Anlise e Desenvolvimento de Sistemas

4 semestre Turma A
Aula n 08
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas
Fundamentos em Auditoria de SI

Segurana e Auditoria de Sistemas

Contedo Previsto
AUDITORIA EM SISTEMAS DE INFORMAO:
Fundamentos em Auditoria de SI
Metodologia de Auditoria de SI
Ferramentas e Tcnicas de Auditoria de SI
Melhores prticas de Auditoria de SI
Auditoria no processo de aquisio, desenvolvimento, manuteno de SI
Auditoria no processo ou metodologia de desenvolvimento de SI.
Auditoria de SI em produo
Fundamentos em Auditoria de SI

Fundamentos em Auditoria de SI

Auditoria de Sistemas deve proporcionar a organizao:
Adequao,
Reviso,
Avaliao e
Recomendaes para o aprimoramento dos seus SI
Avaliando tambm:
O uso dos recursos humanos,
Materiais e
Tecnolgicos envolvidos no processamento dos mesmos.
Fundamentos em Auditoria de SI

Deve oferecer evidncias que os SIs:
Suportam adequadamente os ativos de
negcios,

Mantendo a integridade dos dados,

Alcanando os objetivos esperados,

Utilizando eficientemente os recursos e,

Cumprindo com as regulamentaes e leis
estabelecidas
Fundamentos em Auditoria de SI

Deve envolver todos os sistemas da empresa:
Operacional,



Ttico ou


Estratgico.
Fundamentos em Auditoria de SI

O COBIT coloca que os objetivos da Auditoria de SIs devem
considerar:
Efetividade,
Eficincia,
Confidencialidade,
Integridade,
Disponibilidade,
Compliance,
Confiana.
Integridade: Correo e completude evidenciados
Confidencialidade: S pessoas autorizadas acessam;
Privacidade: Funes incompatveis esto segregadas. Somente se acessa o que necessrio
Acuidade: As transaes podem ser validadas. Consistncia na entrada de dados
Disponibilidade: Sistema acessvel quando necessrio
Auditabilidade: Logs e trilhas de auditoria
Versatilidade: Deve ser amigvel e flexvel as mudanas
Manutenibilidade: Controles e procedimentos em sua manuteno (contaminao,
remendos, etc.)
Objetivos Globais da Auditoria de SI

Durante o desenvolvimento de sistemas
Auditar a construo desde os requisitos at a implantao, incluindo o
desenvolvimento (ISO 15408);

Tipos de Auditoria

Tipos de Auditoria

Sistemas em Produo
Quanto aos resultados, segurana, correo e tolerncia a falhas;

Resultados Segurana Correo
Tolerncia a
Falhas
Tipos de Auditoria

Ambiente Tecnolgico
Estrutura
Organizacional
Contratos Normas Tcnicas Custos
Uso de
Equipamentos
Planos de
Contingncia e
Segurana
Tipos de Auditoria

Eventos especficos
Anlise de causas, consequncias e aes necessrias em eventos no
cobertos em auditorias anteriores.

Metodologia de Auditoria em SIs

Deve ser flexvel, aderente as diversas modalidades da auditoria
em SIs e alinhada as boas prticas de auditoria do mercado.
Recomenda-se as seguintes fases:



Metodologia de Auditoria em SIs

Planejamento e controle do projeto de auditoria de SIs:
A partir das diretrizes da Alta Direo, estabelecer aes, recursos
necessrios;
Dois Grupos:
1 grupo com o corpo gerencial, definir procedimentos e acompanhar;
2 grupo formado por auditores e tcnicos de Informtica que executam a auditoria
efetivamente;
Recomenda-se utilizar padres de mercado como o PMBOK



Metodologia de Auditoria em SIs

Levantamento do sistema de informao a ser auditado:
Definido o escopo do trabalho, levanta-se as informaes
necessrias sobre o sistema a ser auditado;
Levantamento macro atravs de entrevistas e anlise da
documentao ;
Ferramentas uteis podem ser DFD, MER, Dicionrio de dados,
use cases, diagramas de classe e sequncia, diagramas de
integrao de sistemas (explicam o seu funcionamento)
Define a abrangncia da auditoria;



Metodologia de Auditoria em SIs

Identificao e Inventrio dos Pontos de Controle:
Podem ser identificados em documentos de entrada, relatrios de sadas,
telas, arquivos, BDs, integraes, etc.
Devem ser relacionados e descritos quanto ao controle interno e funes
que exercem no sistema ;
Identificar parmetros, pontos fracos e tcnicas de auditoria adequadas a
sua validao;
Este trabalho deve ser validado pelo grupo de coordenao do Projeto de
Auditoria.



