Transcript
  • Alessandro Manolti

    "' EDITORA\,;", CINCIA MODERNA

  • Curso Prtico. Auditoria de SistemasCompreenda como Funciona o processo de Autoditoria Interna eExterna em Sistemas de Informao de uma forma PraticaCopyright@Editora Cincia Moderna Ltda., 2010

    Todos os direitos para a lingua portuguesa reservados pela EDITORACIl::NCIAMODERNA LTOA.

    De acordo com a Lei 9.610, de 19/211998, nenhuma parte deste livro poder serreproduzida, transmitida e gravada, por qualquer meio eletrnico, mecnico, porfotocpia e outros, sem a prvia autorizao, por escrito, da Editora.

    Editor: PauloAndr P.MarquesSuperviso Editorial: Aline Vieira MarquesCopidesque: Aline Vieira MarquesCapa: Flvia LamegoDiagramao: TatianaNevesAssistente Editorial: VanessaMotta

    Vrias Marcas Registradas aparecem no decorrer deste livro. Mais do quesimplesmente listar esses nomes e informar quem possui seus direitos deexplorao, ou ainda imprimir os logotipos das mesmas, o editor declara es-tar utilizando tais nomes apenas para fins editoriais, em beneficio exclusivodo dono da Marca Registrada, sem inteno de infringir as regras de suautilizao. Qualquer semelhana em nomes prprios e acontecimentos sermera coincidncia.

    FICHA CATALOGRFICA

    1MNOm. Ak>_Curso Prtico. Auditoria de Sistemas

    Compreenda como Funciona o processo de Autoditoria Interna eExterna em Sistemas de Informao de uma forma Prtica

    Rio de Janeiro: Editora Cincia Moderna Uda., 2010.

    1.Teoriada Informaol-Titulo

    ISBN: 978-85-7393-940-8

    Editora Cincia Moderna ltda.R. Alice Figueiredo, 46 - RiachueloRio de Janeiro, RJ - Brasil CEP: 20.950-150Tel: (21) 2201-6662/ Fax: (21) 2201-6896

    [email protected]

    WWW.LCM.COM.BR

    CDD 003.54

    07/10

  • Sumrio

    So b re o Autor ................................................ XIIIAg rodeei mentos .................................................................... XVPref eio ............................................................................ XVIIPrefcios. Convidados .................................................. XIX

    Prog ro mo do Curso ................................................................. 2

    Captulo IOs Sistemas de Informao ........................................................... 5

    ba ea ............................................................................ 5

    Pa sea Iina .................................6

    Tear de Jaequard ...........................7

    M qui na di ferene ia J 8

    A primeira programadora 9

    A mquina Tabuladora de Hollerilh ..................10

  • IV CursoPrtico. Auditoria de Sistemas

    Gera\a da, (omputadare, .................................................................. 11

    (omponente, de um P( ...................................................................... 14

    Hi,tria da Inlemel ............................................................................ 16

    Hi,trico da Auditoria ............................................................................ 19

    Audiloria de Si,temo, .......................................................................... 20

    Captula 2Auditaria e Gavernaoa de TI 23

    Gerenciamento de Risco 23

    Risco, e Ameo\a, ................................................................................. 24

    Metodologia OCTAVE@....................................................................... 25

    Ambieote de Produ\o - Um Grande Voreji,ta de Elelroelelrnico,-

    Onl ine Shop ................................................................................ 29

    Normativo, Internacionoi" Lei, e Regulomento\e, (SOX, BASILEIA 11,

    (V M) .......... 3 O

    Framework, de Boa, Prtico, de TI: (OBIT, ITIL, ISO 27001 ..................... 31

    Indicadores de Governan~a. Estra1gia de TI vs. Negcio 33

    Tcnicas de entrevista de auditoria 34

    Entrevista vs.lnlerrogalrio 34

    Conduzindo a entrevista 3S

    Do cume nta ndo a Entrev isto 37

    Ulilizando a Entrevista na Auditoria 38

    (ontrole, Gerai, de TI ............................................................................. 40

    Tipo, de (onlrole, ...................................................................... 41

    (onlrole, Gerai, de TI .................................................................... 42

