AUDITORIA DE SISTEMAS 1

Evolução dos sistemas computacionais e segurança da informação

Nem sempre o bem mais precioso de uma empresa se encontra no final da sua linha de
produção, na forma de um produto acabado ou de algum serviço prestado Ele pode
estar nas informações relacionadas a este produto ou serviço.

A evolução da tecnologia de informação, migrando de um ambiente centralizado para

um ambiente distribuído, interligando redes internas e externas, somada à revolução da
Internet, mudou a forma de se fazer negócios. Isto fez com que as empresas se
preocupassem mais com o controle de acesso às suas informações bem como a
proteção dos ataques, tanto internos quanto externos.

Na época em que as informações eram armazenadas apenas em papel, a segurança

era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o
acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de
grande porte, a estrutura de segurança já ficou um pouco mais sofisticada, englobando
controles lógicos, porém ainda centralizados.

Com a chega
chegada dos computadores
computadores pessoais
pessoais e das redes de computadores
computadores que
conectam o mundo
mundo inteiro, os aspectos de segurança atingiram
atingiram tamanha
complexidade que
que há a nec
necessidade de desenvolvimento
desenvolvimento de equipes
equipes cada vez mais
especializadas para a sua implementação
implementação e gerênc
gerência.

Podemos adicionar o fato de que hoje em dia não existem mais empresas que não
dependam da tecnologia da informação, num maior ou menor grau. Pelo fato de que
esta mesma tecnologia permitiu o armazenamento de grande quantidade de
informações em um local restrito e centralizado, criou-se aí uma grande oportunidade
ao acesso não autorizado.

Visando minimizar as ameaças, a ISO (International Standardization Organization) e a

ABNT (Associação Brasileira de Normas Técnicas), em sintonia com a ISO, publicaram
uma norma internacional para garantir a segurança das informações nas empresas, a
ISO 17799:1.
17799:1 As normas ISO e ABNT são resultantes de um esforço internacional que
consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança
eficiente e universal.

Este modelo tem como característica principal tentar preservar a disponibilidade, a

integridade e o caráter confidencial da informação abordando aspectos como:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 2

O comprometimento do sistema de informações,

informações por problemas de segurança, pode
causar grandes prejuízos à organização. Diversos tipos de incidentes podem ocorrer a
qualquer momento, podendo atingir a informação confidencial, a integridade e
disponibilidade.

Problemas de quebra de confidência

confidência,
dência, por vazamento ou roubo de informações
sigilosas, podem expor para o mercado ou concorrência as estratégias ou tecnologias
da organização, eliminando um diferencial competitivo, comprometendo a sua eficácia,
podendo perder mercado e até mesmo ir à falência.

Problemas
Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois
deixar uma organização sem matéria-prima ou sem suprimentos importantes ou
mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem
perante os clientes, gerando problemas com custos e levando a margem de lucro a
ficar bem comprometida.

Problemas de integridade,
integridade causados por invasão ou fatores técnicos em dados
sensíveis, sem uma imediata percepção, irão impactar sobre as tomadas de decisões.
Decisões erradas fatalmente reduzirão o faturamento ou aumentarão os custos,
afetando novamente a margem de lucros.

A invasão da página de Internet de uma empresa,

empresa com modificação de conteúdo, ou até
mesmo a indisponibilidade de serviços on-line, revela a negligência com a segurança
da informação e causa perdas financeiras a quem sofreu algum tipo de ataque.

Conceitos básicos da auditoria

Alguns conceitos básicos relacionados com a auditoria são:

O campo compõe-se de aspectos como: objeto, período e natureza da auditoria.

O objeto é definido como o “alvo” da auditoria, pode ser uma entidade

completa (corporações públicas ou privadas, por exemplo).

Período a ser fiscalizado pode ser um mês, um ano ou, em alguns casos, poderá
corresponder ao período de gestão do administrador da instituição.

A natureza da auditoria poderá ser operacional, financeira ou de legalidade, por

exemplo.

O âmbito da auditoria pode ser definido como a amplitude e exaustão dos processos de
auditoria, ou seja, define o limite de aprofundamento dos trabalhos e o seu grau de
abrangência.

A área de verificação
verificação pode ser conceituada como sendo o conjunto formado pelo
campo e âmbito da auditoria.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 3

A auditoria
auditoria é uma atividade que engloba
engloba o exame das operações, processos,
processos,
sistemas e responsabil
responsabilidades
bilidades gerenciais
gerenciais de uma determinada entidade,
entidade, com o
objetivo de verifi
verifica
ficar
car sua conformi
conformidade
nformidade com certos objetivos e políticas instituciona
institucionais,
nstitucionais,
orçamentos,
orçamentos, regras,
regras, normas ouou padrões.
padrões.

Controle é a fiscalização exercida sobre as atividades de pessoas, órgãos,

departamentos ou sobre produtos, para que estes não se desviem das normas ou
objetivos previamente estabelecidos.

Um dos objetivos desses controles é, primeiramente, a manutenção do investimento

feito pela corporação em sistemas informatizados, tendo em vista que os sistemas de
informação interconectados de hoje desempenham um papel vital no sucesso
empresarial.

Existem três tipos de controles:

O que precisa ser controlado?

Em geral, é um check-list que contempla os itens a serem verificados durante a

auditoria. A concepção desses procedimentos antes do início dos processos de
auditoria é de suma importância porque garantirá um aumento da produtividade e da
qualidade do trabalho. Como exemplo, pode-se citar que, para o bom andamento de
uma jogo qualquer, não é aconselhável mudar suas regras enquanto o mesmo estiver
acontecendo; faz-se isto antes de começá-lo.

Os chamados “achados
achados”
achados de auditoria são fatos importantes observados pelo auditor
durante a execução dos trabalhos.
Apesar de geralmente serem associados a falhas ou vulnerabilidades, os “achados”
podem indicar pontos fortes da corporação auditada.

Tipos de auditoria
Quanto ao órgão fiscalizador:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 4

Quanto à área envolvida:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 5

O objeto do nosso estudo é a auditoria de sistemas informatizados.

Dependendo da área de verificação escolhida, este tipo de auditoria pode abranger:

 Todo o ambiente de informática na empresa ou,
 A organização do departamento de informática.

A auditoria pode ser separada em duas grandes áreas:

 Auditoria de segurança de informações

Este tipo de auditoria em ambientes informatizados determina a postura ou situação

da corporação em relação à segurança. Controles que podem ser auditados:

 Avaliação da política de segurança.

 Controles de acesso lógico.
 Controles de acesso físico.
 Plano de contingência e continuidade de serviços.
 Controles de mudanças.
 Controles de operação dos sistemas.
 Controles sobre o banco de dados.
 Controles sobre computadores.

 Auditoria de aplicativos

Este tipo de auditoria está voltado para a segurança e o controle de aplicativos

específicos, incluindo aspectos que fazem parte da área que o aplicativo atende,
como: contabilidade, estoque, marketing, RH, etc.
A auditoria de aplicativos compreende:

 Controles sobre o desenvolvimento de sistemas aplicativos.

 Controles de entrada, processamento e saída de dados.
 Controles sobre o conteúdo e funcionamento do aplicativo com relação à área
por ele atendida.

Por que auditar?

Atualmente, não há organização humana que não seja altamente dependente da
tecnologia de informações, em maior ou menor grau.