Metodologia de Auditoria em SIs

Priorizao e seleo dos pontos de controle do SI auditado:
Selecionar e priorizar pontos definidos na etapa anterior
baseados em:
Grau de risco do ponto: Prejuzos que podem gerar no
sistema a curto, mdio e longo prazo

Existncia de ameaas: Priorizar os sob forte ameaa;

Disponibilidade de recursos: Pontos que podem ser
auditados com os recursos disponveis;

Reavaliar a priorizao ao longo do trabalho para
confirmar a ordenao estabelecida;




Metodologia de Auditoria em SIs

Avaliao dos pontos de controle:
a auditoria em si!
Nos testes devem ser aplicadas tcnicas adequadas a cada ponto
de controle que evidenciem falhas ou fraquezas.



Metodologia de Auditoria em SIs

Concluso da Auditoria:
Elaborar relatrio com os resultados,
qualquer que seja, refletindo o
diagnstico dos pontos de controle;

As fraquezas devem ser classificadas
como pontos de auditoria e devem
ser apontadas recomendaes para
sua soluo ou mitigao;

Cada ponto de auditoria deve sofrer
reviso e avaliao peridica pelos
analistas e usurios responsveis.
Metodologia de Auditoria em SIs

Acompanhamento da Auditoria:
O (follow-up) acompanhamento da auditoria deve ser realizado
at que todas as recomendaes tenham sido executas e as
fraquezas eliminadas ou mitigadas em um nvel aceitvel pela
organizao.


Ferramentas de Auditoria em SIs

Aliados para a extrao, classificao e seleo de dados e transaes a serem
validadas, apoiando na evidenciao de discrepncias e desvios.
Esta ferramentas podem ser categorizadas em:
Ferramentas Generalistas de auditoria de Tecnologia da Informao
Ferramentas Especializadas de auditoria
Programas utilitrios em geral


Ferramentas de Auditoria em SIs

Ferramentas generalistas de auditoria de Tecnologia da Informao:
Softwares que podem processar, simular, analisar amostras, gerar
estatsticas, sumarizar, apontar duplicidades e outras funes
necessrias ao auditor:
ACL (Audit Comand Language) Software canadense para
extrao e analise de dados;




www.acl.com
Ferramentas de Auditoria em SIs

Ferramentas generalistas de auditoria de Tecnologia da Informao:
Pentana Software de planejamento estratgico de auditoria, com
planejamento e monitoramento de recursos, controle de horas, check-
lists, programas de auditoria como desenho e gerenciamento de plano
de ao.







www.pentana.com


Ferramentas de Auditoria em SIs

Ferramentas generalistas de auditoria de TI:
Vantagens em utiliza-las:
Processar vrios arquivos simultaneamente;
Processar arquivos em formatos diferentes;
Integrao sistmica com vrios tipo de software e
hardware;
Reduz a dependncia do auditor em relao ao
pessoal de TI

Desvantagens em utiliza-las:
Em geral podem ser utilizadas no ambiente online;
Por ser generalistas, podem no atender em casos
mais complexos, que exijam, por exemplo, clculos
complexos.

Ferramentas de Auditoria em SIs

Ferramentas especializadas de auditoria:
Desenvolvidos especificamente para executarem tarefas em
circunstncias definidas. Desenvolvidos pelo auditor, por
especialista da empresa ou por terceiro contratado para isso.
Feito sob medida!
Taylor Made!

Ferramentas de Auditoria em SIs

Vantagem em seu uso atender
demandas especificas como Financeiro
(crdito imobilirio, leasing, carto de
crdito, etc.) ou outras reas de
mercado que assim o exijam;

Como desvantagens podemos
apontar o seu custo de
desenvolvimento e o processo de
atualizao da ferramenta ao longo do
tempo.

Ferramentas de Auditoria em SIs

Programas utilitrios em geral:
Softwares utilitrios de uso geral para classificar arquivos, concatenar
textos, sumarizar, gerar relatrios.
Sendo de uso geral, no possuem recursos necessrios a auditoria como
p.e.: verificao de totais de controle ou gravao de trilhas de auditoria;
Vantagem: Esta em ser utilizado como uma soluo alternativa na falta de
um recurso mais especifico;
Desvantagem: Haver a necessidade de apoio do usurio e de TI.
Tcnicas de Auditoria de SIs

Tcnicas de Auditoria, nada mais so do que as vrias
metodologias adotadas para esse fim. Embora existam muitas,
procuramos focar em algumas delas como base para esta primeira
abordagem:
Dados de teste;
Facilidades de teste integrado;
Simulao paralela;
Lgica de auditoria embutida nos sistemas;
Rastreamento e mapeamento
Anlise da lgica de programao

Tcnicas de Auditoria de SIs

Dados de teste:
Chamados tambm de test data ou testdeck, faz uso de dados especialmente
preparados com o objetivo de testar as funcionalidades de entrada de dados;
Implica em um volume e combinao abrangente de dados e normalmente
utilizado em um ambiente batch ou de testes;
Vantagens: No requer conhecimento de TI na sua elaborao e podem ser
utilizados softwares para isso;
Desvantagens: Dificuldade em conceber uma massa de testes que cubra
todas as combinaes de transaes possveis no ambiente de negcios da
organizao.