  • Sumrio V

    Captulo 3Anlise da Infraestrutura e Sistemas Informalizados .............. 4S

    RFP- Solicitoo de Proposta (Request For Proposol) .............................. 45

    Objetivo da (ontratao ....................................................................... 46

    Escopo - Oual o Servio .................................................................... 47

    Escopo - Permetro ............................................................................ 47

    Escopo - Volumes e 8aseline ............................................................... 48

    Minula de (ontrolo .............................................................................. 48

    Forma de opurao do Preo 49

    Inditadores de Oesempenho ........................................................... 49

    Atordo de Nvel de Servio (SLA) ...................................................... 49

    Inlroduo ao (MMI 51

    O que qualidade de software? 51O que um processo de Software? Sl8enefcios da terlifitao de qualidade .............................................. 52

    (apabilily Malurily Modellntegralion.(MMI ................................... 52

    Nveis do prote"o (MMI ..................................................................... 53

    Matriz de Risco para projetos de implantao SS

    Planejar a avaliao de riscos ............................................................ 56

    Identificando objetivos ou necessidades S6Instrues de Preenchimento da Matriz de Riscos S6

    Gerenciamento de Mudanas S9

    Solicilao de Mudana - Rf( (Requesl for (honge) ........................... 60

    Geslo de Oualidade - Testes de Esgolamenlo de Oesempenho (Stre"

    Te s Is) .......................................................................................................... 62

    (onsideroes sobre Testes de Stre" ................................................... 63

  • VI (urso Prtico. Auditoria de Sistemas

    Relalrios de Tesles de Slress .............................................. 63

    Resoiulo de Problemas .............................................. 64

    Planeiamenfo de Copacidode e Ferramenlas ................................. 65

    Captulo 4Gesto de Nveis de Servios .................................... 69

    Gesfo de Nveis de ServiloS (SLM definilo ITIl) ................................... 69

    Misso ................................................................................................ 69

    Ob iel ivos ........................................................................................... 69

    Acardos de Nveis de ServiloS (SlA) 70

    Clusulas contratuais ma is importantes 71

    Captulo 5Seg urana dos Ativos de Informao ............................... 73

    Gesl o da Seg ura nla .................................................................................. 73

    Polticas, Padres e Procedimentos 7S

    Objelivo das Polticas Normas e Procedimentos Inlernos 7S

    Gesfo de Acesso lgico ......................................................................... 77

    Funcionalidades de Sohware de Acesso lgico 78

    Pe rli s deU su rio ................................................................................. 78

    Grupos de AceSlO............................................................................... 79

    Segregalo de Funles/Papis e Responsabilidades 79

    Arquivos acesso Windows (Aclive Directory e Hosllocal) Inlerface

    grfica para criaSo de usurio e associar grupos 80

    Arquiva /elc/passwd e /elc/graup do Unix/linux ............................... 82

  • Sumrio VII

    Idenlifi,ao e Autenti,aa ....... :........................................... 83

    Engen ha riaSa, ia I ............................................................. 84

    Segurana da Permetro de Rede ............................................... 85

    Ameaa, da InterneI ............................................................ 85

    Cenrio de Ameaa .............................................................. 86

    O Firewa II ...................................................................................... 86

    Si,lema de Oele'a de Inlru,o, (lOS) .............................................. 87

    Arquitelura de Rede - Multi.Tier (Multi-Camada) 88

    WI.FI - Wireless Fidelity - Rede, Sem Fia ........................................ 88

    Criplag ra fia ........................................................................................ 90

    Cama Auditor a Segurana do Permetro de Rede? ........................... 91

    Segurana Ambienlal e Controle, ........................................................... 92

    Problema, e Expo,ie, Amb ienla i, .................................................. 92

    Canlrale, Ambienlai, ..................................................................... 92

    Riscos e vulnerabilidades de Acesso Fsico 93

    Amea a, ....................................................................................... 94

    Canlrale, de A,essa F,i,a ................................................................... 94

    Captulo 6Continuidade de Negcio, Recuperao de Desastre & Plano deConti ngncia de TI 97

    Plana de Re,uperao de Oe,a,lre, e 81A. 8u,ine" Impa" Analy,i, 97

    Continuidade de Negcio X Contingncia de TI ......................................... 99

