Download - Aula 8 - Segurança e Auditoria de Sistemas - Auditoria Em Sistemas de Informação - Turma B
Análise e Desenvolvimento de Sistemas
4º semestre Turma A
Aula nº 08
Prof. Paulo Rangel
Segurança e Auditoria de Sistemas
Fundamentos em Auditoria de SI
Segurança e Auditoria de Sistemas
Conteúdo Previsto
AUDITORIA EM SISTEMAS DE INFORMAÇÃO:
Fundamentos em Auditoria de SI
Metodologia de Auditoria de SI
Ferramentas e Técnicas de Auditoria de SI
Melhores práticas de Auditoria de SI
Auditoria no processo de aquisição, desenvolvimento, manutenção de SI
Auditoria no processo ou metodologia de desenvolvimento de SI.
Auditoria de SI em produção
Fundamentos em Auditoria de SI
Fundamentos em Auditoria de SI
Auditoria de Sistemas deve proporcionar a organização:
Adequação,
Revisão,
Avaliação e
Recomendações para o aprimoramento dos seus SI
Avaliando também:
O uso dos recursos humanos,
Materiais e
Tecnológicos envolvidos no processamento dos mesmos.
Fundamentos em Auditoria de SI
Deve oferecer evidências que os SI´s:
Suportam adequadamente os ativos de
negócios,
Mantendo a integridade dos dados,
Alcançando os objetivos esperados,
Utilizando eficientemente os recursos e,
Cumprindo com as regulamentações e leis
estabelecidas
Fundamentos em Auditoria de SI
Deve envolver todos os sistemas da empresa:
Operacional,
Tático ou
Estratégico.
Fundamentos em Auditoria de SI
O COBIT coloca que os objetivos da Auditoria de SI´s devem
considerar:
Efetividade,
Eficiência,
Confidencialidade,
Integridade,
Disponibilidade,
Compliance,
Confiança.
Integridade: Correção e completude evidenciados
Confidencialidade: Só pessoas autorizadas acessam;
Privacidade: Funções incompatíveis estão segregadas. Somente se acessa o que é necessário
Acuidade: As transações podem ser validadas. Consistência na entrada de dados
Disponibilidade: Sistema acessível quando necessário
Auditabilidade: Logs e trilhas de auditoria
Versatilidade: Deve ser amigável e flexível as mudanças
Manutenibilidade: Controles e procedimentos em sua manutenção (contaminação, remendos, etc.)
Objetivos Globais da Auditoria de SI
Durante o desenvolvimento de sistemas
Auditar a construção desde os requisitos até a implantação, incluindo o
desenvolvimento (ISO 15408);
Tipos de Auditoria
Tipos de Auditoria
Sistemas em Produção
Quanto aos resultados, segurança, correção e tolerância a falhas;
Resultados Segurança Correção Tolerância a
Falhas
Tipos de Auditoria
Ambiente Tecnológico
Estrutura Organizacional
Contratos Normas Técnicas Custos Uso de Equipamentos
Planos de Contingência e
Segurança
Tipos de Auditoria
Eventos específicos
Análise de causas, consequências e ações necessárias em eventos não
cobertos em auditorias anteriores.
Metodologia de Auditoria em SI´s
Deve ser flexível, aderente as diversas modalidades da auditoria
em SI´s e alinhada as boas práticas de auditoria do mercado.
Recomenda-se as seguintes fases:
Metodologia de Auditoria em SI´s
Planejamento e controle do projeto de auditoria de SI´s:
A partir das diretrizes da Alta Direção, estabelecer ações, recursos
necessários;
Dois Grupos:
1º grupo com o corpo gerencial, definirá procedimentos e acompanhará;
2º grupo formado por auditores e técnicos de Informática que executam a auditoria
efetivamente;
Recomenda-se utilizar padrões de mercado como o PMBOK
Metodologia de Auditoria em SI´s
Levantamento do sistema de informação a ser auditado:
Definido o escopo do trabalho, levanta-se as informações
necessárias sobre o sistema a ser auditado;
Levantamento macro através de entrevistas e análise da
documentação ;
Ferramentas uteis podem ser DFD, MER, Dicionário de dados,
use cases, diagramas de classe e sequência, diagramas de
integração de sistemas (explicam o seu funcionamento)
Define a abrangência da auditoria;
Metodologia de Auditoria em SI´s
Identificação e Inventário dos Pontos de Controle:
Podem ser identificados em documentos de entrada, relatórios de saídas,
telas, arquivos, BD´s, integrações, etc.