Tcnicas de Auditoria de SIs

Facilidade de teste integrado:
Chamado tambm de Integrated Test Facility, realizado em
ambientes online e realtime, quando os dados de testes so
introduzidos no ambiente de produo.
Envolve a introduo de funcionrios fantasmas na folha
de pagamento ou de clientes fictcios no contas a receber.
Os dados do processamento so confrontados com os
dados fictcios e os resultados esperados.
Este procedimento adotado sem anuncia previa dos
operadores ou do gerente responsvel pela produo.
Vantagens: No implica em custo adicional ou ambiente
de testes exclusivo;
Desvantagens: Os efeitos das transaes fictcias devem
ser estornados, causando trabalho extra e ainda existe o
risco de contaminar os dados reais de produo.
Tcnicas de Auditoria de SIs

Simulao paralela:
Envolve o uso de programa especialmente
desenvolvido que comprovadamente, atenda a todas as
lgicas necessrias para o teste, simulando as
funcionalidades do programa em produo a partir
das suas entradas.

Vantagens: Testes no local, no existem custos na
preparao da massa de testes, processa todos os
dados.

Desvantagens: Execuo da simulao com o total de
dados. No existe analise especifica. Exige habilidade
especifica do auditor sobre aquele tipo de sistema.
Tcnicas de Auditoria de SIs

Lgica de auditoria embutida nos Sistemas:
Inclui na fase de desenvolvimento a lgica de auditoria
do sistema, para reviso e acompanhamento dos
procedimentos operacionais.

Vantagens: Auditoria permanente com um simples
acesso do auditor. No apresenta restries quanto a
entrada de dados de testes. Mtodo eficiente e eficaz de
auditoria.

Desvantagens: Custo e tempo adicional no
desenvolvimento. Exige mais recursos do servidor das
estaes dos usurios. Pode impactar em termos de
desempenho.
Tcnicas de Auditoria de SIs

Rastreamento e mapeamento:
Chamada tambm de accountability, baseia-se na
criao de uma trilha de auditoria para acompanhar
os pontos crticos do sistema, registrando seu
comportamento e resultado para uma analise futura.

Vantagens: Ajuda na avaliao dos controles
internos; permite criar alertas quanto aplicao de
controles operacionais e seus cumprimentos; pode
ser utilizado em ambiente de produo ou de teste.

Desvantagens: Exige que o auditor tenha habilidade
avanada de TI e aumenta o tempo de processamento
e consumo de espao em disco no servidor.
Tcnicas de Auditoria de SIs

Anlise da Lgica de Programao:
Trata-se da validao da lgica de programao para garantir que as
instrues dadas ao computador so as mesmas j identificadas nas
documentaes dos sistemas aplicativos.
Esta tcnica pode ser realizada manualmente nos sistemas principais ou mais
crticos para o negcio, ou pode ser realizada por programas / ferramentas
automatizadas.
Melhores prticas de Auditoria de SIs

Falta de padres para a auditoria de sistemas.
Razes para isso so:
a) A auditoria de SI entendida como parte da Auditoria Geral das
Organizaes;
b) As normas de auditoria geralmente aceitas no tratam isoladamente a
auditoria de sistemas;
c) A auditoria de sistemas nunca foi encarada como uma carreira especifica
e sim como um avano da auditoria normal para acompanhar a aplicao
de TI pelas organizaes
Na falta de um padro plenamente aceito para
auditoria de TI, algumas associaes apresentam
regras para nortear a atuao de seus membros,
conforme segue.
Melhores prticas de Auditoria de SIs

Comit de Padres da Associao de Controle e
Auditoria de TI
A Associao de Controle e Auditoria de TI dos
EUA recomenda aos seus membros o seguinte:
Responsabilidade, autoridade e prestao de contas:
Deve ser documentada em uma carta proposta ou de
aderncia de escopo;
Independncia Profissional: Deve ser independente da
rea sob auditoria para uma concluso objetiva da
auditoria;
tica profissional e padres: Adeso ao cdigo de tica
da Associao;
Competncia Deve manter-se em constante
aprimoramento por educao continuada;
Melhores prticas de Auditoria de SIs