    O que Continuidade de Negcio ...................................................... 99Coma Aud ila r? ......................................................................... 99

    O que Contingncia de TI ................................................................. 99

  • VIII Curso Prtico. Auditoria de Sislemos

    (orno Audifar? 100

    Captula 7Trabalhas de Suporte a Auditaria ............................................. 103

    Suporfe a Oufra, Audiforia, 103

    Ferramenfa, de exlralo e onli,e de dado,. (AAT, 104

    (onceito de banco de dado, ..................................................................... 104

    O que um Banco de Oodo,? 105

    O que uma Tabelo? 105

    Tipo, de dado, 106

    Rei a ciona m e nl os ................... 106

    (on, ulfo, ............................................................................................ 107

    A Funlo PROCV(ou VlOOKUP) - MS.Excel ................................... 108

    O que uma Sal? ........................................................................ 110

    Tcnica, de Amo'fragem .................................................................... 111

    E,tatstico ................................................................................. 111

    No Esfat,tica ........................................................................... 112

    Captula 8Formalizaa dos Papis de Trabalho da Auditoria 115

    Objelivo do, pa pi, de fra bolha ........................................................... 115

    Modelo de Papel de Trabalho. Fluxograma ......................................... 116

    Modelo de Papel de Trabalho. Nola Narrativa ..................................... 117

    (oneiu,o da Audiforia ..................................................................... 118

    Modelo de Papel de Trabalho. Pragrama de Trabalho/li'fa de Verificalo

  • Sumrio IX

    (Checkl i'I) ......... I 18

    Modelo de Papel de Trabalho - Que,tionrio 119

    Requi,ilo, do, Popi, de Trabalho 120

    Orgonizolo do, Popi, de Trabalho ........................................................ 121

    Captulo 9Relatrio Final de Auditoria e Acompanhamento .................... 123

    Rascunho, Reviso, Concluses, Recomendaes 123

    Acompanhamento da implantala da, recamendale, ........................ 124

    ANEXOS

    Anexo 1Modelo de RFP ............................................................. 127

    1. Objetiva, da www.Online.hap.net.br ............................................... 128

    2. Norma, de Participa l o ...................................................................... 129

    2.1. Documenlala Requerida ........................................................... 129

    2.2. Autoridade para Assinatura ..................................................... 130

    2.3. Termo de Canfidencialidade ...................................................... 131

    2.4. Validade do Propo,to .................................................................. 131

    2.5. Contedo, Vigncia e Reviso Contratuais 131

    2.6. Condile, de Pagamento 132

    2.7. De,vinculolo e Copocilolo ..................................................... 133

    3. Propo,to Comercio I ........................................................................... 133

    3.1. Formolo do Propo,lo ................................................................. 133

  • X {urso Prtico. Auditoriade Sistemas

    3.2. Prelos ......................................................................................... 134

    3.3. Entrego do Proposto .......................................................... 134

    3.4. Informoles sobre o Projeto .................................................... 135

    3.5. Responsabilidades do Empresa Conlrotodo ........................... 135

    4. Processo de Concorrncia e Negocia~o ........................................... 136

    4.1. Cronograma de Atividades ............................................... 136

    4.2. Avalialo das Propostas e Negocialo ................................. 136

    5 Dispas Iles Fina is .............................................................................. 137

    ITEM A Ficha Cadastral do Fornecedor ............................. 139

    Identificala do Fornecedor .................................................................... 139

    Identificalo dos Cantatas .................................................................... 140

    Dados da Empresa ....................................................................... 141

    ITEM B Obrigaes e Responsabilidades ......................... 141

    1 Localidades ....................................................................................... 141

    2 - Avalialo da implantalo: .............................................................. 141

    3. (ondi~es de garantia, SLA e servi~os de manulen$o 142

    Ambiente de Produlo (Sys 11 e Sys 6) 143

    Ambiente de Homologalo (Sys 9) .................................................. 144

    Ambiente de Desenvolvimento (Sys 7) ........................................... 144

    4. Informa~es adiciona is 145

    4.1 Avaliales da Proposta e Negocialo ...................................... 145

    4.2 Notificales do Resultado 147

  • Sumrio XI

    5. Obrigaes e respansabilidades ............................................... 147

    ITEM C Formato da Proposta ....................................... 150

    ITEM O - Especificaes Tcnicas dos Servios ........................ 152

    Introd uo ................................................................... 153

