Upload
alison-ribeiro
View
215
Download
0
Embed Size (px)
DESCRIPTION
3 - Auditoria02
Citation preview
SEGURANÇA DA INFORMAÇÃO
CONHECENDO O AUDITADO
• Compreender o negócio é essencial para identificar
os riscos e controles.
• Direcionar os esforços da auditoria de forma mais
eficiente.
• Entender o negócio
– Processos
– Pessoas
– Tecnologia
SEGURANÇA DA INFORMAÇÃO
CONHECENDO O AUDITADO
• Algumas questões a serem respondidas
– Existem problemas que o auditor deveria conhecer
melhor?
– Há alguma previsão de mudança na organização?
– Quais são os principais sistemas e bases de
dados?
– Quem o auditor deve entrevistar para obter as
informações de que necessita?
SEGURANÇA DA INFORMAÇÃO
CONHECENDO O AUDITADO
• Fontes de informação:
– Levantamento de auditorias anteriores
– Relatórios de auditorias realizadas
– Relatórios de auditoria interna
– Discussão com a gerência e com outros auditores
que já realizaram trabalhos na unidade a ser auditada
– Orçamento da unidade auditada
– Documentos de estratégia de TI ou Plano Diretor
de TI
– Legislação e normas aplicáveis
– Entrevistas
– Internet
SEGURANÇA DA INFORMAÇÃO
MATRIZ DE PLANEJAMENTO
• Instrumento para organizar as informações
relevantes do planejamento de um auditoria.
• Homogeneização do entendimento da equipe e
demais envolvidos quanto a:
– O objetivo do trabalho
– Os passos a serem seguidos
– A estratégia metodológica a ser adotada
• Orienta os integrantes da equipe nas fases de
execução e de elaboração do relatório.
SEGURANÇA DA INFORMAÇÃO
ELABORAÇÃO DA MATRIZ DE PLANEJAMENTO
• Elaborar o objetivo da auditoria, após o diagnóstico
da situação, e determinar a linha de investigação,
mediante a formulação das questões de auditoria.
• Determinar, para cada questão de auditoria,
possíveis achados, ou seja, onde se deseja chegar
com a investigação.
• Identificar as informações requeridas e onde as obter
(fontes de informação)
SEGURANÇA DA INFORMAÇÃO
ELABORAÇÃO DA MATRIZ DE PLANEJAMENTO
• Elaborar procedimentos e descrevê-los passo a
passo, para colher informações, analisá-las e obter as
evidências com objetivo de responder às questões de
auditoria.
• Identificar o membro da equipe responsável pelo
procedimento.
• Especificar o período de realização do procedimento
(cronograma).
• Identificar os objetos que foram analisados (fase de
execução).
SEGURANÇA DA INFORMAÇÃO
EXECUÇÃO DA AUDITORIA
• Etapas da fase de execução:
– Aplicação dos Procedimento definidos
– Acumulação de Evidências
– Desenvolvimento dos Achados
– Elaboração da Matriz de Achados
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS DE TI
• Objetivo dos Controles
– Prevenir fraudes, erros, desperdícios, abusos
– Proteger o ativo
– Assegurar a obediência às diretrizes, planos,
normas e procedimentos.
– Assegurar a validade e integridade dos dados para
tomada de decisão
– Caráter preventivo
– Voltados para a correção de desvios
– Instrumentos auxiliares de gestão em todos os
níveis hierárquicos
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS DE TI
• Consistem na estrutura, políticas e procedimentos
que se aplicam aos sistemas aplicativos e base de
dados de uma organização.
• Influem no ambiente em que os sistemas aplicativos
e os controles irão operar.
• Buscam garantir a integridade dos sistemas com um
todo, incluindo todos os aplicativos, dados e arquivos.
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS DE TI
• Durante uma auditoria em que seja necessário
avaliar algum sistema ou base de dados em particular,
é preciso inicialmente avaliar os controles gerais que
atuam sobre a estrutura computacional da unidade
auditada.
• Um ambiente de controle estável e bem gerenciado
reforça a efetividade dos controles de aplicativos.
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS DE TI
• Políticas e padrões organizacionais, especialmente
relacionados à TI
• Organização e administração da TI
• Segregação de funções
• Procedimentos de Segurança
• Controles Físicos (de Acesso e Ambiente)
• Controles Lógicos de Acesso
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS DE TI
• Desenvolvimento de sistema e alterações de
programas
• Plano de Continuidade de Negócios (PCN)
• Computação de usuário final
SEGURANÇA DA INFORMAÇÃO
NORMAS E PADRÕES EM AUDITORIA DE TI
• Constituição Federal
• Legislação Brasileira
• CobIT – Governança de TI
• NBR ISO/IEC 38500 – Governança de TI
• ITIL – Serviços de TI
• NBR ISO/IEC 20000 – Serviços de TI
• Série NBR ISO/IEC 27000 – Segurança da
Informação
• Outros padrões
SEGURANÇA DA INFORMAÇÃO
AUDITORIA DE SISTEMAS
• Aborda aspectos de integridade, disponibilidade,
confidencialidade, aderência às normas
(conformidade), controles internos, entrada,
processamento e saída de dados, efetividade,
satisfação e usabilidade de um sistema de informação
em particular.