Devem ser relacionados e descritos quanto ao controle interno e funções
que exercem no sistema ;
Identificar parâmetros, pontos fracos e técnicas de auditoria adequadas a
sua validação;
Este trabalho deve ser validado pelo grupo de coordenação do Projeto de
Auditoria.
Metodologia de Auditoria em SI´s
Priorização e seleção dos pontos de controle do SI auditado:
Selecionar e priorizar pontos definidos na etapa anterior
baseados em:
Grau de risco do ponto: Prejuízos que podem gerar no
sistema a curto, médio e longo prazo
Existência de ameaças: Priorizar os sob forte ameaça;
Disponibilidade de recursos: Pontos que podem ser
auditados com os recursos disponíveis;
Reavaliar a priorização ao longo do trabalho para
confirmar a ordenação estabelecida;
Metodologia de Auditoria em SI´s
Avaliação dos pontos de controle:
É a auditoria em si!
Nos testes devem ser aplicadas técnicas adequadas a cada ponto
de controle que evidenciem falhas ou fraquezas.
Metodologia de Auditoria em SI´s
Conclusão da Auditoria:
Elaborar relatório com os resultados, qualquer que seja, refletindo o diagnóstico dos pontos de controle;
As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas recomendações para sua solução ou mitigação;
Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e usuários responsáveis.
Metodologia de Auditoria em SI´s
Acompanhamento da Auditoria:
O (follow-up) acompanhamento da auditoria deve ser realizado
até que todas as recomendações tenham sido executas e as
fraquezas eliminadas ou mitigadas em um nível aceitável pela
organização.
Ferramentas de Auditoria em SI´s
Aliados para a extração, classificação e seleção de dados e transações a serem
validadas, apoiando na evidenciação de discrepâncias e desvios.
Esta ferramentas podem ser categorizadas em:
Ferramentas Generalistas de auditoria de Tecnologia da Informação
Ferramentas Especializadas de auditoria
Programas utilitários em geral
Ferramentas de Auditoria em SI´s
Ferramentas generalistas de auditoria de Tecnologia da Informação:
Softwares que podem processar, simular, analisar amostras, gerar
estatísticas, sumarizar, apontar duplicidades e outras funções
necessárias ao auditor:
ACL (Audit Comand Language) – Software canadense para
extração e analise de dados;
www.acl.com
Ferramentas de Auditoria em SI´s
Ferramentas generalistas de auditoria de Tecnologia da Informação:
Pentana – Software de planejamento estratégico de auditoria, com
planejamento e monitoramento de recursos, controle de horas, check-
lists, programas de auditoria como desenho e gerenciamento de plano
de ação.
www.pentana.com
Ferramentas de Auditoria em SI´s
Ferramentas generalistas de auditoria de TI: Vantagens em utiliza-las:
Processar vários arquivos simultaneamente;
Processar arquivos em formatos diferentes;
Integração sistêmica com vários tipo de software e hardware;
Reduz a dependência do auditor em relação ao pessoal de TI
Desvantagens em utiliza-las:
Em geral podem ser utilizadas no ambiente online;
Por ser generalistas, podem não atender em casos mais complexos, que exijam, por exemplo, cálculos complexos.
Ferramentas de Auditoria em SI´s
Ferramentas especializadas de auditoria:
Desenvolvidos especificamente para executarem tarefas em
circunstâncias definidas. Desenvolvidos pelo auditor, por
especialista da empresa ou por terceiro contratado para isso.
Feito sob medida!
Taylor Made!
Ferramentas de Auditoria em SI´s
Vantagem em seu uso é atender
demandas especificas como Financeiro
(crédito imobiliário, leasing, cartão de
crédito, etc.) ou outras áreas de
mercado que assim o exijam;
Como desvantagens podemos
apontar o seu custo de
desenvolvimento e o processo de
atualização da ferramenta ao longo do
tempo.
Ferramentas de Auditoria em SI´s
Programas utilitários em geral:
Softwares utilitários de uso geral para classificar arquivos, concatenar
textos, sumarizar, gerar relatórios.
Sendo de uso geral, não possuem recursos necessários a auditoria como
p.e.: verificação de totais de controle ou gravação de trilhas de auditoria;
Vantagem: Esta em ser utilizado como uma solução alternativa na falta de
um recurso mais especifico;
Desvantagem: Haverá a necessidade de apoio do usuário e de TI.