    Planejamento Inicial do Projeto de Converso .......................... 154

    Projeto Converso de ACF2 para RACF........................................ 156

    Metodolog ia de Converso: ................................................... 158

    ITEM E - Poltica de Segurana da Informao 163

    Princpios da Seguran~a da Informa~o: 164

    ITEM F Termo de Responsabilidade ............................. 165

    Anexo 2Modelos de SLA........................................................ 167

    Anexo 3Links e Referncias de Auditoria de TI e Segurana da Infor-ma o ..... 175

    Unks e Referncias de Auditoria de 11 e Segurana da Informao . 175

    Associaes e rgos de Classe .................................. 175

    Frameworks, Normativos e Boas Prth:as de Mercado 176

  • XII Cuno Prtico. Auditoria de Sistemas

    Meio Acadmico, Governamental e Militar ........................ 177

    Empresas de (onsullorio e Servios ................................ 178

    Referncias Diversas, Revistas, 810gs e Materiais 179

    Anexo 4GI055 ri o 183

  • Sobre o Autor

    ALES SANDRO MANOTTI, [email protected]

    Profissional com mais de 12 anos na area Auditoria de Sistemas eSegurana da Informao, atuando em projetos de instituies fi-nanceiras, telecomunicaes e indstrias no Brasil e Exterior.

    Atualmente locallnformation Security Officer da maior empresado mundo em servios de terceirizao para processos de negci-os (BPO) e profissional certificado pela ISACA como CertifiedInformation System Auditor (CISA).

    Trabalhou como Coordenador de Auditoria de Sistemas em umdos maiores grupos financeiros internacionais da Europa, consul-tor em duas das BIG4 de Auditoria, realizando projetos de audito-ria, normatizao (SOX, Basilia 11, CVM), conscientizao comfoco em padres internacionais (CO BIT ITll, IS027001) e partici-pao em grandes projetos como Gesto de Identidades.

  • Agradecimentos

    Primeiramente a Deus por esta oportunidade, minha esposa, Ceci-lia Pala Denadai, que tem me apoiado nessa grande jornada davida, a todos meus familiares, sobrinhos e mascotes prediletos.

    Profissionalmente, a todos meus gestores e colegas das empre-sas onde trabalhei, e trabalho atualmente, estes em algum mo-mento contriburam! contribuem para meu crescimento profissio-nal pelos desafios que me apresentam e me fazem evoluir comoprofissional.

  • Prefcio

    Senti a necessidade de desenvolver esse material para preencheruma lacuna de formao, cursos e conhecimento prtico sobre oassunto Auditoria de Sistemas aos profissionais de Tecnologia daInformao, ou seja, a aplicao prtica de todas as metodologiase boas prticas que vemos no mercado de TI.

    Entendo que o objetivo principal das empresas sua rea estrat-gica, seu Core Business, ou seja. sua misso como empresa e aTecnologia da Informao entra nesse cenrio como agente trans-formador e realizador dessa misso.

    Dai a necessidade de simplificar o assunto para diversas audincias,seja o prprio auditor, o agente de segurana da informao, o gestorde TI ou mesmo a prpria rea de negcio interessada em manter umnivel maior de controle sobre seus processos automatizados.

    Boa Prtica.

  • Prefcios. Convidados

    Agnaldo Gonalves

    Quando pensamos em segurana das informaes nas corporaes,precisamos lembrar que essa uma disciplina relativamente novaem comparao com as outras areas do conhecimento humano,embora os sistemas de controle de confidencialidade, tais como acifragem, a criptografia ou a guarda de documentos em cofres,existam desde os primrdios da histria. Por exemplo: Jlio Cesar,Imperador Romano, ja empregava a cifragem criptografica em suasmensagens transmitidas em papel por meio de mensageiros; nasgrandes guerras, outros sistemas para guarda de segredos, frmu-las e conhecimentos foram desenvolvidos e utilizados.

    Com o advento da computao cientfica e comercial, a partir dadcada de 1960, surgiram as disciplinas de Analise de Sistemas,Programao de Computadores eAuditoria de Sistemas, que cres-ceram com a aplicao da cincia dos computadores nos meiosacadmicos, cientificos, industriais e comerciais.