Independente do setor da economia em que a empresa atue, as informações estão

relacionadas com seu processo de produção e de negócios, políticas estratégicas, de
marketing, cadastro de clientes, etc.

A figura abaixo mostra os fatores econômicos de produção de uma organização:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 6

Assim, ainda que as informações não sejam passíveis do mesmo tratamento que os
outros ativos, do ponto de vista do negócio elas são um ativo da empresa e, portanto,
devem ser protegidas.

As vulnerabilidades
vulnerabilidades podem ser conceituadas como sendo fragilidades presentes ou
associadas a ativos que manipulam ou processam informações, e que podem ser
exploradas por ameaças que permitam a ocorrência de um incidente de segurança. As
vulnerabilidades podem ser:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 7

Existem muitas maneiras de se atacar os sistemas de informação de uma organização.

Abaixo estão descritas algumas das técnicas de ataques às redes corporativas:

Denial
 Den ial of Service
Também conhecido como DoS, é um ataque que consiste em sobrecarregar um
servidor com uma quantidade excessiva de solicitações de serviços. Sua finalidade não
é o roubo de dados, mas a indisponibilidade de serviço.

 Vírus
São programas desenvolvidos para alterar softwares instalados em um computador, ou
mesmo apagar todas as informações existentes no computador. Possuem
comportamento semelhante ao vírus biológico, multiplicam-se e precisam de
hospedeiros. Não pode se auto-executar, requer que um programa hospedeiro seja
executado para ativá-lo.

 Spoofing
É a técnica de se fazer passar por outro computador da rede para conseguir acesso a
um sistema. Há muitas variantes, como o spoofing de IP. Para executá-lo, o invasor
altera o cabeçalho dos pacotes IP de modo que pareça estar vindo de uma outra
máquina.

 Mail Bomb
Utiliza a técnica de inundar um computador com mensagens eletrônicas. Pode
abarrotar a caixa postal de alguém ou provocar uma negação de serviço no servidor de
correio eletrônico.

Scanners
 Sca nners de Porta
São programas que buscam portas TCP abertas por onde pode ser feita uma invasão.

Auditar é preciso porque o uso inadequado dos sistemas informatizados pode impactar
uma organização. Informação com pouca precisão pode causar a alocação indevida de
recursos e as fraudes podem ocorrer devido à falta de sistemas de controle.

De posse dos objetivos, normas e padrões da corporação o auditor deverá verificar se

tudo está funcionando como deveria.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 8

Abordagens
Abordagens de audi
auditoria
toria de sistemas
sistemas
Abordagens de auditoria de SI apoiam-se na avaliação dos riscos dos negócios quanto
à certificação da veracidade das transações econômicas, financeiras e contábeis.

Assim sendo, ao auditar as informações em ambiente de tecnologia de informação, o

auditor poderá desenhar as abordagens que lhe convêm. As abordagens mais comuns
são: ao redor do computador, através do computador e com o computador.

 Abordagem ao redor do computador

A aplicação dessa auditoria vem de encontro com a suposição de que, se os dados
de entradas e os procedimentos forem corretos, eles serão consistentes com os
padrões de operações e controles preestabelecidos. E ainda se constata se as
saídas são condizentes com as esperadas, então pouco importa os procedimentos
lógicos de processamento.
Isso significa a auditoria de documentos-fonte com as funções de entrada e
dominando as funções de saída, sendo dada pouca ou nenhuma atenção às
funções de processamento.
Deve-se notar que, apesar de essa abordagem não ser tão apropriada para
ambientes complexos, ela ainda é bastante conveniente para sistemas menores,
cuja maior parte das atividades de rotina é executada manualmente.
Certas vantagens são associadas ao uso desta abordagem:
a) não se exige conhecimento extenso de tecnologia de informação para que o
auditor possa operar convenientemente este método.
b) sua aplicação envolve custos baixos e diretos.

As desvantagens no uso desta abordagem são:

a) restrição operacional quanto ao conhecimento de como os dados são
atualizados, fazendo com que a auditoria seja incompleta e inconsistente.
b) a eficiência operacional de auditoria pode ser avaliada com maior dificuldade,
visto que não há parâmetros claros e padronizados.
c) as avaliações de tecnologia de informações se executarem algum procedimento
de auditoria que exclua o processamento e as funções aritméticas e lógicas, não
permite afirmar que tal abordagem de auditoria tenha sido representativa e
global de toda tecnologia de informação daquela organização.

 Abordagem
Abordagem através do computador
computador
O uso desta abordagem envolve mais do que mera confrontação de documentos-
fonte com os resultados esperados.
O processo estabelece uma validação dos dados através de técnicas de verificação.
Uma dessas técnicas é a test data que é o processamento capaz de simular todas
as transações possíveis com alguns dados fictícios e reais.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 9

As vantagens do uso desta abordagem são:

a) a abordagem melhora o método de auditoria ao redor do computador.
b) capacita o auditor a verificar com maior frequência as áreas que necessitam de
revisão constante.

As desvantagens do uso desta abordagem são:

a) o uso da abordagem pode ser caro, principalmente no que diz respeito ao
treinamento de auditores, aquisição e manutenção dos pacotes de software para
geração de massa de testes.
b) partindo do pressuposto de que os pacotes são completos, podem estar errados.
Técnicas manuais podem ser necessárias como complementos para que a
abordagem funcione efetivamente.

 Abordagem com o computador

Devido aos problemas das duas abordagens anteriores, as firmas de auditoria e
pesquisadores da área contábil propuseram um meio de auditar as tecnologias de
informações e sistemas com a maior perfeição possível, utilizando uma abordagem
com o computador completamente assistida.
São utilizados programas de computador com finalidades específicas, como por
exemplo:
a) verificação dos cálculos das transações econômicas, financeiras e contábeis, por
exemplo, se os cálculos das depreciações, impostos, taxas e contabilizações são
feitos corretamente.
b) O uso de cálculos estatísticos e de geração de amostras que facilitem
confirmações da integridade de dados de contas a receber, estoques,
imobilizados, circularização e outros.
c) a utilização de classificação do sistema computadorizado, a fim de ordenar e
selecionar os registros contábeis. Por exemplo, ser capaz de apontar com
precisão os itens de movimentação mais vagarosa, obsoletos, e isolá-los dos
itens de movimentação rápida, para facilitar análises mais complexas e
substantivas.
Uma vantagem desta abordagem é a agilidade do processo de auditoria e a
aplicação de várias possibilidades:
a) capacidades de auditoria de aplicar Técnicas de Auditoria Assistida por
Computador (CAAT – Computer Assisted Audit Techniques).
b) possibilidades de desenvolver programas específicos para serem usados pelo
auditor quando da necessidade de evidenciar uma opinião sobre um processo
específico.
c) ganhar tempo com os passos aplicados no pacote generalizado de auditoria de
tecnologia de informação.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 10

Competências do aud
auditor
uditor de
de sistemas
Aqui é apresentado o que compete ao auditor de sistemas de informações em termos
de responsabilidades na equipe de auditoria:

 Planejar a auditoria de sistemas documentando nível de risco aparente do ambiente.

 Compreender os negócios, o setor, as unidades, os comitês, os executivos, a

gerência, o organograma operacional e as partes interessadas.

 Compreender e certificar-se dos processos-chave e dos procedimentos

operacionais para diminuir os riscos.

