DTI deniu os diversos nveis de autoridade, as responsabilidades de cada cargo e as habilidades tcnicas necessrias para exerc-los. Os funcionrios do DTI exercem atividades compatveis com as estabelecidas formalmente pela organizao. Os funcionrios do DTI possuem capacitao tcnica compatvel com o previsto no respectivo plano de cargos. Atividades dos funcionrios so controladas e a poltica de seleo clara. Treinamento e avaliao de desempenho so polticas na rea de capacitao. Existem instrues documentadas para o desempenho das atividades dentro do DTI, que so seguidas pelos funcionrios. Existem manuais de instruo que indicam como operar softwares de sistema e aplicativos. O pessoal tcnico tem superviso adequada, inclusive nas trocas de turno de operao de computadores.

154

auditoria_de_sistemas_informatiz14 14

22/12/2006 12:18:07

Auditoria de Sistemas Informatizados

As atividades dos operadores do sistema computacional so automaticamente armazenadas em registros histricos de operao. Supervisores revisam periodicamente os registros histricos de operao e investigam qualquer anormalidade. H um planejamento das necessidades de pessoal especializado e existem polticas denidas, mtodos e critrios para o preenchimento de vagas que permitam aferir as reais habilidades tcnicas dos pretendentes. Existe um programa de treinamento de pessoal na rea de tecnologia da informao, com recursos sucientes para capacitar o pessoal tcnico. Existe um programa de avaliao de desempenho ecaz.

a) Poltica de segregao de funes e controles de acesso


Funes distintas so desempenhadas por diferentes indivduos, incluindo as seguintes: Gerncia dos sistemas de informao; Projetos de sistemas; Programao de aplicativos; Programao de sistemas; Teste e garantia de qualidade; Gerncia de biblioteca/gerncia de alterao; Operao de computador; Controle de dados; Segurana de dados; Administrao de dados.

Unidade 5

155

auditoria_de_sistemas_informatiz15 15

22/12/2006 12:18:07

Universidade do Sul de Santa Catarina

b) Controles gerais: programa de segurana


Os riscos so periodicamente avaliados, de acordo com polticas documentadas para esta avaliao. As avaliaes do risco so realizadas por pessoal sucientemente independente (no diretamente responsvel pelas questes de segurana), sendo revistas toda vez que algum sistema, instalao ou outra condio se altere. A avaliao do risco leva em conta a vulnerabilidade inerente aos dados e o risco adicional, acrescentado pelos diversos caminhos de acesso passveis de utilizao por usurios e estranhos no-autorizados. As avaliaes gerais de risco mais recentes esto de acordo com as polticas estabelecidas e atendem aos demais requisitos acima indicados.

c) Documentao do programa de segurana


O auditor, neste momento, deve questionar se o plano de segurana: Foi documentado e aprovado pela alta gerncia e pelos setores afetados; Cobre todas as instalaes e operaes essenciais; mantido atualizado, com revises peridicas e ajustes que reitam as mudanas nas condies de operao e nos riscos; Estabelece uma estrutura de gerncia de segurana com independncia, autoridade e conhecimento sucientes; Prev a existncia de gerentes de segurana dos sistemas de informao tanto em nvel geral quanto nos nveis subordinados; Identica precisamente o proprietrio de cada recurso computacional e os responsveis pela gerncia do acesso a estes recursos;

156

auditoria_de_sistemas_informatiz16 16

22/12/2006 12:18:07

Auditoria de Sistemas Informatizados

Dene as responsabilidades de segurana nos seguintes nveis: (1) proprietrios e usurios dos recursos de informao; (2) pessoal de processamento de dados; (3) alta gerncia; e (4) administradores de segurana; periodicamente revisto e atualizado, estando em dia com as necessidades da entidade.

d) Poltica de segurana ecaz


Deve existir um programa de treinamento sobre as polticas de segurana que inclua treinamento inicial de todos os novos funcionrios e usurios a respeito das normas de segurana para uso dos recursos computacionais.

Deve existir um treinamento peridico de atualizao!

Um treinamento que possa ser realizado, por exemplo, via mensagens de correio eletrnico que alertem os usurios para os procedimentos existentes, como necessidade de troca peridica de senhas e de manuteno do sigilo das mesmas, etc. (Examinar os registros das atividades de treinamento.). Os processos de transferncia e demisso incluem procedimentos de segurana, tais como: devoluo de crachs, chaves, passes de identicao, etc.; noticao da gerncia de segurana para a pronta desativao de senhas de acesso; imediata retirada do funcionrio do local de trabalho; denio do perodo em que o funcionrio afastado car sujeito guarda do sigilo das informaes condenciais s quais teve acesso.

Unidade 5

157

auditoria_de_sistemas_informatiz17 17

22/12/2006 12:18:07

Universidade do Sul de Santa Catarina

e) Controles gerais: planejamento da continuidade do negcio


Avaliao da vulnerabilidade das operaes computadorizadas e identicao dos recursos que as apiam. A organizao preparou uma lista de dados, operaes e sistemas crticos que: informa a prioridade de cada item; foi aprovada pelos gestores responsveis; reete a situao atual dos recursos computacionais.

Adoo de medidas devem objetivar a preveno de interrupes potenciais e minimizar danos causados.