    Dentre essas disciplinas, deve ser destacada aAuditoria de Siste-mas, pois foi pelo seu desenvolvimento que a disciplina de Segu-

  • xx Curso Prtico. Auditoria de Sistemas

    rana da Informao comeou a ser delineada e sistematizadapelos primeiros profissionais interessados no assunto. Isto se deveao fato de que a Auditoria de Sistemas nasceu justamente paraverificar e certificar se os sistemas computacionais esto de acor-do com as premissas para as quais originalmente os mesmosforam criados; se controles suficientes esto incorporados aoscdigos para permitir que exista uma confiabilidade minima e, as-sim, seja dado um conforto aos usurios e detentores de tal siste-ma; fazer com que haja uma garantia de manuteno da referidaconfiabilidade ao longo do tempo de vida do sistema.

    Com a evoluo visivel nas transaes entre entidades, provocadapelo advento da globalizao, traz um novo papel para o processode auditoria, principalmente depois dos recentes escndalos degrandes empresas que, por exemplo, forneceram informaescontbeis distorcidas e irreais aos seus negociadores de aes.Ao resultar em grandes prejuizos para alguns acionistas, isto osleva a falta de confiana sobre a veracidade das informaesdivulgadas pelas empresas de um modo geral e cria certa instabi-lidade em relao segurana nos negcios e a credibilidade dasauditorias, internas e externas.

    Este livro aborda de maneira concreta e objetiva o principal proble-ma de algumas reas de auditoria, ou seja, a ausncia de umadiscusso ou mesmo uma vivncia prtica mais profunda do audi-tor no meio empresarial, bem como sua inter-relao com o pro-cesso de Governana Corporativa.

    Deste modo, o objetivo desta obra, muito bem escrita pelo meuamigo Alessandro Zacarias Manotli, demonstrar na prtica comorealizar uma auditoria em sistemas computacionais, direcionando oauditor na evoluo da mesma al seu objetivo final, explicitando eevidenciando suas formas de apresentao (interna e externa). E,por fim, apresentando facilidades muito bem demonstradas evivenciadas pelo autor durante os vrios anos de sua experincia noassunto, focando o surgimento, bem como a importncia da prticado auditor em lodo o processo dentro da Governana Corporativa.

  • Prefcios Convidados XXI

    Agnaldo Gonalves especialista em Gesto daSegurana da Informao pelo Instituto de PesquisaEnergtica e Nuclear da Universidade de So Paulo-IPENIUSP graduado em Cincia da Computao,com especializao em Gesto de Projetos. Adquiriuexperincia profissional nas atividades de plano decontinuidade de negcios, gerenciamento de riscos,planejamento e controle de projetos e em gesto dasegurana da informao para Infraestrutura e Apli-caes de T.I. em indstrias automobilisticas e devenda de energia eltrica, consultorias, empresa detelecomunicao e instituio financeira.

    Atualmente atua em uma das maiores empresas deTelecomunicaes do mundo. Coordena equipes deGerenciamento de Riscos e Processos, Gerenciamentode Projetos de Aplicao e Infraestrutura de Seguran-a para TI, no planejamento e controle das adequa-es as exigncias da Lei Sarbanes-Oxley (SOX) eatendimento as Auditorias internas e externas, em to-dos os Projetos Corporativos onde exista a necessida-de de validao elou avaliao de segurana.

    Durante os anos de 2002 at 2007 foi professor Titulardos Departamentos de InfonnMica e de Administraode Empresas do Centro Universitario talo Brasileiro,ministrando aulas nas disciplinas de SistemasOperacionais, Metodologia e Pesquisa Cientifica, Sis-temas de Infonnaes Gerenciais. Orientador de gru-pos de Trabalho de Concluso de Curso em pesquisasna area de Sistemas de Informao. Professor Titulardo curso de ps-graduao em Gesto e Tecnologiaspara Segurana da Infonnao da Faculdade Impacta,ministrando aulas na disciplina NRS - Normas e Regu-lamentaes (NBR ISOIIEC 17799, BS 7799, ISO).

