Grátis 15 pág.
- Denunciar
Pré-visualização | Página 1 de 4
Auditoria de Sistemas: É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com o objetivo de garantir: - A segurança de informações, recursos, serviços e acesso. - A conformidade com objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões. Os recursos podem ser: Humanos, Tecnológicos e Financeiros/Materiais Funções clássicas de uma organização (Antonio Gil): - Planejamento: Informações que exprimem uma expectativa de comportamento futuro (Determinação de padrões) - Execução: Confecção do sistema conforme aprovado pelo cliente (Caracterização de medidas) - Controle: Comparação do trabalho realizado versus o que foi planejado (Acompanhamento de desvios) O Auditor de Sistemas atua como um verificador, segundo as ações de: - Validação: Idéia de TESTE - Avaliação: Emissão de opinião A duplicidade lógica consiste no processo análogo estruturado. O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação e visão abrangente da empresa. Escopo da auditoria: CONTROLES INTERNOS, PROCESSO E CONTROLES DE NEGÓCIO (Antonio Gil) Equipe De Auditoria - Interna: A equipe é treinada de acordo com as medidas de segurança da empresa. A metodologia de auditoria é desenvolvida internamente. O recrutamento/treinamento é um desafio. - Externa: Contratação de um firma de auditores de alguma área ou sistema específico. Nesse caso a chance de perder o controle sobre trabalhos realizados. Em ambos os casos de auditoria, são considerados despesas, já que não existe geração de renda real. O treinamento de auditor de tecnologia da informação é dividido em duas partes: - Pouca/nenhuma experiência em TI: Conceitos de TI, fundamentos de arquitetura, processamento lógico, rede de computadores, programação, introdução aos controles gerais de computadores e estudo de caso. - Experiência em TI: Revisão de controles gerais, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, gerenciamento de risco, avaliação dos sistemas com relação ao processamento em tempo real, transmissão de dados, proteção da informação, controle de operações, controle do acesso aos dados/programas e Software de auditoria. Auditoria Da Tecnologia Da Informação A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos registros, de acordo com os documentos-fonte. Três tipos de abordagens de auditoria de sistemas - Ao redor do computador: O sistema foi usado para tarefas menores gerando relatórios impressos. (não é eficiente por negligências) - Através do computador: Simulação de todas as transações possíveis através de 'test data' esse método alerta quando há manuseio de dados sem deixar evidências documentais razoáveis. - Com o computador: Abordagem com o computador assistida Padrões e Código de Ética para a Auditoria de Sistemas de Informação - Responsabilidade, autoridade e prestação de contas. - Independência profissional: Para permitir uma conclusão objetiva da auditoria. - Ética profissional e padrões: ética da Associação de Controle e Auditoria de Tecnologia da Informação e ter o devido zelo profissional. - Competência: Constante aprimoramento profissional. - Planejamento: Os pontos e as conclusões da auditoria devem ser fundamentados por meio de análise e interpretação apropriadas destas evidências. - Emissão do relatório: O auditor não altera nada no objeto de auditoria apenas contas o laudo sobre o mesmo. - Atividades de follow-up. Auditoria em TI - Confidencialidade - Integridade - Disponibilidade - Consistência - Confiabilidade Código De Ética Profissional (ISACA) - Livro 1: Apoiar a implementação de padrões e encorajar seu cumprimento. - Livro 2: Exercer as funções de auditor com zelo e prática. - Livro 3: Servir os interesses dos stakeholders de forma legal e honesta. - Livro 4: Manter a privacidade das informações. - Livro 5: Competência nas respectivas especialidades. - Livro 6: Informar os resultados da auditoria aos envolvidos. - Livro 7: Apoiar a conscientização profissional dos stakeholders para auxiliar na compreensão dos sistema. Falhas de segurança, tais como fraude, contabilização indevida de dados contábeis, indisponibilidade de sistemas, acessos (lógicos/físicos) indevidos. Planos De Contingência – Gerenciar Mudanças e Surpresas Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço. É necessário para: - Reduzir a suscetibilidade a danos (previamente identificados tentando minimizá los) - Aperfeiçoar a habilidade em sobreviver a descontinuidade de rotinas - Reduzir a descontinuidade de rotinas - Reduzir custos de recuperação Áreas de negócios - Responsáveis pela continuidade da operação em suas áreas - Desenvolvimento de planos em todos os níveis - Incluir os planos das áreas interdependentes - Coordenação das atividades (gerenciais a confecção dos planos de contingência) Riscos e Ameaças (Relacionados aos Ativos) - Ameaças: Acidentais ou Deliberadas (Passivas/Ativas) - Recurso: Um componente físico - Vulnerabilidade - Ataque: Ameaça concretizada (Perda de Confidencialidade, Integridade ou Disponibilidade) - Impacto: Resultado do ataque (Direto ou Indireto) - Risco: Ameaça, vulnerabilidade e impactos Funções, sistemas ou áreas: Lugares para identificar no plano de contingência. Matriz de Risco (Ameaça, impacto, probabilidade, escore de risco) Levantamento de riscos envolvidos (Brainstorming) Depende de mim ou do meu pessoal? Se sim, é erro, senão, é risco. Dar pesos aos critérios (probabilidade e impacto) e observar o comportamento de cada risco em relação aos critérios Impacto: Curto e Longo prazo - Impacto irrelevante - Efeito pouco significativo - Sistemas não disponíveis por um determinado período - Perda financeira de maior vulto - Efeitos desastrosos (Sem comprometer a empresa) - Efeitos desastrosos (Comprometendo a empresa) Probabilidade - Improvável - Menos de um vez ao ano - Pelo menos uma vez ao ano - Uma vez ao mês - Uma vez por semana - Diariamente Controles - Eliminar o risco - Reduzir a um nível aceitável - Limitar o dano, reduzir impacto - Compensar o dano por meio de seguros Planos de contingência - Plano de Emergência - Respostas de risco a serem seguidas na eventualidade de uma ameaça ocorrer - Plano de Backup - Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. - Plano de Recuperação - São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Aula 3: Realizando Uma Auditoria FASES DA AUDITORIA (4) - Planejamento: É necessário escolher quais os sistemas que são passíveis de serem auditados (escore de risco) Controle de Negócios: São controles específicos para cada projeto, conforme o produto para qual o sistema dará suporte operacional. Cronograma: Estimativa de tempo que será gasto em cada PONTO DE CONTROLE. O ORÇAMENTO é baseado nas atividades identificadas para a condução da auditoria em questão. - Execução: Trabalho de campo, verificação da existência dos controles internos, processos e controles de negócios. Testes, análise de documentações, entrevistas com os envolvidos da(s) área(s) e Identificação de vulnerabilidades. - Emissão e divulgação de relatórios: Baseado no trabalho realizado na EXECUÇÃO é gerado um relatório com a nota conforme falhas emitidas e não resolvidas até o momento. - Follow-Up FUNCIONAMENTO DA AUDITORIA DE SISTEMAS: Auditoria