So exemplos de medidas preventivas:


Por exemplo, cpias de segurana dos arquivos e da documentao dos sistemas so providenciadas e deslocadas para um local de armazenamento externo, com freqncia suficiente para evitar problemas em caso de perda ou dano dos arquivos em uso. O local de armazenamento externo est localizado geograficamente distante da sede da organizao e protegido por controles ambientais e controles de acesso fsico. Dispositivos de supresso e preveno de incndio foram instalados e esto em funcionamento (detectores de fumaa, extintores de incndio, etc.). Controles fsicos foram implementados para evitar outros desastres, tais como inundao, elevao excessiva da temperatura, etc. Os controles fsicos so periodicamente testados. Foi providenciada uma fonte substituta de suprimento de energia eltrica que permita, em caso de falha da fonte principal, a concluso segura das operaes em andamento. Os procedimentos de emergncia so periodicamente testados junto ao pessoal encarregado de implement-los.

158

auditoria_de_sistemas_informatiz18 18

22/12/2006 12:18:08

Auditoria de Sistemas Informatizados

Os funcionrios do departamento de TI receberam treinamento para os casos de emergncia, tendo sido informados de suas responsabilidades na ocorrncia de eventos do gnero. Verificar se existem registros de treinamentos peridicos previstos e efetuados para procedimentos de emergncia envolvendo fogo, inundao e disparo de alarmes. O pessoal de todos os departamentos tem conhecimento de suas atribuies em caso de emergncia (telefone para notificao de problemas, procedimentos de emergncia na ocorrncia de desastres, etc.). Existem polticas e procedimentos atualizados de manuteno de hardware, gerncia de problemas e gerncia de alterao de programas para prevenir interrupes inesperadas da operao. Existe um hardware de reserva que garanta, em casos de problemas com o equipamento principal, a disponibilidade do sistema para aplicaes crticas e vulnerveis.

O que o auditor precisa documentar? No caso do desenvolvimento e documentao do plano de contingncia, o auditor tem que vericar se existe um plano de contingncia devidamente documentado que: reete as condies atuais da organizao; foi aprovado pelos grupos mais afetados, incluindo a alta administrao, DTI e gerentes proprietrios dos sistemas; atribui as responsabilidades de recuperao de forma clara; inclui instrues detalhadas para restaurar a operao, tanto do sistema operacional quanto das aplicaes crticas; identica a instalao alternativa de processamento e o local externo de armazenamento de cpias de segurana;

Unidade 5

159

auditoria_de_sistemas_informatiz19 19

22/12/2006 12:18:08

Universidade do Sul de Santa Catarina

inclui procedimentos a serem seguidos quando o centro de processamento de dados estiver impossibilitado de receber ou transmitir dados; identica os sistemas e os arquivos de dados crticos; detalhado o suciente para ser compreendido por todos os gerentes da organizao; foi distribudo para todas as pessoas apropriadas; o plano de contingncia foi testado em condies que simulem um desastre. Examinar as polticas de teste e os relatrios da sua execuo; os resultados dos testes foram documentados e um relatrio com as lies aprendidas foi providenciado e encaminhado para a alta administrao; o plano de contingncia e os acordos relacionados foram ajustados para corrigir quaisquer decincias constatadas durante o teste.

f) Controles gerais: controle de acesso


Existem polticas e procedimentos documentados para a classicao dos principais recursos de informao pelos critrios de importncia e vulnerabilidade dos dados. As autorizaes de acesso so: documentadas e mantidas em arquivo organizado; aprovadas pelo proprietrio do recurso computacional; transmitidas para os gerentes de segurana de uma forma protegida. As autorizaes de acesso temporrias so: documentadas e mantidas em arquivo; aprovadas pela gerncia encarregada;

160

auditoria_de_sistemas_informatiz20 20

22/12/2006 12:18:08

Auditoria de Sistemas Informatizados

comunicadas de uma forma protegida para o servio de segurana; automaticamente desativadas aps um perodo determinado.

g) Controles lgicos sobre arquivos de dados e programas de software


Aqui o auditor tem que vericar se: softwares de segurana so usados para restringir o acesso aos arquivos de dados e programas; o acesso ao software de segurana restrito aos administradores de segurana; as sesses de acesso a sistemas, via terminais de computadores, so terminadas automaticamente aps um perodo de inatividade do operador; os responsveis pela administrao da segurana conguram o software de segurana para restringir o acesso no-autorizado a arquivos de dados, bibliotecas de dados, procedimentos de operao em lote (batch), bibliotecas de cdigos fonte, arquivos de segurana e arquivos de sistema operacional. Testar os controles tentando obter acesso a arquivos restritos.

h) Controles lgicos sobre a base de dados


Controles sobre os gerenciadores de banco de dados (SGBD ou DBMS) e dicionrios de dados foram implementados para: restringir o acesso a arquivos de dados nos nveis de leitura de dados, campos, etc.; controlar o acesso ao dicionrio de dados usando pers de segurana e senhas; manter trilhas de auditoria que permitam supervisionar mudanas nos dicionrios de dados;

Unidade 5

161

auditoria_de_sistemas_informatiz21 21

22/12/2006 12:18:08

Universidade do Sul de Santa Catarina

prever formas de pesquisa e atualizao de funes de aplicativos, funes de SGBD e dicionrio de dados.

i) Controles lgicos sobre acesso remoto


Um software de comunicao foi implementado para: identicar o terminal/ponto de acesso que est em uso pelo usurio; checar IDs (cdigos de identicao do usurio) e senhas para acesso a aplicativos especcos; controlar o acesso atravs de conexes entre sistemas e terminais; restringir o uso de facilidades de rede em aplicaes especcas; interromper automaticamente a conexo ao nal de uma sesso; manter registros da atividade na rede; restringir o acesso a tabelas que denem opes de rede, recursos e pers de operador; permitir que somente usurios autorizados desconectem componentes da rede; supervisionar o acesso discado, atravs do controle da fonte de chamadas ou pela interrupo da chamada e retorno da ligao para nmeros de telefone previamente autorizados; restringir o acesso interno aos softwares de telecomunicaes; controlar mudanas nesses softwares; garantir que dados no sejam acessados ou modicados por usurios no-autorizados durante sua transmisso ou enquanto temporariamente armazenados; restringir e supervisionar o acesso ao hardware de telecomunicaes ou instalaes.
162

auditoria_de_sistemas_informatiz22 22

22/12/2006 12:18:08

Auditoria de Sistemas Informatizados

j) Controles gerais: software de sistema


Quanto a restrio de acesso:

Existem polticas e procedimentos atualizados para a restrio do acesso ao software de sistema?