Técnicas de Auditoria de SI´s
Técnicas de Auditoria, nada mais são do que as várias
metodologias adotadas para esse fim. Embora existam muitas,
procuramos focar em algumas delas como base para esta primeira
abordagem:
Dados de teste;
Facilidades de teste integrado;
Simulação paralela;
Lógica de auditoria embutida nos sistemas;
Rastreamento e mapeamento
Análise da lógica de programação
Técnicas de Auditoria de SI´s
Dados de teste:
Chamados também de test data ou testdeck, faz uso de dados especialmente
preparados com o objetivo de testar as funcionalidades de entrada de dados;
Implica em um volume e combinação abrangente de dados e normalmente é
utilizado em um ambiente batch ou de testes;
Vantagens: Não requer conhecimento de TI na sua elaboração e podem ser
utilizados softwares para isso;
Desvantagens: Dificuldade em conceber uma massa de testes que cubra
todas as combinações de transações possíveis no ambiente de negócios da
organização.
Técnicas de Auditoria de SI´s
Facilidade de teste integrado:
Chamado também de Integrated Test Facility, realizado em
ambientes online e realtime, quando os dados de testes são
introduzidos no ambiente de produção.
Envolve a introdução de funcionários fantasmas na folha
de pagamento ou de clientes fictícios no contas a receber.
Os dados do processamento são confrontados com os
dados fictícios e os resultados esperados.
Este procedimento é adotado sem anuência previa dos
operadores ou do gerente responsável pela produção.
Vantagens: Não implica em custo adicional ou ambiente
de testes exclusivo;
Desvantagens: Os efeitos das transações fictícias devem
ser estornados, causando trabalho extra e ainda existe o
risco de contaminar os dados reais de produção.
Técnicas de Auditoria de SI´s
Simulação paralela:
Envolve o uso de programa especialmente desenvolvido que comprovadamente, atenda a todas as lógicas necessárias para o teste, simulando as funcionalidades do programa em produção a partir das suas entradas.
Vantagens: Testes no local, não existem custos na preparação da massa de testes, processa todos os dados.
Desvantagens: Execução da simulação com o total de dados. Não existe analise especifica. Exige habilidade especifica do auditor sobre aquele tipo de sistema.
Técnicas de Auditoria de SI´s
Lógica de auditoria embutida nos Sistemas:
Inclui na fase de desenvolvimento a lógica de auditoria do sistema, para revisão e acompanhamento dos procedimentos operacionais.
Vantagens: Auditoria permanente com um simples acesso do auditor. Não apresenta restrições quanto a entrada de dados de testes. Método eficiente e eficaz de auditoria.
Desvantagens: Custo e tempo adicional no desenvolvimento. Exige mais recursos do servidor das estações dos usuários. Pode impactar em termos de desempenho.
Técnicas de Auditoria de SI´s
Rastreamento e mapeamento:
Chamada também de accountability, baseia-se na criação de uma trilha de auditoria para acompanhar os pontos críticos do sistema, registrando seu comportamento e resultado para uma analise futura.
Vantagens: Ajuda na avaliação dos controles internos; permite criar alertas quanto à aplicação de controles operacionais e seus cumprimentos; pode ser utilizado em ambiente de produção ou de teste.
Desvantagens: Exige que o auditor tenha habilidade avançada de TI e aumenta o tempo de processamento e consumo de espaço em disco no servidor.
Técnicas de Auditoria de SI´s
Análise da Lógica de Programação:
Trata-se da validação da lógica de programação para garantir que as
instruções dadas ao computador são as mesmas já identificadas nas
documentações dos sistemas aplicativos.
Esta técnica pode ser realizada manualmente nos sistemas principais ou mais
críticos para o negócio, ou pode ser realizada por programas / ferramentas
automatizadas.
Melhores práticas de Auditoria de SI´s
Falta de padrões para a auditoria de sistemas.
Razões para isso são:
a) A auditoria de SI entendida como parte da Auditoria Geral das
Organizações;
b) As normas de auditoria geralmente aceitas não tratam isoladamente a
auditoria de sistemas;
c) A auditoria de sistemas nunca foi encarada como uma carreira especifica
e sim como um avanço da auditoria normal para acompanhar a aplicação
de TI pelas organizações
Na falta de um padrão plenamente aceito para
auditoria de TI, algumas associações apresentam
regras para nortear a atuação de seus membros,
conforme segue.
Melhores práticas de Auditoria de SI´s
Comitê de Padrões da Associação de Controle e Auditoria de TI
A Associação de Controle e Auditoria de TI dos EUA recomenda aos seus membros o seguinte: Responsabilidade, autoridade e prestação de contas:
Deve ser documentada em uma carta proposta ou de aderência de escopo;
Independência Profissional: Deve ser independente da área sob auditoria para uma conclusão objetiva da auditoria;
Ética profissional e padrões: Adesão ao código de ética da Associação;
Competência – Deve manter-se em constante aprimoramento por educação continuada;
Melhores práticas de Auditoria de SI´s
Comitê de Padrões da Associação de Controle e Auditoria de TI Planejamento: Deve planejar suas atividades para assegurar
que os objetivos da auditoria sejam alcançados;
Emissão de relatório: Ao fim da auditoria deve emitido relatório contendo o escopo, objetivos, período de abrangência, natureza e extensão do trabalho executado, é necessário identificar a organização, os usuários desejáveis e eventuais restrições de circulação. Devem ser incluídas as observações, conclusões, recomendações e quaisquer ressalvas consideradas necessárias.