Comit de Padres da Associao de Controle e
Auditoria de TI
Planejamento: Deve planejar suas atividades para assegurar
que os objetivos da auditoria sejam alcanados;
Emisso de relatrio: Ao fim da auditoria deve emitido
relatrio contendo o escopo, objetivos, perodo de
abrangncia, natureza e extenso do trabalho executado,
necessrio identificar a organizao, os usurios desejveis e
eventuais restries de circulao. Devem ser includas as
observaes, concluses, recomendaes e quaisquer
ressalvas consideradas necessrias.
Atividades de Follow-Up: O Auditor de TI deve requisitar
e avaliar informaes apropriadas sobre pontos, concluses
e recomendaes anteriores e relevantes para determinar se
aes apropriadas foram implementadas em tempo hbil.
Melhores prticas de Auditoria de SIs

Associao de Auditores de Sistemas e Controles (ISACA)
A ISACA em seu cdigo de tica profissional recomenda que seus
membros observem:
Apoiar a implementao e encorajar o cumprimento com os padres
sugeridos dos procedimentos e controles dos sistemas de informaes
Exercer suas funes com objetividade, diligncia e zelo profissional, de
acordo com os padres profissionais e as melhores prticas;
Servir aos interesses dos stakeholders de forma legal e honesta, atentando
para a manuteno do alto padro de conduta e carter profissional, e no
encorajar atos de descrdito profissional
Melhores prticas de Auditoria de SIs

Associao de Auditores de Sistemas e Controles (ISACA)
Manter privacidade e confidencialidade das informaes obtidas no
decurso de suas funes, exceto quando exigido legalmente. Tais
informaes no devem ser utilizadas em vantagem prpria ou entregue a
pessoas desautorizadas;
Manter competncia nas respectivas especialidades e assegurar que nos
seus exerccios somente atua nas atividades em que tenha razovel
habilidade para competir profissionalmente;
Informar partes envolvidas sobre os resultados de seus trabalhos, expondo
todos os fatos significativos que tiver em seu alcance;
Apoiar a conscientizao profissional dos stakeholders para auxiliar sua
compreenso dos sistemas de informaes, segurana e controle.

https://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf
Auditoria Preventiva
De forma resumida, as funes de aquisio, desenvolvimento, manuteno e
documentao de sistemas incluem, entre outras, as seguintes etapas:
Planejamento de Sistemas de informaes
Especificao, anlise, projeto, programao, teste e implementao de
sistemas novos;
Modificao dos programas das aplicaes existentes;
Manuteno preventiva dos sistemas aplicativos;
Documentao e controle sobre
verses de programas em produo
Aquisio de sistemas, quando for
conveniente.
Auditoria na Aquisio, desenvolvimento,
documentao e manuteno de SIs
Auditoria na Aquisio, desenvolvimento,
documentao e manuteno de SIs
Auditoria Preventiva
importante o envolvimento do Auditor deste o
inicio do desenvolvimento do SI ou do processo de
seleo para aquisio;
Ter o papel de promover a adequao, avaliao e
apresentao de recomendaes para o
aprimoramento de controle interno nos sistemas
de informao da empresa, assim como no uso dos
recursos humanos, materiais, financeiros e
tecnolgicos;
Esta logica deve ser expandida para as fases de
manuteno e documentao do sistema;
Perspectiva preventiva quanto a procedimentos
indevidos.
Auditoria no Processo ou Metodologia de
Desenvolvimento de SIs
Serve para revisar e avaliar o processo de construo dos sistemas, o mtodo e a
metodologia adotados no ciclo de vida do desenvolvimento do aplicativo;
Deve-se atentar a pontos como segurana fsica, confidencialidade, legislao,
eficincia das tcnicas e ferramentas adotadas;
Conforme a metodologia discutida nos slides 7 a 12 podemos adotar o seguinte
roteiro:
Planejamento
Levantamento do sistema a ser
auditado
Inventrio e eleio dos pontos
de controle
Avaliao dos pontos de
Controle
Concluso e acompanhamento
da auditoria
Serve para revisar e avaliar os processos e resultados do SI sob a
tica do controle interno;
Atentando aos aspectos internos como, segurana lgica, fsica,
autenticidade da informao, confidencialidade, compliance com a
leis e normas, eficincia e eficcia.
Seguindo a metodologia discutida nos slides 7 a 12 podemos
adotar o seguinte roteiro:
Planejamento
Levantamento do sistema a ser auditado
Inventrio e eleio dos pontos de controle
Avaliao dos pontos de Controle
Concluso e acompanhamento da auditoria
Auditoria de Sis em produo

REFERENCIAS

LYRA, M. R. Segurana e auditoria em sistema de informao. 1
Edio. Rio de Janeiro: Cincia Moderna, 2008
ITGI, IT Governace Institute, COBIT 4.1 - Modelo, Objetivos de
Controle, Diretrizes de Gerenciamento e Modelos de
Maturidade. Rolling Meadows, IL USA, 2007


Segurana e Auditoria de Sistemas

DVIDAS