O auditor tem que prestar ateno nestes aspectos: o acesso ao software de sistema restrito a um nmero limitado de pessoas, cujas responsabilidades exijam este acesso. (programadores de aplicativos e usurios em geral no devem possuir autorizao de acesso ao software de sistema); os documentos com justicativa e aprovao da gerncia para o acesso ao software de sistema so mantidos em arquivo; o nvel de acesso permitido aos programadores de sistema periodicamente reavaliado pelos gerentes para ver se a permisso de acesso corresponde s necessidades de servio. Vericar a ltima vez que o nvel de acesso foi revisto.
Existem polticas e procedimentos documentados e atualizados para o uso de utilitrios do software de sistema?

Dentro do servio de auditoria, o auditor deve prestar ateno nos seguintes pontos: as responsabilidades no uso de utilitrios de sistema foram claramente denidas e compreendidas pelos programadores de sistema; as responsabilidades pela superviso do uso de utilitrios de sistema esto denidas e so exercidas pela gerncia de informtica;

Unidade 5

163

auditoria_de_sistemas_informatiz23 23

22/12/2006 12:18:08

Universidade do Sul de Santa Catarina

o uso de utilitrios de sistema registrado em relatrios produzidos pelo software de controle de acesso ou outro mecanismo de registro de acesso; os registros de acesso ao software de sistema e aos seus utilitrios so periodicamente examinados pela gerncia de informtica e atividades suspeitas ou no usuais so investigadas; revises gerenciais so efetuadas para determinar se as tcnicas de superviso do uso do software de sistemas esto funcionando como previsto e mantendo os riscos dentro de nveis aceitveis (avaliaes peridicas dos riscos).
Existem polticas e procedimentos atualizados para identificar, selecionar, instalar e modificar o software de sistema, bem como identificar, documentar e solucionar problemas com este software?

A implantao de novas verses do software de sistema ou seus utilitrios segue procedimentos de segurana, que incluem: justicativa documentada para a alterao; realizao de testes conduzidos num ambiente prprio e no no ambiente de operao normal; parecer tcnico sobre os resultados do teste; reviso dos resultados dos testes e das opinies documentadas, plo gerente de TI; autorizao do gerente de TI para colocar a nova verso do software de sistema em uso.

Como realizar controles de aplicativos?

164

auditoria_de_sistemas_informatiz24 24

22/12/2006 12:18:09

Auditoria de Sistemas Informatizados

Acompanhe a lista de vericaes do auditor: existem procedimentos documentados para a insero de dados na aplicao; os documentos ou telas de entrada garantem a entrada de dados de maneira exata e consistente; os campos de dados de preenchimento obrigatrio so facilmente identicveis na tela; existem padres para as telas de entrada, quando a sua apresentao, disposio dos campos e acionamento de teclas. rotinas de preparao dos dados (batch) existem rotinas para a preparao dos dados a serem preenchidos em cada documento; h pessoas claramente identicadas como responsveis pela preparao, reviso e autorizao da entrada de dado; existem rotinas escritas para cada atividade do processo de preparao de dados, com instrues claras e adequadas; no caso de aplicativos em que a entrada de dados ocorre em terminais ou microcomputadores, h procedimentos de segurana para o uso, manuteno e controle de cdigos de identicao do operador e do terminal ou estao de trabalho; os cdigos de identicao do operador e do terminal so checados no processo de autorizao de entrada de dados; existem procedimentos documentados para que, em caso de transmisso eletrnica de documentos, a rota utilizada e os procedimentos de autorizao sejam registrados; os microcomputadores e terminais usados pela organizao para entrada de dados esto localizados em salas sicamente seguras;

Unidade 5

165

auditoria_de_sistemas_informatiz25 25

22/12/2006 12:18:09

Universidade do Sul de Santa Catarina

as rotinas de entrada de dados da organizao asseguram que esta atividade s pode ser executada por funcionrios com determinado nvel de acesso.

Como realizar verificaes para aplicaes com entrada de dados batch?

Vericaes para aplicaes com entrada de dados batch: a aprovao da entrada de dados est limitada aos indivduos especicados pela organizao em documento escrito; pessoal responsvel pela autorizao da entrada de dados no executa outras tarefas incompatveis pelo princpio da segregao de funes (v. Segregao de Funes nos Controles Gerais).

Como realizar verificaes na entrada de dados on-line?

Na entrada de dados on-line deve-se vericar se: existem controles lgicos e fsicos nos pontos de acesso (terminais ou microcomputadores) para preveno e deteco de entrada de dados no-autorizados; foram instalados mecanismos de segurana para gerenciar a autorizao de acesso s transaes on-line e aos registros histricos associados; os mecanismos de segurana da organizao garantem que todas as tentativas de acesso, com ou sem sucesso, so gravadas em logs que registram data e hora do evento de acesso e identicam o usurio e o ponto de acesso.