 Compreender e certificar-se da integridade da comunicação de dados

interinstituição e intrainstituição.

 Compreender e certificar-se da classificação de informações, de pessoas, dados

conforme aplicações essenciais para negócios.

 Verificar a proteção de dados, informações, pessoas e ativos em geral em TI e

certificar-se do controle.

 Compreender e verificar o suporte para usuários, para atender às funções críticas

aos negócios.

 Verificar a consistência e a confiabilidade da evolução de sistemas aplicativos em

pró-tendências dos negócios e seus funcionamentos.

 Certificar-se da continuidade em caso de contingências nas operações gerais dos

negócios.

 Certificar-se dos contratos de disponibilidades de operações com outsourcing e

cloud computing.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 11

A equipe de auditor
uditoria
itoria de sistemas
Seguem abaixo as estratégias geralmente implementadas para compor a equipe de
auditoria de tecnologia de informações:
 treinar um número de auditores internos ou independentes em conceitos e práticas
de tecnologia de informações e métodos para a aplicação das técnicas e
ferramentas de auditoria em ambiente computadorizado.
 treinar alguns analistas de sistemas em prática e princípios de auditoria geral e no
uso de técnica e ferramentas de auditoria.
 contratar e treinar auditores, fornecendo-lhes tanto conhecimento de auditoria como
de tecnologia de informações para compor a equipe desde o início.
 contratar auditores com larga experiência, com o objetivo de torná-los auditores de
tecnologia de informações.

Apresenta-se na figura abaixo uma visão típica de desenvolvimento de carreira de um

auditor de tecnologia de informações:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 12

Fundamentos de controles
controles internos
internos em sistemas de informações

Os principais objetivos de um sistema geral de controle interno são: salvaguardar o

ativo de uma organização, manter a integridade, correção e confiabilidade dos registros
contábeis, promover a eficiência operacional e encorajar o cumprimento dos
procedimentos e das políticas da gerência.
Esses objetivos não apresentam diferenças nos procedimentos de controles internos
em ambientes de tecnologia de informações.
A responsabilidade total sobre o sistema de controle interno de uma organização
pertence à gerência e, mais particularmente, àqueles cuja autoridade foi delegada no
que diz respeito a responsabilidades funcionais.

Tipos de controles:

 Controles
Controles administrativos
administrativos e gerenciais
Esses controles incluem a separação convencional de funções ou
responsabilidades. Em organizações cujas responsabilidades são impropriamente
delineadas, a fraude é perpetrada facilmente, devido ao conhecimento de que
ninguém será responsabilizado.
Em um sistema computadorizado existem duas funções distintas bastante afins: a
primeira diz respeito à elaboração de programas e a segunda está relacionada às
operações diárias do sistema.
Com os princípios fundamentais de controles internos, as responsabilidades do
desenvolvimento de programas em um ambiente de tecnologia de informação
devem ser atribuídas a pessoas que não têm nenhum acesso às operações do
computador. Também os usuários finais não devem ter qualquer acesso aos
documentos fontes dos programas; nem mesmo uma pequena brecha deve ser
criada para permitir que eles modifiquem os programas ao acaso (ou
propositadamente).
É nesse contexto que identificamos a necessidade de se implementar corretamente
um planejamento estratégico que inclua plano diretor de informática que informe as
principais diretrizes para implementação de tecnologia de informação que leve ao
sucesso das operações de negócios.

 Controles
Controles de segurança e privacidade
privacidade
Privacidade enfatiza a confidência de dados e/ou informações retidas por uma
organização ou entidade.
Os controles de segurança de dados em sistemas de informações são referentes à
proteção da informação. Procura-se proteger contra furtos, manipulação fraudulenta
ou divulgação de informações sigilosas para competidores.
Os controles de segurança de sistema envolvem:

Sigilo:
Sigilo fornecer uma privacidade ou situação estritamente confidencial aos dados.
Integridade:
Integridade fornecer um requisito de informação completa, correta, válida e
confiável.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 13

Disponibilidade:
Disponibilidade tornar os dados disponíveis a quem quer que esteja autorizado a
utilizar tais dados.
Contabilidade:
Contabilidade registrar todas as transações ocorridas nos sistemas, a fim de
permitir o relato correto do conteúdo dos dados alimentados no sistema.
Auditoriabilidade:
uditoriabilidade em qualquer sistema de segurança os dados devem ser
auditados. O sistema deve fornecer facilidade necessária para exames e
averiguação de responsabilidades.

 Controles
Controles de entradas de dados
Entradas erradas conduzem a saídas erradas. A validação de dados de entrada
identifica erros de dados, dados incompletos ou faltantes e inconsistências

 Controles
Controles de processamento
rocessamento
Os controles de processamento visam garantir que o processamento das transações
foi correto e houve completude. Com o pressuposto de que os dados corretos
entraram no computador, os controles de processamento são aqueles responsáveis
pela confiabilidade do resultado pretendido.

 Controles
Controles de saída de dados
Os controles de saída visam garantir que as informações entregues aos usuários
sejam apresentadas em formatos corretos, completas, e consistentes com modelos
pré-estabelecidos.

Avaliação de controles internos de sistemas de informações

O processo de avaliação implica naquele utilizado pelo auditor para confirmar o que foi
definido em relação à transação ou aos processos contábeis de uma entidade, com a
finalidade de apoiar a formação de uma opinião e proporcionar uma informação sobre o
grau de conformidade com o conjunto de padrões identificados.
Em qualquer sistema de informação complexo ou moderado, sua avaliação pelos
auditores internos se processa através do uso de ferramentas adequadas de auditoria,
métodos e técnicas que serão abordados posteriormente neste documento.

Análise de risco na avaliação

valiação de controles internos

A análise de risco é uma metodologia adotada pelos auditores de TI para saber, com
antecedência, quais ameaças podem atingir o ambiente de tecnologia de informação de
uma organização. Se quaisquer ameaças reais não forem detectadas, podem acarretar
um prejuízo financeiro imprevisível para a organização.
O backup de dados também pode apresentar alguma preocupação para o auditor. Se
as rotinas de gravação de dados e guarda de cópias foram politicamente determinadas,
cabe verificar se o ambiente de controle propicia a implementação dessas políticas.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 14

Ferramentas e técnicas de auditoria de tecnologia de informações

Na execução dos trabalhos de auditoria de tecnologia de informações as técnicas mais
convencionais também se aplicam, tais como questionários, entrevistas, observação,
exames documentais e outros.
O principal objetivo do uso de Técnicas de Auditoria Assistida por Computador (TAAC)
é auxiliar o auditor para auditar 100% a área ou transação revisada, considerando o
limite de tempo que possui e aproveitando os recursos de software e das técnicas de
auditoria em ambiente de computação.