    *****

  • XXII Curso Prtico. Auditoria de Sistemas

    John Dale

    o ano: 1999; os palses mais desenvolvidos e as grandes corporaesse conscientizam que o "fim do mundo" realmente estava prximo,a sua dependncia da tecnologia da informao chegou ao Mximo,no necessariamente em sua melhor forma, mas a dependncia eratotal e irreversivel.

    Algo deveria ser feito rapidamente para resolver os problemas dei-xados pelo legado das tecnologias mais antigas, e at a crenaque o ano 2000 estava to longe, portanto o duplo zero poderia seraproveitado com algum significado diverso de ano.

    Tecnologia da informao um segmento que passa constantestransformaes, que somos forados a acompanhar criteriosamente, tambm constantemente e extremamente visado por inmeraspessoas e at por governos, mal intencionados. A cada verso mu-dana, a cada momento, novos problemas e vulnerabilidades sogerados ou descobertos.

    Assim, necessrio um processo ou uma metodologia que permeiee ultrapasse as mudanas constantes que fazem parte do desen-volvimento e utilizao da tecnologia da informao.

    Muito se faz e se fala nessa rea, diversas organizaes, profissi-onais e acadmicas, desenvolvem, divulgam e implantam procedi-mentos, processos e metodologias que, dentro dos objetivos paraos quais foram criados so eficazes, mas exigem estudos profun-dos para sua compreenso.

    Agora, para acompanhar esta ciranda cheia de especificidades, ede cuja eficincia e eficcia dependem muitos negcios e estadose, at vidas, so necessrios profissionais de viso e dedicaoimpar, para no mencionar seu conhecimento e experincia. Umacategoria importante desses profissionais so os auditores, queprocuram garantir que seja sempre utilizado o "estado da arte" natcnica de defesa, preveno, tratamento de vulnerabilidades, ris-

  • Prefcios Convidados I XXIII

    cos, entre outros, visando garantir que a tecnologia oferea a se-gurana adequada para o valor econmico do negcio comprome-tido e dependente da tecnologia,

    Sim, proteger sua tecnologia, mesmo que esta seja apenas ummeio para viabilizar seu negcio, proteger o seu negcio.

    Dos poucos profissionais competentes para ser auditores de seguran-a, Alessandro demonstrou sua capacidade ao sintetizar e simplificaros procedimentos de auditoria conquistados em sua carreira exemplar.

    Tanto na teoria quanto prtica, transformando este livro em instru-mento til tanto para os nefitos quanto para os mais experientes,que necessitem implantar rpida e economicamente umametodologia de auditoria que contribua com a segurana datecnologia em sua organizao.

    Na segurana das informaes, so os detalhes que fazem a diferen-a. Muitas vezes a tecnologia da informao somente um suportepara seu negcio, mas invariavelmente sua importncia tal que suafalta inviabiliza o negcio. Assim, a auditoria importante para garantira aderncia aos preceitos de segurana tanto da organizao quantodo mercado, e assim contribuir para que a tecnologia esteja sempredisponlvel e confivel para atender ao negcio, de maneira econmica.

    John Da/e possui mais de 30 anos de slida experi-ncia profissional, atuando como gestor de projetosh mais de 20 anos, em projetos de diversos portesem Engenharia, TI e TELECaM, utilizando como re-ferncia o PMBoKlPMI. Atua como consultor, espe-cialista no gerenciamento de riscos e na recuperaode projetos, com a aplicao de modelos de seguran-a e de riscos como' ASIS, ISSA, ISACA, COSO,BS7799, ASlNZS4360. Mestrando em Engenharia deProduo, scio da Dale Consulting (consultoria etreinamento em gerenciamento de projetos e seguran-a da informao, representante de empresas interna-

  • XXIV (urso Prtico ~Auditoria de Sistemas

    cionais no Brasil), professor de Ps-Graduao emGerenciamento de Projetos no IBTA (VerisllBMEC) ede Graduao em Segurana da Informao da FATEC.Com experincia internacional, chegou a sero respon-svel pela rea de informtica em empresas de porte,inclusive um jornal. Trabalhou como consultor em em-presa BIG 4 realizando grandes projetos em empresasfinanceiras, construo, varejo, energia, entre outros.