• Sistemas ainda em desenvolvimento podem ser
avaliados e acompanhados.
SEGURANÇA DA INFORMAÇÃO
AUDITORIA DE SISTEMAS
• Principais enfoques
– Entendimento do negócio: compreender o negócio é
essencial para identificar os riscos e avaliar os
controles;
– Verificação da aderência dos aplicativos à logica e
às regras de negócio;
– Análise do controles gerais aplicados aos sistemas;
– Análise dos controles internos dos aplicativos;
– Verificação da satisfação dos usuários.
SEGURANÇA DA INFORMAÇÃO
AUDITORIA DE SISTEMAS
• Características
– Avaliação das funcionalidades do sistema
– Diversidade de situações: cada sistema implementa
funcionalidades específicas do negócio para o qual foi
desenvolvido.
– Necessidade de conhecimento da legislação
relacionada ao negócio suportado pelo sistema.
– Necessidade de conhecimentos específicos de
Tecnologia da Informação.
– Avaliação de aspectos de conformidade e aspectos
Operacionais.
– Em geral, são auditorias que demandam mais tempo
que auditorias de contratações, por exemplo.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Têm como objetivo garantir que o processamento
seja confiável e exato (integridade das transações) a
partir de controles incorporados diretamente em
programas aplicativos nas três áreas de operação
(entrada, processamento e saída de dados).
• Os controles são específicos para cada aplicativo
pois estão relacionados com a lógica do negócio
implementada.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Os controles de acesso podem variar entre
diferentes aplicativos.
• Os controles gerais oferecem alguma garantia de
que os objetivos gerais de controle são satisfeitos,
agindo como fundação, sobre a qual os controles de
aplicativo específicos podem ser projetados.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Controles de Entrada de Dados
– São projetados para garantir que os dados são
convertidos para um formato padrão e inseridos na
aplicação de forma precisa, completa e tempestiva.
– Eles devem detectar transações não autorizadas,
incompletas, duplicadas ou errôneas, e assegurar que
sejam controladas até serem corrigidas.
– São também conhecidos como críticas de entrada
de dados. Críticas de formatos (data, número), regras
de negócio, regras de integridade.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Controles de Processamento
– Devem assegurar que todos os dados sejam
processados e que o aplicativo seja executado com
sucesso, usando os arquivos, as rotinas e a lógica de
processamento corretos.
– As rotinas de tratamento de erros devem ser
capazes de identificar transações com erros, gerando
mensagens claras e objetivas, e suspender seu
processamento sem afetar a execução de outras
transações válidas.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• O controle deve ser capaz de registrar a ocorrência
dos principais erros para que seja possível identificá-
los tempestivamente e corrigi-los.
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Controles de Saída de Dados
– Devem garantir a integridade e a correta e
tempestiva distribuição dos dados de saída.
– Permitem a revisão e confronto das contagens de
registro de saída com totais de controle para garantir
que os dados não foram inseridos ou omitidos
indevidamente (ex.: totalizadores).
– Devem existir controles para classificar relatórios
considerados confidenciais, críticos ou de acesso
geral, além de restringir o acesso de dados
confidenciais somente às pessoas autorizadas.
SEGURANÇA DA INFORMAÇÃO
SATISFAÇÃO DOS USUÁRIOS
• Busca levantar informações sobre a eficácia e a
eficiência dos sistemas sob o ponto de vista de seus
usuários.
• Verificado por meio de questionários e entrevistas.
• Pode revelar diversos aspectos, problemas,
inconformidades, entre outros fatos que não seriam
detectados apenas pela análise técnica dos sistemas
e seus controles (ex.: deficiências de treinamento).
• Pode ser utilizado para obter indícios sobre a
confiabilidade dos dados.
SEGURANÇA DA INFORMAÇÃO
AUDITORIA
• Aborda aspectos gerenciais da área de TI e visa
certificar-se de que a gestão dos serviços oferecidos,
dos investimentos de TI, das pessoas integrantes, das
políticas, do processo de controle e da própria
estrutura organizacional concorrem para que a
organização atinja seus objetivos de forma eficiente.
• Governança pressupõe gestão contínua dos riscos
tecnológicos.