Ferramentas
As ferramentas normalmente auxiliam na extração, no sorteio, na seleção de dados e
transações, atentando para discrepâncias e desvios. Exemplos de ferramentas que
podem ser utilizadas:

 Software generalista de auditoria de tecnologia da informação

Envolve o uso de software aplicativo (um conjunto de programas) em ambiente
batch, que pode processar uma variedade de funções de auditoria e nos formatos
que o auditor desejar. As funções são extração de dados de amostra, testes globais,
geração de dados estatísticos para análise, sumarização, apontamento de
duplicidade de registros ou sequência incorreta, entre outras.
Alguns exemplos:
a) ACL (Audit Command Language): é um software, desenvolvido no Canadá, para
extração e análise de dados.
b) IDEA (Interactive Data Extraction & Analysis): também desenvolvido no Canadá,
é um software para extração e análise de dados.
c) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que
desenvolve consultoria e dá suporte sobre o produto
d) Galileo: é um software integrado de gestão de auditoria. Inclui gestão de riscos
de auditoria, documentação e emissão de relatórios para auditoria interna

Vantagens:
a) Pode processar vários tipos de arquivos com formatos diferentes. Por exemplo:
EBCDIC ou ASCII.
b) Reduz a dependência do auditor em relação ao especialista de informática para
desenvolver aplicativos específicos com caráter generalista para todos os
auditores de tecnologia de informação.

Desvantagens:
a) Como o processamento das aplicações envolve gravação de arquivos, poucas
aplicações poderiam ser feitas em ambiente online.
b) Se o auditor precisar rodar cálculos complexos o software não poderá dar esse
apoio, pois por ser generalista evita aprofundar as lógicas e matemáticas muito
complexas.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 15

 Softwares especializados de auditoria

Consiste no programa desenvolvido especificamente para executar certas tarefas
numa circunstância definida. O programa pode ser desenvolvido pelo próprio
auditor, pelos especialistas da empresa auditada ou pelo terceiro contratado pelo
auditor.

Vantagens:
a) Pode ser interessante para atender aos sistemas ou às transações incomuns que
não estão contemplados nos softwares generalistas. Por exemplo: leasing,
cartão de crédito, crédito imobiliário, entre outros.
b) O auditor, quando consegue desenvolver softwares específicos numa área muito
complexa, pode utilizar isso como vantagem competitiva.

Desvantagens:
a) Pode ser muito caro, uma vez que seu uso será limitado e normalmente restrito
somente a um cliente.
b) A atualização deste software pode ser problemática por falta de recursos que
acompanhem as novas tecnologias.

 Programas utilitários
O auditor pode utilizar softwares utilitários para executar algumas funções muito
comuns de processamento. Por exemplo: sortear arquivo, sumarizar, concatenar,
gerar relatórios.
Geralmente os bancos de dados, SQL, Oracle, DB2, etc. possuem esses recursos.
Vale ressaltar que esses programas não foram desenvolvidos para executar as
funções de auditoria, portanto, não têm muitos recursos para esta finalidade.

Vantagem:
a) Pode ser utilizado como quebra-galho na ausência de outros recursos.

Desvantagem:
a) Sempre necessitará do auxílio do funcionário da empresa auditada para operar a
ferramenta.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 16

Técnicas
As variadas metodologias podem ser chamadas de técnicas. Elas podem proporcionar
várias vantagens aos usuários, tais como:
a) Produtividade: melhoria no processo de planejamento, focalizando o exercício nas
funções mais importantes e eliminando tarefas repetitivas.
b) Custo: por exemplo, o auditor pode ter acesso remotamente, eliminando a
necessidade de deslocamento e poupando custo de viagens. Se usados softwares
generalistas também evita o gasto referente ao desenvolvimento de programas.
c) Qualidade: com o uso de softwares que têm padrões devidamente certificados, o
auditor aproveita para adequar seus trabalhos aos padrões internacionais
normalmente aceitos.
d) Benefícios corporativos: proporcionam às empresas de auditora eficiência e eficácia
nos trabalhos.
e) Benefícios para o auditor: proporcionam independência; eliminação das tarefas mais
repetitivas, que geralmente podem ser automatizadas; mais tempo para pensar e
ser criativo nas sugestões para seus clientes.

A seguir são apresentadas as técnicas mais utilizadas:

 Dados de teste
Normalmente conhecida por test data ou test deck, é aplicada num ambiente de
processamento batch. Envolve o uso de um conjunto de dados de entrada
preparado com o objetivo de testar os controles programados e os controles de
sistemas aplicativos. Deve-se rodar uma gama de transações, após o que os
resultados são comparados com aqueles predeterminados.
Vantagens:
a) O software de gerador de dados normalmente é o mesmo utilizado nos
processos de testes de sistemas em desenvolvimento. Não requer um alto
conhecimento em informática para gerar os dados.
Desvantagens:
a) Pode ser difícil planejar e antecipar todas as combinações de transações que
possam acontecer no ambiente de negócios das empresas.

 Facilidade
Facilidade de teste integrado
integrado
Essa técnica conhecida por Integrated Test Facility (ITF), tem uma maior efetividade
em ambientes online. Os dados de testes são integrados aos dados reais utilizando-
se o ambiente de produção normal. Envolve a criação de entidades fictícias, como
funcionários fantasmas ou clientes inexistentes nas contas a receber. São
confrontados os dados no processamento de transações reais com esses dados e
os resultados comparados com aqueles predeterminados.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 17

Vantagens:
a) Orienta os testes atentando para a identificação da eficácia e confiabilidade das
operações em ambiente rotineiro da empresa. Não é necessário um custo
adicional se criar um ambiente de processamento exclusivo.
Desvantagens:
a) Os efeitos das transações devem ser estornados, dando trabalhos adicionais e
operacionais quando são misturados com dados reais.
b) As quantidades e os números de dados fictícios incluídos num ambiente
operacional real podem ser limitados.
c) Há o risco de se contaminar dados reais com dados fictícios em ambiente de
produção da empresa.

 Simulação paralela
Envolve o uso de um programa especialmente desenvolvido que atenda a todas as
lógicas necessárias para processar transações e dados anteriormente executados
numa rotina normal e operacional da empresa, com o objetivo de verificar se os
resultados são idênticos.
Vantagens:
a) Os custos relacionados com a preparação de massa de dados ou dados fictícios
não existem, visto que o programa opera em ambiente real.
b) Pode-se processar um grande volume de dados dos auditados, eliminando
dúvidas de amostras pequenas e não abrangentes.
c) O teste é mais detalhado e mais representativo.

Desvantagens:
a) O custo de desenvolvimento de uma simulação paralela pode ser muito alto.
b) A simulação paralela tem escopo de teste muito restrito visto que não são
gerados dados fictícios propositadamente errados ou inconsistentes.

 Lógica de auditoria embutida nos sistemas

sistemas
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Vantagens:
a) Todas as atividades do sistema em que a lógica de auditoria é construída podem
ser monitoradas permanentemente.
b) Não apresenta restrições quanto à entrada de dados que podem ser incluídos.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 18

Desvantagens:
a) Exige custo adicional no desenvolvimento do sistema e na utilização de
máquinas.
b) Só é possível implementá-lo durante o desenvolvimento do sistema, ficando
praticamente inviável fazê-lo posteriormente.

 Análise da lógica de programação

Essa técnica envolve a verificação da lógica de programação para certificar que as
instruções dadas ao computador são as mesmas que constam nas documentações
dos sistemas aplicativos. Geralmente esta técnica será feita manualmente.

COBIT (Control Objectives for Information and Related Technology)

Technology)

O que é o COBIT ?

É um framework
framework de boas práticas
práticas criado pela ISACA (Information Systems Audit and
and
Control Association
Association)
ion) para a governança de tecnologia
tecnologia de informação.
informação.

A ISACA lançou a primeira versão do COBIT em 1996, originalmente um conjunto de

objetivos de controle para ajudar a comunidade de auditoria financeira a lidar melhor
com ambientes relacionados a TI.