166

auditoria_de_sistemas_informatiz26 26

22/12/2006 12:18:09

Auditoria de Sistemas Informatizados

Na reteno de documentos de entrada (sistema batch) deve ser vericado se: os documentos originais so retidos pela organizao por um determinado perodo de tempo com intuito de facilitar a recuperao ou reconstruo de dados; existem procedimentos documentados para reteno de documentos na organizao; os documentos cam retidos por tempo suciente para permitir a reconstruo de dados, caso sejam perdidos durante a fase de processamento; os documentos so mantidos em arquivos organizados, para fcil recuperao; o departamento que originou os documentos mantm cpias dos mesmos; somente as pessoas devidamente autorizadas tm acesso aos documentos arquivados; existem procedimentos documentados para remover e destruir os documentos quando expirado o tempo de tenso e se estes so obedecidos.
A organizao deve estabelecer rotinas que assegurem que os dados de entrada so validados e editados de forma a espelharem corretamente os documentos originais.

Nesse interim, vericar se: existem procedimentos documentados que denem o formato dos dados para assegurar a entrada deles no campo correto e com o formato adequado; nas rotinas de entrada de dados existem informaes de ajuda (help) para facilitar a entrada de dados e reduzir o numero de erros;

Unidade 5

167

auditoria_de_sistemas_informatiz27 27

22/12/2006 12:18:09

Universidade do Sul de Santa Catarina

existem mecanismos para a validao, edio e controle da entrada de dados (terminais inteligentes ou software dedicado a esta funo); os campos essenciais para o correto processamento posterior dos dados so de preenchimento obrigatrio; existem rotinas para detectar, rejeitar e impedir a entrada de dados incorretos no sistema; a validao dos dados executada em todos os campos relevantes do registro ou tela de entrada; As rotinas de validao de dados testam a presena de: Cdigo de aprovao e autorizao; Dgitos de vericao em todas as chaves de identicao; Dgitos de vericao ao nal de uma seqncia (string) de dados numricos; Cdigos vlidos; Valores alfanumricos ou numricos vlidos; Tamanhos vlidos de campo; Campos combinados; Limites vlidos, razoabilidade dos valores ou faixa de valores vlidos; Campos obrigatrios preenchidos; Smbolos; Registros de entrada completes; Campos repetitivos, eliminando a necessidade da entrada dos mesmos dados mais de uma vez.

A organizao utiliza totais de controle de processamento em lote (batch), gerados pelos terminais de entrada de dados ou pelo software dos microcomputadores, para assegurar que todos os dados enviados em lote foram recebidos corretamente.
168

auditoria_de_sistemas_informatiz28 28

22/12/2006 12:18:09

Auditoria de Sistemas Informatizados

A rotina de entrada de dados da organizao estabelece um registro histrico dos dados, proporcionando uma trilha de auditoria.
A organizao deve estabelecer rotinas para correo e re-submisso de dados de entrada incorretos.

Para tal necessrio vericar se: existem rotinas para identicao, correo e resubmisso de dados incorretos. a rotina de entrada de dados possui procedimentos automticos ou manuais que permitem que dados errneos sejam prontamente corrigidos e re-submetidos; existe controle sobre os erros ocorridos na entrada de dados, sendo possvel identic-los justamente com as medidas que foram tomadas para corrigi-los e qual o tempo transcorrido entre a sua ocorrncia e sua correo; as mensagens de erro geradas pela rotina de entrada de dados so sucientemente claras e fceis de serem entendidas pelo usurio do terminal ou microcomputador, facilitando a correo e a submisso dos dados. A organizao possui um grupo de controle responsvel pelas seguintes atividades: investigar e corrigir qualquer problema operacional no terminal, microcomputador ou outro dispositivo de entrada de dados; assegurar que os procedimentos de reinicializaro so executados de maneira apropriada; monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar; investigar qualquer desvio dos procedimentos de entrada de dados preestabelecidos;

Unidade 5

169

auditoria_de_sistemas_informatiz29 29

22/12/2006 12:18:09

Universidade do Sul de Santa Catarina

os recursos computacionais e humanos disponveis para a entrada de dados garantem que estes sejam inseridos tempestivamente.
Como realizar controle do desenvolvimento de sistemas?

Uma questo importante a auditar se foi desenvolvida uma metodologia de desenvolvimento de sistemas que: fornece uma abordagem estruturada de desenvolvimento, compatvel com os conceitos e prticas geralmente aceitos, incluindo o envolvimento ativo dos usurios durante o processo; sucientemente documentada, sendo capaz de oferecer orientao a funcionrios com diversos nveis de conhecimento e experincia; oferece meios de controlar mudanas nos requisitos de projeto que ocorram durante a vida do sistema; inclui requisitos de documentao; o pessoal envolvido no desenvolvimento e teste de software foi treinado para utilizar a metodologia de desenvolvimento adotada pela entidade; solicitaes de alterao de sistemas so documentadas e submetidas aprovao tanto dos usurios do sistema quanto do DTI; os softwares de domnio pblico ou de uso pessoal so objetos de polticas restritivas ( importante que a entidade tenha polticas claras com respeito ao uso de softwares de domnio publico ou de propriedade pessoal do funcionrio do trabalho). Permitir aos funcionrios que utilizem seus prprios softwares ou mesmo disquetes para armazenamento de dados que foram usados em outro lugar, aumenta os riscos de introduo de vrus, de violao de patentes e de processamento errado de dados, causado pela utilizao de programas inadequados.

170

auditoria_de_sistemas_informatiz30 30

22/12/2006 12:18:09

Auditoria de Sistemas Informatizados

O auditor deve verificar a existncia de procedimentos de alteraes de emergncia documentados.