Atividades de Follow-Up: O Auditor de TI deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.
Melhores práticas de Auditoria de SI´s
Associação de Auditores de Sistemas e Controles (ISACA)
A ISACA em seu código de ética profissional recomenda que seus
membros observem:
Apoiar a implementação e encorajar o cumprimento com os padrões
sugeridos dos procedimentos e controles dos sistemas de informações
Exercer suas funções com objetividade, diligência e zelo profissional, de
acordo com os padrões profissionais e as melhores práticas;
Servir aos interesses dos stakeholders de forma legal e honesta, atentando
para a manutenção do alto padrão de conduta e caráter profissional, e não
encorajar atos de descrédito profissional
Melhores práticas de Auditoria de SI´s
Associação de Auditores de Sistemas e Controles (ISACA)
Manter privacidade e confidencialidade das informações obtidas no
decurso de suas funções, exceto quando exigido legalmente. Tais
informações não devem ser utilizadas em vantagem própria ou entregue a
pessoas desautorizadas;
Manter competência nas respectivas especialidades e assegurar que nos
seus exercícios somente atua nas atividades em que tenha razoável
habilidade para competir profissionalmente;
Informar partes envolvidas sobre os resultados de seus trabalhos, expondo
todos os fatos significativos que tiver em seu alcance;
Apoiar a conscientização profissional dos stakeholders para auxiliar sua
compreensão dos sistemas de informações, segurança e controle.
https://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf
Auditoria Preventiva
De forma resumida, as funções de aquisição, desenvolvimento, manutenção e
documentação de sistemas incluem, entre outras, as seguintes etapas:
Planejamento de Sistemas de informações
Especificação, análise, projeto, programação, teste e implementação de
sistemas novos;
Modificação dos programas das aplicações existentes;
Manutenção preventiva dos sistemas aplicativos;
Documentação e controle sobre
versões de programas em produção
Aquisição de sistemas, quando for
conveniente.
Auditoria na Aquisição, desenvolvimento,
documentação e manutenção de SI´s
Auditoria na Aquisição, desenvolvimento,
documentação e manutenção de SI´s Auditoria Preventiva
É importante o envolvimento do Auditor deste o inicio do desenvolvimento do SI ou do processo de seleção para aquisição;
Terá o papel de promover a adequação, avaliação e apresentação de recomendações para o aprimoramento de controle interno nos sistemas de informação da empresa, assim como no uso dos recursos humanos, materiais, financeiros e tecnológicos;
Esta logica deve ser expandida para as fases de manutenção e documentação do sistema;
Perspectiva preventiva quanto a procedimentos indevidos.
Auditoria no Processo ou Metodologia de
Desenvolvimento de SI´s Serve para revisar e avaliar o processo de construção dos sistemas, o método e a
metodologia adotados no ciclo de vida do desenvolvimento do aplicativo;
Deve-se atentar a pontos como segurança física, confidencialidade, legislação, eficiência das técnicas e ferramentas adotadas;
Conforme a metodologia discutida nos slides 7 a 12 podemos adotar o seguinte roteiro:
Planejamento
Levantamento do sistema a ser
auditado
Inventário e eleição dos pontos
de controle
Avaliação dos pontos de
Controle
Conclusão e acompanhamento
da auditoria
Serve para revisar e avaliar os processos e resultados do SI sob a ótica do controle interno;
Atentando aos aspectos internos como, segurança lógica, física, autenticidade da informação, confidencialidade, compliance com a leis e normas, eficiência e eficácia.
Seguindo a metodologia discutida nos slides 7 a 12 podemos adotar o seguinte roteiro: Planejamento
Levantamento do sistema a ser auditado
Inventário e eleição dos pontos de controle
Avaliação dos pontos de Controle
Conclusão e acompanhamento da auditoria
Auditoria de Si´s em produção
REFERENCIAS
LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª
Edição. Rio de Janeiro: Ciência Moderna, 2008
ITGI, IT Governace Institute, COBIT 4.1 - Modelo, Objetivos de
Controle, Diretrizes de Gerenciamento e Modelos de
Maturidade. Rolling Meadows, IL – USA, 2007
Segurança e Auditoria de Sistemas
DÚVIDAS