O COBIT 5, liberado em 2012, é a atual versão do framework. Disponibiliza a

integração com outros conjuntos de boas práticas e metodologias, como
padrões ISO, ITIL, dentre outros.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 19

Princípios básicos
 Objetivos de negócios requerem informações
Informações devem atender aos critérios de qualidade, segurança e confiabilidade.

 Informações são produzidas por recursos de TI

Dados, aplicações, infra-estrutura e pessoas.

 Recursos de TI são gerenciados por processos

Definição de responsabilidades e metas.

 Processos devem ser controlados

Objetivos de controle, indicadores de desempenho e indicadores de resultados.

O cubo do COBIT

Critérios de Informação ou Requisitos de Negócio

 Efetividade / Eficácia
A informação deve ser pertinente e relevante para o processo de negócio.
A informação deve ser entregue de forma correta, consistente e em formato útil.

 Eficiência
A informação deve ser provida por meio do uso otimizado dos recursos.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 20

 Confidencialidade
Confidencialidade
A informação deve ser protegida contra acesso não autorizado.

 Integridade
A informação deve ser precisa, completa, e válida de acordo com as expectativas e
os valores do negócio.

 Disponibilidade
A informação deve estar disponível quando requerido pelo processo de negócio,
agora e no futuro.
Os recursos e capacidades associados à informação devem ser protegidos.

 Conformidade
A informação obedece a leis, normas e contratos aos quais o processo de negócio
está sujeito, ou seja, aos requisitos impostos ao negócio.

 Confiabilidade
A informação deve ser adequada para gerenciar a operação do negócio e para a alta
direção exercer sua responsabilidade de geração de relatórios financeiros e de
conformidade.

Recursos de TI
 Aplicações
Sistemas de informação usados na organização.

 Infraestrutura
Tecnologia utilizada, como os equipamentos, sistemas operacionais, redes de
comunicação de dados que processam as aplicações.

 Informações
São os dados em todas as suas formas utilizados nos sistemas de informação e
usados pelos processos de negócios.

 Pessoas
As pessoas requeridas para planejar, organizar, adquirir, entregar, dar suporte e
monitorar os aplicativos, processos e serviços de TI.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 21

Domínios
COBIT descreve o ciclo de vida de TI com o auxílio de quatro domínios:
Planejar e Organizar (Plan and Organise)
Adquirir
Adqui rir e Implementar (Acquire and Implement)
Entregar e Suportar (Deliver and Support)
Monitorar e Avaliar (Monitor and Evaluate)

Processos
Processos para o dom
domín
omínio
ínio Planejar e Organizar (PO)
(PO)

Processos
Processos para o dom
domín
omínio
ínio Adquirir e Implementar (AI)
AI)

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 22

Processos
Processos para o dom
domín
omínio
ínio Entregar e Suportar (DS)
DS)

Processos
Processos para o dom
domín
omínio
ínio Monitorar e Avaliar
Avaliar (ME)
ME)

Os quatro domínios do COBIT possuem 34 processos

processos,
os e estes processos possuem 210
objetivos
objetivos de controle
controle.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 23

Política de Segurança da Informação

Informação

Tem o propósito de fornecer orientação e apoio às ações de gestão de segurança.

A política de segurança da informação assume uma grande abrangência e por conta
disto é subdividida em três blocos:

1) Procedimentos
rocedimentos / Instruções
Destinada à camada operacional, estabelece padrões, responsabilidades e critérios
para o manuseio, armazenamento, transporte e descarte das informações dentro do
nível de segurança estabelecido sob medida pela e para a empresa.

2) Diretrizes
Destinada à camada tática, por si só tem papel muito importante pois precisam
expressar a importância que a empresa dá à informação.

3) Normas
Destinada à camada estratégica, terá a responsabilidade de fazer refletir o caráter
oficial da política da empresa através de comunicação e compartilhamento com seus
funcionários.

Algumas das dimensões a serem tratadas pela política de segurança:

 Responsabilidades dos proprietários e custodiantes das informações.

 Índices e indicadores do nível de segurança.
 Controles de conformidade legal.
 Mecanismos de controle de acesso físico e lógico.
 Registros de incidentes.
 Gestão da continuidade do negócio.

Alguns exemplos de normas de uma típica política de segurança:

 Critérios normatizados para admissão e demissão de funcionários.

 Criação e manutenção de senhas.
 Descarte de informação em mídia magnética.
 Desenvolvimento e manutenção de sistemas.
 Uso da internet.
 Uso de notebook.
 Contratação de serviços de terceirizados.
 Acesso remoto.
 Classificação da informação.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 24

A norma de classificação
classificação da informação é fator crítico de sucesso pois descreve os
critérios necessários para sinalizar a importância e o valor das informações, premissa
importante para a elaboração de praticamente todas as demais normas.
Não há regra preconcebida para estabelecer esta classificação.
É preciso entender o perfil do negócio e as características das informações que
alimentam os processos e circulam no ambiente corporativo.

Relação entre a classificação e o tratamento da informação

O ciclo de vida da informação pode ser definido nas seguintes etapas:

Manuseio - momento em que a informação é criada ou manipulada, seja ao digitar um

documento eletrônico, preencher um formulário ou ainda, folhear um maço de papéis.

Armazenamento
Armazenamento - momento em que a informação gerada ou manipulada é
armazenada, seja em um papel post-it ou ainda em mídia eletrônica, como uma fita
magnética, CD-ROM ou disco rígido.

Transporte - momento em que a informação é transportada, seja ao mandar uma carta

pelo correio, enviar informações via correio eletrônico ou, até mesmo, falar ao telefone.

Descarte - momento em que a informação é descartada, seja ao depositar na lixeira da

empresa um material impresso, seja ao eliminar um arquivo eletrônico do computador,
ou até mesmo ao descartar um CD-ROM usado que apresentou falha na leitura.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 25

Na camada operacional, procedimentos e instruções deverão estar presentes na

política da empresa.
É necessário descrever meticulosamente cada ação e atividade associada a cada
situação distinta de uso das informações.
Por exemplo:
A diretriz orienta estrategicamente para a necessidade de salvaguardar as informações
classificadas como confidenciais;
A norma define que estas deverão ser criptografadas e enviadas por e-mail;
O procedimento e a instrução específica para esta ação têm de descrever os passos
necessários para executar a criptografia e enviar o e-mail.

Documento da política da segurança da informação

É conveniente que este documento expresse as preocupações da direção e estabeleça
as linhas-mestras para a gestão de segurança da informação.
Também é aconselhável, segundo a ABNT (NBR ISO/IEC 17799:1), que o documento
da política seja aprovado pela classe executiva da empresa, publicado e comunicado
de forma adequada para todos os funcionários.