As alteraes de emergncia so: documentadas e aprovadas pelo supervisor de operao; formalmente relatadas gerncia de operao para as providncias necessrias; aprovadas, ainda que depois de realizadas pelos gerentes de desenvolvimento proprietrio do sistema. No que diz respeito ao banco de dados, analisar e vericar se foram claramente denidas e documentadas as responsabilidades relacionadas administrao de dados, tais como: coordenao da manuteno dos dados (denio, criao, excluso e propriedade dos dados); estabelecimento de polticas de acesso, condencialidade e integridade de dados; manuteno da documentao; coordenao entre administrao de dados, usurios e programao de sistemas; desenvolvimento e manuteno de padres. O pessoal responsvel pelas atividades de administrao de dados possui as habilidades e conhecimentos tcnicos necessrios para execut-las.
Verificar se foram claramente definidas e documentadas as responsabilidades relacionadas administrao de banco de dados.

Unidade 5

171

auditoria_de_sistemas_informatiz31 31

22/12/2006 12:18:10

Universidade do Sul de Santa Catarina

Tais como: projeto e manuteno da estrutura da base de dados; reviso e avaliao da conabilidade do sistema gerenciador de banco de dados; avaliao do pessoal encarregado das funes de banco de dados; treinamento do pessoal responsvel pela administrao de banco de dados; segurana de dados; o pessoal responsvel pelas atividades de administrao de banco de dados possui as habilidades e conhecimentos tcnicos necessrios para execut-las; as atividades de administrao de banco de dados so armazenadas em registros histricos e periodicamente analisadas por um supervisor; o plano de treinamento em linguagens de acesso a banco de dados adequado.

Como realizar Controle das redes de computadores?

A escolha da plataforma de rede para a organizao foi precedida de uma anlise de custo/benefcio fundamentada em elementos sucientes para justicar a alternativa adotada. O plano de implantao de processamento em rede contempla: participao dos usurios; riscos da converso dos sistemas; as diferentes necessidades de processamento dos usurios das diversas localidades; testes de aceitao a serem executados pelo DTI (Departamento de Tecnologia da Informao), pelo controle de qualidade e por usurios selecionados.
172

auditoria_de_sistemas_informatiz32 32

22/12/2006 12:18:10

Auditoria de Sistemas Informatizados

Ao auditor, cabe vericar se: os procedimentos de controle do processamento em rede so testados e avaliados periodicamente; existem procedimentos documentados que denem as atividades permitidas no ambiente de rede; os procedimentos de operao da rede foram distribudos aos usurios de cada departamento; foi estabelecido um mecanismo para garantir a compatibilidade de arquivos entre as aplicaes, na medida do tamanho e complexidade da rede; foi estabelecida uma poltica de auditoria e de backup para a rede. existem procedimentos documentados e responsabilidades atribudas para as atividades de inicializao (start-up), superviso e uso da rede e recuperao de defeitos de funcionamento do hardware. Vericar se o DTI possui polticas, procedimentos e padres documentados, atualizados e divulgados para o pessoal responsvel, cobrindo as seguintes reas: descrio resumida de cada aplicativo rodando na rede; procedimentos de operao (tais como startup e shutdown); gerncia de tas e discos; cpias de segurana (backup); procedimentos de emergncia; planejamento de contingncia. Os departamentos de usurios devem manter um inventrio atualizado dos equipamentos de rede que se encontrem em seu local de trabalho e revisar periodicamente a eccia das prticas de segurana adotada.

Unidade 5

173

auditoria_de_sistemas_informatiz33 33

22/12/2006 12:18:10

Universidade do Sul de Santa Catarina

Os procedimentos de segurana devem estar adequados para proteger os recursos fsicos da rede e a integridade do software do aplicativo e dos dados armazenados, e devem ser periodicamente revisados (v. tambm Programa Geral de Segurana e Controles Gerais: Controles de Acesso). O grupo responsvel pela segurana da rede confere periodicamente se a documentao de segurana est devidamente atualizada e reavalia, com a freqncia suciente, a adequao dos controles de segurana: do hardware de comunicao e estaes de trabalho; do sistema operacional; dos aplicativos relevantes.
Um ponto interessante de se verificar se existe segregao de funes adequada entre gerncia de funes, entre gerncia de rede e gerncia de segurana, pois isto denota uma rede organizada e segura.

Na existncia da gerncia de segurana, vericar a existncia de trilhas de auditoria, informando atividades tais como: login/out (local, hora e data, identicao do usurio); tipo de acesso (discado, por estao de trabalho, etc.); tentativas de acesso invlidas (local, hora e data, ID). E, por m, no esquea que usurios devem conseguir acesso aos discos, volumes, diretrios e arquivos somente para os quais possuem autorizao. As tentativas de acesso devem ser contabilizadas de forma que aps um determinado nmero de tentavias falhas, exista o travamento da conta do usurio. Ainda restam a conta de usurio, que dever ser pessoal e intransfervel, e a senha dessa conta. Uma tima dica estabelecer pers de acesso para os usurios, que denam os recursos, dados, aplicaes, transaes e

174

auditoria_de_sistemas_informatiz34 34

22/12/2006 12:18:10

Auditoria de Sistemas Informatizados

comandos autorizados, de acordo com as responsabilidades dos respectivos cargos. Uma vez que voc nalizou a leitura criteriosa desta unidade, realize as atividades propostas e pratique os novos conhecimentos.

Atividades de auto-avaliao
Leia com ateno os enunciados e realize as atividades: 1) Das inmeras tcnicas de auditoria, quais delas so utilizadas em ambientes de produo, rodando em paralelo e que no comprometem a sada de dados ou informaes?

2) O que determina o controle de sofware de sistemas?

Unidade 5

175

auditoria_de_sistemas_informatiz35 35

22/12/2006 12:18:10

Universidade do Sul de Santa Catarina

3) Que cuidados a organizao deve ter no que diz respeito demisso de um funcionrio?

Sntese
Nesta ltima unidade, voc conheceu algumas das mais usadas tcnicas de auditorias, como test-deck, ITF, entre outras. Tambm conheceu os parmetros necessrios para uma rede segura. Voc viu que a utilizao da tecnologia da informao para a manipulao e armazenamento de dados introduz novos riscos para o controle, acrescentando outras variveis s questes relacionadas segurana e por conseqncia ao trabalho de auditoria. Muitas vezes, redes corporativas bem estruturadas acabam esbarrando em falhas internas, de usurios no preparados para utilizar os sistemas ali instalados. Um bom comeo de estruturao de uma poltica de segurana a conscientizao dos usurios por parte do pessoal responsvel pela segurana de dados. Educar a melhor poltica que pode ser aplicada organizao, principalmente se apoiada pela classe executiva da empresa. A segurana no um projeto e sim um processo, portanto deve ser revista constantemente. Deve-se ter na equipe pessoas alertas e informadas de falhas de sistemas operacionais, gerenciadores de bancos de dados, dispositivos de redes locais e de longa distncia (LAN / WAN) que sejam sempre proativos em possveis incidentes.
176

auditoria_de_sistemas_informatiz36 36

22/12/2006 12:18:10

Auditoria de Sistemas Informatizados

Poltica de segurana a linha de defesa contra qualquer ataque, um documento importantssimo na organizao e deve ser conhecido por todos os funcionrios. Utilizando esta mesma analogia, a auditoria ser o procedimento para que esta linha de defesa que sempre rme, sem causar danos ao cliente. E tambm, por este motivo ela deve ser realizada periodicamente.

Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder pesquisar os seguintes livros: MARCIAL, Elaine Coutinho. GRUMBACH, Raul Jos dos Santos. Cenrios Prospectivos: como construir um futuro melhor. Rio de Janeiro: Editora FGV, 2002. MARCY, Jos de Campos Verde. Foco na Gesto da Segurana Empresarial. Revista Proteger, S.Paulo, nmero 31, pg. 41 at 43, 2000. PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threats and Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies. Pinkerton Service Corporation, 2002.

Unidade 5

177

auditoria_de_sistemas_informatiz37 37

22/12/2006 12:18:10

auditoria_de_sistemas_informatiz38 38

22/12/2006 12:18:11

Para concluir o estudo


Parabns! Voc acaba de concluir os estudos da disciplina de auditoria em sistemas informatizados. O conhecimento adquirido por voc de suma importncia para sua carreira prossional, pois os ltimos anos provocaram uma grande mudana no papel do auditor. De mero scalizador de processos, ele tornou-se um prossional com participao estratgica no desenvolvimento da competitividade da empresa. Hoje o papel do auditor vai muito alm de simplesmente identicar problemas. Ele tem que conhecer a empresa e atuar, no sentido de corrigir as falhas existentes dentro do processo de gesto da informao. Com isso, ele ajuda no desenvolvimento da organizao e contribui para o aperfeioamento de sua competitividade. O Conhecimento de auditoria em sistema de informao garante a qualidade dos servios prestados pelo DTI, ajuda no aprimoramento dos controles internos, permite a deteco de fraudes, cada vez mais comuns no ambiente corporativo e aprimora o desenvolvimento das pessoas. Enm, um servio que contribui muito para o desenvolvimento da empresa. Por m, esperamos que o perodo dedicado a estudar esta disciplina tenha despertado o interesse em prosseguir na busca de novos conhecimentos sobre a auditoria em sistemas de informao. Voc ver que novos horizontes se abriro em seu futuro acadmico e prossional. Bom estudo e um grande abrao. Davi e Ablio

auditoria_de_sistemas_informatiz1 1

22/12/2006 12:18:11

auditoria_de_sistemas_informatiz2 2

22/12/2006 12:18:11

Referncias
BOSWORTH, Seymor. E KABAY, M. E. Computer Security Handbook. Wiley, 2002 BREHMER, Larcio. Poltica de Segurana da Informao no CIASC. 2003. Dissertao (Ps-graduao em Cincia da Computao), Universidade do Vale do Itaja, So Jos. CARISSIMI, Leonardo. Segurana da Informao agrega valor? Modulo E-Security Magazine. Agosto 2001. CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurana de Informtica e de Informaes. SENAC. 1999. CRONIN, Mary. Global Advantage on the Internet. New York. Nostrand Reynholdsm, 1996. CASANAS, Alex D. G. e MACHADO, Csar de S. O impacto da implementao da Norma NBR ISO/IEC 17799 Cdigo de prtica para a gesto da Segurana da Informao nas Empresas. UFSC. 2000. CETEC. Comit Estadual de Tecnologia da Informao. Disponvel em www.cetec.sc.gov.br. CSI/FBI 2005. Computer Crime and Security Survey. Disponvel em http://www.gocsi.com . DIAS, Claudia. Segurana e Auditoria da Tecnologia da Informao. Axel Books. 2000. FERREIRA, Fernando N. F. Segurana da informao em ambientes informatizados. Rio de Janeiro: Cincia Moderna, 2003. JACOMINO. D. Voc um profissional tico? Voc S.A., So Paulo, v.3, n.25, p.28-37, jul. 2000. MARCIAL, Elaine Coutinho e GRUMBACH, Raul Jos dos Santos. Cenrios Prospectivos: Como Construir um Futuro Melhor. Rio de Janeiro: Editora FGV, 2002.