Diretrizes na
na política da segurança da informação
Uma típica política de segurança ou de uso de recursos computacionais deve abranger
diretrizes claras a respeito, pelo menos, dos seguintes aspectos:

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 26

Diagrama que representa uma política de segurança de informação agindo sobre o

principal ativo de uma empresa, a informação

No círculo central estão representados os três principais aspectos envolvidos na

segurança de informações: a disponibilidade, a integridade e confidencialidade.
Numa camada mais externa encontramos os aspectos da autenticidade e a legalidade.
Na próxima camada encontra-se o ciclo de vida da informação.
Na próxima camada estão os processos e ativos, que são elementos que manipulam
direta ou indiretamente a informação.
Em seguida encontram-se as vulnerabilidades: físicas, humanas e tecnológicas.
Na penúltima camada estão as medidas de segurança, isto é, a solução que uma
organização deve adotar para diminuir a possibilidade de eventuais ocorrências.
Também é uma atuação nas áreas: humanas, tecnológicas e físicas.
Na camada mais externa estão as ameaças, que são agentes ou condições que
causam incidentes que comprometam as informações e seus ativos por meio da
exploração das vulnerabilidades.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 27

Exemplo de um modelo de política de segurança de acesso ao Datacenter da Xpto

Corp. por parte de empresas terceirizadas:

Objetivo - Assegurar um método seguro de conectividade entre Xpto Corp.

Corp e as empresas
terceirizadas, bem como prover diretrizes para o uso de recursos computacionais e de rede
associados com a conexão feita por essas empresas.

Escopo - Esta política se aplica a todas as empresas terceirizadas que acessam o CPD da
Xpto Corp.,
Corp fisicamente, ou logicamente, de forma a controlar esse acesso e auditar
responsabilidades quando necessário.

Descrição - Convém que seja controlado o acesso de prestadores de serviço aos recursos de
processamento da organização. Onde existir uma necessidade para este acesso de
prestadores de serviço, convém que seja feita uma avaliação dos riscos envolvidos para
determinar as possíveis implicações na segurança e os controles necessários. Convém que os
controles sejam acordados e definidos através de contrato assinado com os prestadores de
serviço.
O acesso de prestadores de serviço pode também envolver outros participantes. Convém que
os contratos liberando o acesso de prestadores de serviço incluam a permissão para
designação de outros participantes qualificados, assim como as condições de seus acessos.

Tipos de Acesso
Acesso - O tipo de acesso dado a prestadores de serviço é de especial importância.
Por exemplo, os riscos no acesso através de uma conexão de rede são diferentes dos riscos
resultantes do acesso físico. Convém que os seguintes tipos de acesso sejam considerados:
a) Acesso físico: por exemplo, a escritórios, sala de computadores, gabinetes de cabeamento;
b) Acesso lógico: por exemplo, ao banco de dados da organização, sistemas de informação.

Razões para o acesso - Acessos a prestadores de serviços podem ser concedidos por
diversas razões. Por exemplo, existem prestadores de serviços que fornecem serviços para
uma organização e não estão localizados no mesmo ambiente, mas necessitam de acessos
físicos e lógicos, tais como:
 Equipes de suporte de hardware e software, que necessitam ter acesso em nível de sistema
ou acesso às funcionalidades de baixo nível das aplicações.
 Parceiros comerciais ou Joint ventures que podem trocar informações, acessar sistemas de
informação ou compartilhar base de dados.

Contratados para serviços internos - Prestadores de serviço que, por contrato, devem
permanecer dentro da organização por um período também podem aumentar a fragilidade na
segurança. Convém que o acesso desses prestadores de serviços não seja permitido, até que
os controles apropriados sejam implementados e um contrato definindo os termos para a
conexão ou acesso seja assinado.

Generalidades - Todo acesso que seja necessário ao CPD da Xpto Corp e não está
contemplado neste documento deve ser analisado pelo Departamento de T.I. antes de ser
liberado, se for o caso. Todas as empresas que precisarem acessar de qualquer forma o CPD
da Xpto,
Xpto mesmo que por uma única vez, ser faz necessária a assinatura do contrato de sigilo
entre empresas, como segue o anexo X desta política.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 28

A análise de
de risco
A análise de risco deve ocorrer na decorrência de qualquer mudança que venha a
afetar a avaliação de risco original.
original.
Como exemplo de eventos que podem gerar uma análise de risco podemos citar um
incidente de segurança significativo, novas vulnerabilidades ou, até mesmo, mudanças
organizacionais ou na infra-estrutura técnica.
É recomendável que sejam realizadas as seguintes análises periodicamente:

1) Efetividade da política demonstrada pelo tipo, frequência e impacto dos incidentes

de segurança registrados.

2) Custo e impacto dos controles na eficiência do negócio.

3) Efeitos das mudanças na tecnologia e na organização.

Uma importante consideração relacionada com segurança de ativos de informações,

como qualquer outra modalidade de segurança, é a relação custo-
custo-benefício.
benefício
Não se gastam recursos em segurança que não tenham retorno à altura; não se gasta
mais dinheiro em proteção do que o valor do próprio ativo a ser protegido.
Outro ponto a ser considerado é que a análise deve contemplar todos os momentos do
ciclo de vida da informação:
 Manuseio
 Armazenamento
Armazenamento
 Transporte
 Descarte

Se o objetivo é dar segurança às informações de uma organização, essa segurança

deverá abranger todo o ciclo de vida da informação.
Não seria possível alcançar um bom nível de segurança protegendo apenas um ou
outro momento da vida da informação.

Dentro de uma análise de riscos, deve-se ter a noção de dois fatores que influenciam
na determinação da medida de segurança resultante desta análise:

1) O grau de impacto
impacto
Ocorre quanto cada área ou a empresa inteira sofre as consequências da falta de
disponibilidade, da integridade ou do caráter confidencial da informação.

2) O nível
nível de exposição
Está relacionado com o grau de risco inerente a cada processo ou produto, ou seja,
está diretamente relacionado com a probabilidade de ocorrência de um evento danoso
para um determinado ativo.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 29

Controles de acesso físico

Os controles de acesso físico têm como objetivo proteger equipamentos e informações
contra usuários não-autorizados, prevenindo o acesso a estes recursos.
A proteção física destes recursos constitui-se em uma barreira adicional e anterior às
medidas de segurança de acesso lógico.
Portanto, pode-se até dizer que indiretamente os controles de acesso físico também
protegem os recursos lógicos, como programas e dados.

Os recursos a serem protegidos pelo controle de acesso físico são:

 Os equipamentos - servidores, estações de trabalho, CPUS, placas, vídeos,
mouses, teclados, unidades de disco, impressoras, scanners, modem, linhas de
comunicação, roteadores, cabos elétricos, etc;
 A documentação - sobre hardware e software, aplicativos, política de segurança;
 Os suprimentos – discos removíveis, fitas, formulários, papel;
 As pessoas.
pessoas

A seguir, estão descritos alguns dos controles físicos mais comuns:

 Crachá
Crachá – um dos controles administrativos mais comuns são os crachás de
identificação, que podem distinguir um funcionário de um visitante ou até mesmo
categorizar os funcionários a partir de cores ou números diferentes. O uso de
crachás facilita o controle visual de circulação feito pela equipe de vigilância.
 Demissão de funcionário - uma outra prática muito usada é a exigência da
devolução dos bens de propriedade da instituição quando o funcionário é demitido.
Ao serem desligados da organização, os ex-funcionários normalmente devolvem
equipamentos, documentos, livros e outros objetos que estavam sob sua guarda,
inclusive chaves, crachás e outros meios de acesso físico. É recomendável que
existam procedimentos para identificar os demissionários e garantir a restrição de
acesso destes indivíduos ao prédio da organização. A partir da demissão, eles
deverão ser tratados como visitantes e não mais como funcionários.
 Visitantes – a entrada e saída de visitantes devem ser controladas por um
documento de identificação diferenciado, registros (com data, horários de entrada e
de saída) e, dependendo do grau de segurança necessário, acompanhamento até o
local de destino da visita.
 Equipes
quipes de limpeza, manutenção e vigilância – como este tipo de funcionário ou
prestador de serviço trabalha fora do horário normal de expediente e geralmente
tem maior liberdade para transitar pelo prédio, deve haver um controle especial
sobre suas atividades ou áreas de acesso permitidas. Há vários casos de pessoas
do serviço de limpeza ou vigias atuarem também como espiões ou ladrões.
 Ausência do usuário – é aconselhável orientar os funcionários, dependendo do grau
de segurança necessário em seu setor de trabalho, a não deixar os computadores
sem qualquer supervisão de pessoa autorizada, por exemplo, durante o horário de
almoço ou quando se ausentarem de sua sala por tempo prolongado. Deve-se
encorajar o bloqueio do teclado de documentos confidenciais, pendrives e laptops
em armários com chave, como medida preventiva.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 30

 Mesa limpa - é uma prática instituir o princípio de mesa limpa, isto é, o funcionário é
instruído a deixar seu local de trabalho sempre limpo e organizado, guardando os
documentos confidenciais tão logo não precise mais deles. Em algumas instituições,
há uma equipe encarregada de verificar esporadicamente ao final do expediente,
locais de trabalho escolhidos de forma aleatória, em busca de documentos
classificados como confidenciais.

Por outro lado, existem os controles explícitos que são geralmente implementados por
meio de fechaduras ou cadeados. Os controles explícitos mais comuns são:
 Fechaduras mecânicas ou cadeados comuns;
 Fechaduras codificadas acopladas a mecanismo elétrico com teclado para entrada
do código secreto;
 Fechaduras eletrônicas cujas chaves são cartões com tarja magnética contendo o
código secreto.
 Fechaduras biométricas programadas para reconhecer características físicas dos
usuários autorizados. Elas podem ser projetadas para identificar formatos das mãos,
cabeças, impressões digitais, assinatura manual, conformação da retina e voz.
Devido ao seu alto custo, são utilizadas somente em sistemas de alta confidência;
 Câmeras de vídeo e alarmes, como controles preventivos e de detecção;
 Guardas de segurança para verificar a identidade de todos que entram nos locais de
acesso controlado ou patrulhar o prédio fora dos horários de expediente normal.

Controles de acesso lógico

O acesso lógico nada mais é do que um processo em que um sujeito ativo ativo deseja
acessar um objeto passivo.
passivo O sujeito normalmente é um usuário ou um processo e o
objeto pode ser um software, arquivo ou outro recurso como memória ou impressora.
Os controles de acesso lógico são, então, um conjunto de medidas e procedimentos
adotados pela organização ou intrínsecos aos softwares utilizados.
Seu objetivo é proteger dados, programas e sistemas contra tentativas de acesso não
autorizadas feitas por usuários ou outros programas.
Vale a pena ressaltar que, mesmo que os controles de acesso sejam muito sofisticados
seu ponto fraco será sempre o usuário.

O compartilhamento de senhas,
senhas, o descuido na proteção de informações confidencia
confidenciais
denciais
ou a escolha
escolha de senhas facilmente
facilmente descobertas, por exemplo, pode comprometer a
segurança de informações.
informações.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 31

A primeira coisa a fazer é determinar o que se pretende proteger. A seguir são

apresentados alguns recursos e informações normalmente sujeitas aos controles
lógicos:

A proteção aos recursos (arquivos, diretórios, etc.) baseia-se nas necessidades de

acesso de cada usuário (níveis de acesso).
Já a identificação e autenticação do usuário (confirmação de que o usuário realmente é
quem diz ser) são feitas normalmente por um userid e uma senha durante o processo
de login.

Os controles de acesso lógico têm como objetivo garantir que:

 Apenas usuários autorizados tenham acesso aos recursos;
 Os usuários tenham acesso apenas aos recursos realmente necessários para a
execução de suas tarefas;
 O acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas;
 Os usuários sejam impedidos de executar transações incompatíveis com sua função
ou além de suas responsabilidades.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 32

Estudo de caso:

Em um sistema de simples de Controle de Patrimônio de uma organização temos os

seguintes itens de telas básicas no menu do sistema:
 Cadastro de localização do patrimônio (ex.: prédio, sala, etc.)
• Operações: incluir, alterar, excluir.
 Cadastro de tipo de patrimônio (ex.: móvel, veículo, ferramenta, software, etc.)
• Operações: incluir, alterar, excluir.
 Cadastro do Patrimônio (ex.: uma mesa, um computador, um carro, etc.)
• Operações: incluir, alterar.
 Baixa de Patrimônio
• Operações: dar baixa no patrimônio movendo para a base de dados de histórico,
retirando-o da base de patrimônios “Ativos”.

Na área de Patrimônio da empresa temos três tipos de funcionários que terão acesso
ao sistema: o supervisor da área, os funcionários administrativos e alguns estagiários.
Decidiu-se implementar um controle de acesso lógico a esse sistema através de
usuários e senhas.

1) Como seria a estrutura que você implementaria desse controle de acesso lógico?

2) Seriam necessários mais itens de menu do que os já existentes?

log
3) Também seria interessante ter um lo g nesse sistema. Quais seriam as informações
que constariam nesse log e em que pontos do sistema ele deveria ser usado?

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 33

Controles ambientais
Os controles ambientais visam a proteger os recursos computacionais contra danos
provocados por desastres naturais (incêndios, enchentes), por falhas na rede de
fornecimento de energia, ou no sistema de ar condicionado, por exemplo.

Os controles ambientais devem constar da política de segurança da informação, pois

estão diretamente relacionados com a disponibilidade e integridade dos sistemas
computacionais.

As medidas preventivas muitas vezes são implementadas logo na construção do

prédio, como por exemplo:
 Uso de material resistente ao fogo;
 Dispositivos de detecção de fumaça ou calor;
 Instalação de para-raios.

Após o início do funcionamento normal da organização, aconselhável adotar boas

práticas de limpeza e conservação, mantendo as salas limpas, sem acúmulo de papéis
ou outros materiais de fácil combustão.

Uma das grandes preocupações das empresas é em relação a incêndios. É

imprescindível o treinamento dos funcionários para utilizarem, de forma adequada, os
dispositivos manuais de combate a incêndios e a vistoria frequente destes dispositivos
para garantir seu perfeito funcionamento quando for necessário.

Além dos incêndios outros tipos de eventos podem acarretar indisponibilidade das
informações:
 Falhas ou flutuações no fornecimento de energia elétrica:
É necessário estabelecer controles que minimizem os efeitos de cortes, picos e
flutuações de energia através da instalação de dispositivos como estabilizadores,
no-breaks, geradores alternativos ou conexão com mais de uma subestação de
energia elétrica.

 Proteger os equipamentos eletrônicos da água:

Deveriam ser instalados em locais pouco suscetíveis e a este tipo de ameaça
ambiental ou em locais em que a presença de água seja facilmente detectada e
contida.