auditoria_de_sistemas_informatiz3 3

22/12/2006 12:18:11

Universidade do Sul de Santa Catarina

MARCY, Jos de Campos Verde. Foco na Gesto da Segurana Empresarial. Revista Proteger, S.Paulo, nmero 31, pg. 41 43, 2000. MARTINELLI. Noes de Auditoria de Sistemas. Unicamp. 2002. MARINHO, Fernando. Como proteger e manter seus negcios. 1. ed. Rio de Janeiro: Campus, 2003. MDULO SECURITY SOLUTIONS. 9 Pesquisa Nacional sobre Segurana da Informao. Disponvel em http://www.modulo.com. br. NAVARRO, P. L. tica na informtica. [on line] Disponvel em http:// www.pr.gov.br/celepar/celepar/batebyte/edicoes/1996/bb60/etica. htm. NBR ISO/IEC 17799. Tecnologia da Informao. Cdigo de Prtica para a gesto de segurana de informao. ABNT. 2001. NEUMANN, Seev. Strategic Information Systems: Competition through Information Technologies. New York: Macmillan College Publishing Co., 1994. O`BRIEN, James A. Sistemas de Informao e as Decises Gerenciais na era da Internet. Saraiva, 2002. PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threats and Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies, Pinkerton Service Corporation, 2002. PURPURA, Philiph. Security and Loss Prevention : An Introduction. Boston: Butterworth Heinemann, 3 edio, 1998. RFC-2828. Request for Coment: Internet Security Glossary. Disponvel em http://www.ietf.org/rfc/rfc2828.txt. ROPER, Carl A. Risk Management for Security Professionals. Boston: Butterworth Heinemann, 1999. ROSENTAL, M. Pequeno dicionrio filosfico. So Paulo: Editora Poltica do Estado,1959. 602p. SALDANHA, Fernando. Introduo a planos de continuidade e contingncia operacional. 1. ed. Rio de Janeiro: Papel Virtual, 2000. SENNEWALD, Charles A. Effective Security Management Boston:

182

auditoria_de_sistemas_informatiz4 4

22/12/2006 12:18:11

Auditoria de Sistemas Informatizados

Butterworth Heinemann, 3 edio, 1998. SEGURANA. Segurana Mxima: O Guia Completo de um Hacker para proteger o seu site na Internet e sua rede. Rio de janeiro. Campus. 2000. SPYMAN. Manual Completo do Hacker. Book Express. 2000. SROUR, R. H. Poder, cultura e tica nas organizaes. Rio de Janeiro: Campus, 1998. 340p. TOP 10: Os vrus que mais atacaram. Security Magazine. So Paulo. n. 25, Julho de 2004. Disponvel em http://www.securitymagazine. com.br.

183

auditoria_de_sistemas_informatiz5 5

22/12/2006 12:18:11

auditoria_de_sistemas_informatiz6 6

22/12/2006 12:18:11

Sobre os professores conteudistas


Abilio Bueno de Oliveira Neto bacharel em Cincia da Computao, formado pela Universidade do Sul de Santa Catarina UNISUL. Atualmente mestrando em Engenharia do Conhecimento na Universidade Federal de Santa Catarina UFSC. engenheiro de sistemas operacionais certicado pela Microsoft e pela IBM. tambm certicado LPI e Citrix. Possui 12 anos de experincia na rea tecnologia, 8 deles dedicados rea de segurana de informao Atualmente, trabalha como Arquiteto de Solues e Auditor de Sistemas de Informao em uma IBM Business Premier Partner chamada POWERSolutions, em Florianpolis.

Davi Solonca bacharel em Administrao de Empresas pela Universidade Federal de Santa Catarina em 1987. Defendeu sua dissertao de Mestrado em 1994, com o ttulo Valores e crenas dos dirigentes patrimoniais e prossionais que inuenciam a prossionalizao de empresas familiares. Natural de So Paulo SP, radicado em Santa Catarina desde 1978. Concursado em 1984 no Tribunal de Contas de Santa Catarina. Exerceu Cheas do Controle Externo no Tribunal de Contas. Fez parte de vrias Comisses: Anlise das Prestaes de Contas do Governo do Estado por mais de 10 anos (1992 a 2004); Comisso que analisou as Letras Financeiras do Tesouro do Estado de SC; Auditoria da Dvida Pblica de 1992 a 2002; Realizou diversas auditorias externas nos rgos pblicos como Secretaria de Estado da Fazenda, Procuradoria Geral do Estado, Secretaria de Estado da Administrao referente ao controle e cobrana da Dvida Ativa do Estado; Auditorias de Gesto; Auditoria no oramento pblico estadual, nanas pblicas, LRF. Auditoria dos Convnios efetuados pelo Estado com Prefeituras Municipais; Analisou a antecipao de

auditoria_de_sistemas_informatiz7 7

22/12/2006 12:18:11

recursos atravs das Subvenes e Auxlios a Entidades Civis e rgos Estaduais. Professor da Unisul desde 1998, do curso de Cincia da Computao e de Sistemas de Informao, ministra as disciplinas de Auditoria de Sistemas e Administrao e Sistemas, respectivamente; na Ps-graduao curso de Especializao de Auditoria Governamental e Responsabilidade Fiscal e nas Faculdades Energia: Finanas Pblicas e Oramento Pblico e matrias ans de Administrao.

auditoria_de_sistemas_informatiz8 8

22/12/2006 12:18:12

Respostas e comentrios das atividades de auto-avaliao


A seguir, acompanhe as respostas sobre as atividades de autoavaliao apresentadas ao longo de cada uma das unidades desta disciplina. Para o melhor aproveitamento do seu estudo, confira suas respostas somente depois de realizar as atividades propostas.

Unidade 1
Respostas: 1) Basicamente, problemas com a integridade, o carter confidencial e a disponibilidade das informaes. 2) Palavras-chaves para esta resposta so: proteo de investimento de TI, aumento dos nveis de segurana de informaes, aderncia a alguma norma de segurana, exigncia de parceiros de negcio, garantir a continuidade dos negcios. 3) Palavras-chaves que contm a resposta correta so: facilidade de acesso a informaes confidenciais dentro de uma corporao, a fraude simples pelo motivo de dinheiro, a insubordinao perante superiores ditos como incompetentes, o prazer de ter burlado a segurana de algum alvo desprotegido, insatisfao com o emprego.

Unidade 2
Respostas: 1) A tendncia de sempre se aprimorar, pois com o advento da informtica, coletar dados, mesmo no caso de uma auditoria de finanas muito mais complexo do que antigamente, forando o auditor a sempre se atualizar no que diz respeito a softwares financeiros, sistemas informatizados de auditorias, entre outras tecnologias. 2) Antes da assinatura do contrato, uma proposta comercial deve ser apresentada empresa contratante de forma que se saiba do escopo de trabalho, ou seja, todas as responsabilidades da

auditoria_de_sistemas_informatiz9 9

22/12/2006 12:18:12

Universidade do Sul de Santa Catarina

empresa contratada e da contratante, para que, no final dos servios, possa se fazer um processo de Quality Assurance da auditoria em si, ou seja, uma medio do que foi proposto e do que foi realizado. A empresa que contratar os servios de auditoria de terceiros deve ter o cuidado de escolher a empresa contratada seguindo algumas caractersticas como: tempo que a empresa est no mercado, se a empresa possui um plano de atualizao permanente dos auditores, se a empresa no possui muitas queixas ou processos de clientes, verificar a carteira de clientes da empresa, entre outras caractersticas. Na hora da assinatura do contrato, lembrar de ler a parte que fala sobre o sigilo de contrato, que imprescindvel para um contrato de servios de auditoria, pois se a empresa contratada no for de boa ndole, o auditor pode vazar informaes para concorrentes, especialmente se ele presta servios para ambas as empresas. Verificar se a norma ou padro adotado pela empresa uma norma de grande aceitao no mercado. Verificar se a empresa est atualizada no que concerne s ltimas mudanas do mundo contbil, financeiro ou tecnolgico. OBS: So 4 itens que devem ser cuidados no que se refere ao cliente, porm se voc se lembrar de pelo menos trs, j est valendo! 3) Um dos principais motivos de se dar importncia organizao desse projeto, que as empresas de auditorias possuem recursos humanos escassos o que faz com que seu tempo seja gerenciado com muito critrio. Sua presena para execuo de alguma tarefa s definida nos caso em que sua atuao seja realmente necessria

Unidade 3
Respostas: 1) A funo dessa anlise obter uma medida da segurana existente em determinado ambiente informatizado. A primeira considerao relacionada com segurana de ativos de informaes, como qualquer outra modalidade de segurana, a relao custo-benefcio. No se gasta dinheiro em sistemas de segurana ou servios que no tenham retorno ou que ao menos no garantam algum retorno de investimento, isto , no se gasta mais dinheiro em proteo do que o valor do ativo a ser protegido. 2) Basicamente, uma poltica de segurana tem como objetivos preservar os ativos de informao da corporao, garantindo o carter confidencial, integridade e disponibilidade da informao. O carter confidencial garante que a informao ser acessada somente pelo grupo de pessoas autorizadas. Integridade para garantir que a informao estar intacta, sem distores ou possveis corrupes de dados. Disponibilidade para garantir que a informao estar sempre disponvel ao usurio.

188

auditoria_de_sistemas_informatiz10 10

22/12/2006 12:18:12

Auditoria de Sistemas Informatizados

3) Os controles so formas de proteger a informao contra desastres, sinistros ou at mesmo ataques externos ou internos. Eles podem ser lgicos, fsicos ou ambientais. Um bom exemplo de um controle de acesso lgico, so os programas de antivrus. Quanto aos controles de acessos fsicos, temos as salas-cofre, autenticao biomtrica para acesso ao datacenter, entre outros. Por sua vez, como exemplo de controles ambientais, temos os equipamentos de condicionador de ar, sistemas de preveno a incndios, amortecedores contra terremotos, entre outros.

Unidade 4
Respostas: 1) A Anlise de Impacto no Negcio permite quantificar o valor das perdas que podem ser causadas por incidentes de segurana da informao, considerando os aspectos de carter confidencial, integridade e disponibilidade. Os resultados da Anlise de Impacto no Negcio do suporte ao planejamento estratgico de segurana, permitindo priorizar os investimentos nos pontos mais crticos, ou seja, aqueles que podem gerar as maiores perdas para a empresa. 2) Elas so bem distintas, basicamente a estratgia Hot Site muito mais eficiente e eficaz, porm muito mais cara. O que vai diferenciar a escolha basicamente a anlise de impacto e a anlise de riscos que vo apontar a medida de segurana do ambiente e onde se encontra o calo da estrutura. 3) Em um ambiente informatizado, as formas de ameaas mudam todos os dias, cada vez mais aprimoradas. Da mesma forma, o plano de continuidade de negcios deve estar sempre atualizado para ser til. Outro fato que a manuteno do plano pode acusar falha de processo, que podem ser corrigidas para aumentar a eficcia do plano.

Unidade 5
Respostas: 1) ITF Integrated Test Facility 2) Essa categoria de controle tem como parmetro limitar e supervisionar o acesso aos programas e arquivos crticos do ambiente computacional do cliente, com o objetivo de proteger as aplicaes presentes. 3) Procedimentos como a devoluo de crachs, chaves, excluso do login do usurio, definio de perodo de sigilo que um ex-funcionrio deve cumprir, entre outros.

189

auditoria_de_sistemas_informatiz11 11

22/12/2006 12:18:12

auditoria_de_sistemas_informatiz12 12

22/12/2006 12:18:12