 Controlar a temperatura do ambiente dos equipamentos:

Assim como as pessoas, os computadores preferem operar dentro de uma
determinada faixa de temperatura (tipicamente entre 10 e 32 °C). Um ambiente seco
demais ou úmido demais pode provocar danos nos equipamentos.
É aconselhável utilizar dispositivos que auxiliam no monitoramento do ambiente,
registrando níveis de umidade e temperatura.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 34

Plano de contingência e de continuidade de negócios

Da mesma forma que com nossos bens particulares buscamos formas confiáveis de
deixá-los seguros, torna-se necessário aplicar o mesmo conceito para as organizações.
Utilizando metodologia, recursos e instalações adequadas será possível a continuidade
operacional em caso de desastre, proporcionando a continuidade dos negócios.
negócios

Um exemplo extremo é o ataque ao World Trade Center em Nova Iorque, em setembro

de 2001, que expôs à críticas uma atividade que pode determinar o futuro de muitas
organizações.

A questão consequente foi o levantamento e identificação de planos, para prevenção e

recuperação das atividades, bem como a reavaliação quanto à exposição a riscos e
seus impactos.
impactos

Existem metodologias, ferramentas e procedimentos que devem ser observados nas

atividades relativas à recuperação de desastres. Institutos mantêm programas de
treinamento, qualificação e certificação de profissionais, favorecendo a missão de
recovery.
disaster recovery
Já sabemos que muitas organizações não seriam capazes de sobreviver no atual
mercado competitivo sem seus sistemas de informações, que os ajudam a escolher
estratégias.

“Gerenciamento da Continuidade do Negócio é um processo de gerencia

gerenciamento
mento que
que
define potenciais impactos que ameaçam uma organização e provê uma estrutura
resposta
com capacidade para uma re sposta efetiva que garanta os interesses de seus
valor”.
principais interessados, reputação e atividades que agregam valor”.

Objetivo
Objetivo
interrupções
Neutralizar int errupções nas atividades do negócio e proteger processos críticos do
negócio contra os efeitos de grandes falhas ou desastres.
desastres.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 35

O plano de continuidade de negócios é de responsabilidade da classe executiva da

empresa.

Os auditores internos e externos podem auxiliar a escrever o plano, porém cabe à

gerência e/ou diretoria garantir sua eficiência.

Deve existir um estudo prévio onde serão identificadas todas as funções críticas do
negócio, os sistemas envolvidos
envolvidos,
olvidos pessoas responsáveis e usuários.
usuários

O resultado são informações que servem de base para que seja feita a análise de
impacto. A partir daí, já se tem uma ideia do que será o plano inicial, contendo a relação
de funções, sistemas e recursos críticos, estimativa de custos, prazos e recursos
humanos necessários para a realização da análise de impacto.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 36

Análise de impacto
Conhecido mundialmente pela sigla BIA – Business Impact Analysis, esta primeira etapa
do plano de contingências é fundamental, pois fornece informações para o perfeito
dimensionamento das demais fases de sua construção.
Basicamente, o objetivo desta etapa é levantar o grau de relevância entre os processos
ou atividades que são inclusas no escopo da contingência para continuidade do
negócio.

Processos de negócio versus escala de criticidade

Baseado nos resultados desta análise já se possui condições de definir prioridades no

que diz respeito a alocar recursos conforme o orçamento, de saber os níveis de
tolerância e a probabilidade de acontecerem algumas falhas.
Continuando, considerar agora as possíveis ameaças e seu relacionamento com os
processos de negócio e a tolerância.

Processos de negócio / ameaças / tolerância

Agora é possível ter uma noção mais completa da situação, do sinistro que se está
esperando, e o quanto é preciso investir por causa da sua tolerância.
O relatório da análise de impacto deve identificar os recursos, sistemas e funções
críticas para a organização e classificá-los em ordem de importância.
Finalmente deve descrever, para cada um, que tipo de ameaça poderá ocorrer e qual é
o dano que ela causa a esta vulnerabilidade.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 37

Estratégias de contingência
Usualmente as organizações para garantir a continuidade dos negócios podem utilizar
as seguintes estratégias de contingência:

1) Hot-
Hot-site
Recebe este nome por ser uma estratégia pronta para entrar em ação assim que algum
sinistro ocorrer. O tempo de operacionalização desta estratégia está diretamente ligado
ao tempo de tolerância às falhas do objeto. Exemplo: banco de dados.

2) Warm-
Warm-site
Esta estratégia se aplica a objetos com maior tolerância à paralisação, os quais podem
se sujeitar à indisponibilidade por mais tempo.
Exemplo: o serviço de e-mail dependente de uma conexão de comunicação. Veja que o
processo de envio e recebimento de mensagens é mais tolerante que o exemplo usado
na primeira estratégia, pois poderia ficar indisponível por minutos sem comprometer o
serviço ou gerar impactos significativos.

3) Relocação de operação
operação
Esta estratégia objetiva desviar a atividade atingida pelo sinistro para outro ambiente
físico, equipamento ou link, pertencentes a mesma empresa. Ela só é possível com a
existência de “folgas” de recursos que podem ser alocados em situações de desastre.
Exemplo: o redirecionamento do tráfego de dados de um roteador ou servidor com
problemas para outro que possua mais recursos.

4) Bureau de serviços
Considera-se a possibilidade de transferir a operacionalização da atividade atingida
para um ambiente terceirizado, fora dos domínios da empresa.
O seu uso é mais restrito por requerer um tempo de tolerância maior, em função do
tempo de reativação operacional da atividade.
Informações manuseadas por terceiros requerem uma atenção redobrada
principalmente na questão de segurança.

5) Acordo
Acordo de reciprocidade
Nada mais é do que um acordo entre duas empresas que possuem um ambiente de TI
semelhante e que possibilite a relocação de serviços, sem o custo para contratar uma
empresa especializada no assunto.
Este tipo de acordo é comum entre empresas de áreas diferentes e não concorrentes.

6) Cold-
Cold-site
Este modelo propõe uma alternativa de baixo custo para ambientes de TI mas exige
uma tolerância alta, pois o mesmo não suporta alta disponibilidade.
Um exemplo deste modelo é fazer a restauração dos dados a partir de um backup.

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 38

Estratégias de continuidade de negócios

Para estabelecer a estratégia de continuidade de negócios é uma boa prática dividir em
dois planos distintos:

 Plano de recuperação de desastres

desastres
Fornece maneiras de restaurar de forma rápida os sistemas de informação nas
situações de interrupções não-programadas.
Deve contemplar os impactos de uma paralisação e o tempo máximo aceitável de
parada.
Exemplo: restauração de backup, reposição de equipamentos, restabelecimento de
linhas de comunicação.

 Plano de contingência
Consiste em procedimentos de recuperação para minimizar o impacto sobre as
atividades da organização no caso da ocorrência de um desastre ou de um evento
que provoque indisponibilidade da informação, enquanto não é possível restabelecer
a operação normal da organização.
Para que seja realmente efetivo é imprescindível que as regras, as
responsabilidades e os procedimentos estejam bem explícitos e detalhados para as
equipes envolvidas.

Papéis em operação normal e em crise

Prof. Renato Jensen

 AUDITORIA DE SISTEMAS 39

A norma ISO 17799:1-

17799:1- 2005 recomenda que o plano seja desenvolvido e
implementado para a manutenção ou recuperação das operações e para assegurar
assegurar a
disponibilidade da informação no nível requerido e na escala de tempo requerida,
ocorrência de interrupções ou falhas dos processos críticos do negócio.
após a ocorrência

Prof. Renato Jensen