    Sua vivncia inclui:

    Fundao do primeiro Chapterdo PMI no Brasil (SP),membro ativo do primeiro grupo formal de profissio-nais que deu origem ao movimento para ogerenciamento de projetos no Brasil .

    Desenvolvimento e adequao de escritrios de pro-jetos com modelos baseados em maturidade de pro-jetos (OPM3, P3M3 e CMMi) .

    Planejamento de continuidade de negcios,conlingenciamento tecnolgico, polificas, normas epro-cedimentos de segurana (BS 7799), desenho de pro-cessos, avaliao de riscos (ASINZS4360) e implan-tao de controles .

    Gesto de projetos de engenharia industrial .

    Implantao de aplicaes ERP e atuao comoGerente de TI em industrias .

    Recuperao de projetos em risco, de engenhariae de TI.

    Experincia na atuao em diversos projetos acimade 150 milhes de USO.

    *****

  • Prefcios Convidados

    Ni/ton Cesar Ferreira

    Este livro uma excelente referncia ao tema Auditoria de Siste-mas, por meio dele, o amigoAlessandro consegue apresentar umaviso diferente e inovadora sobre o tema. A praticidade uma ca-racterstica forte do livro e tudo que apresentado nele fruto dasua vivncia em Auditoria de Sistemas.

    Nilton Cesar Ferreira profissional com mais de 11anos na rea Auditoria de Sistemas, atuando em pro-jefos de instituies financeiras no Brasil e Exterior,

    Certificado pela ISACA como Certified InformationSystem Auditor(CISA),

    Certificado pela APMG-US como /TIL v3 Foundation,

    Atualmente Auditor Coordenador Snior em um dosmaiores grupos financeiros intemacionais da Europa, atu-ando emprojetos de auditoria intema,normazao (SOx,Basilia 11,Bacen, Susep e CVM), conscientizao comfoco empadres intemacionais (COBIT,/TIL, IS027001).

    "O amigo ama em todo o tempo; e para a angstianasce o irmo. " Provrbios 17: 17

    """"fi

    Olavo Jose Anchieschi Gomes

    O termo Auditoria definido segundo a enciclopdia virtualWikipdia, como um exame cuidadoso, sistemtico e indepen-dente das atividades desenvolvidas em determinada empresa ousetor, cujo objetivo averiguar se elas esto de acordo com asdisposies planejadas ou estabelecidas previamente, se foramimplementadas com eficcia e se esto adequadas (em conformi-dade) consecuo dos objetivos,

  • XXVI Curso Prtico. Auditoria de Sistemas

    Nos ltimos anos, presenciamos escndalos como o da empresaENRON e o avano da crise financeira mundial. Tais acontecimen-tos foram desencadeados devido inexistncia ou ineficcia dosprocessos e controles, acarretando prejuizos imensurveis paraos colaboradores e investidores.

    Consequentemente, o papel do auditor ganhou destaque e impor-tncia no mundo corporativo, permitindo estabelecer maior trans-parncia e independncia nas relaes de negcios.

    Com o advento tecnolgico e o processo de disseminao do co-nhecimento, os sistemas de informao assumiram um papel signi-ficativo nas organizaes gerando informaes integras e confiveispara a operacionalizao dos processos, produtos, servios e tam-bm para o auxilio no processo de tomada de deciso.

    Assim sendo, dever do auditor garantir que os sistemas estejamalinhados aos requisitos de segurana, bem como verificar se a ado-o de controles est em consonncia com a criticidade do negcio.

    Alessandro Manolti aborda de forma prtica e concisa, a realiza-o de procedimentos que visam aprimorar a govemana corporativa.Dentre eles, podemos destacar a Gesto de Nveis de Servios,Segurana das Informaes e a Continuidade dos Negcios.

    Trata-se, portanto, de obra extremamente valiosa para o auditor tercomo referncia e consulta nos momentos de dvida ou tomadasde decises.

    Por fim, pode ser utilizada tambm por aqueles que desejam in-gressar na carreira de Auditor e que buscam literatura de qualida-de, escrita por um profissional altamente qualificado.

    Olavo Jose Anchieschi Gomes, esta h1i mais de 10anos de experincia na aroa, foi Gestorde Auditoria emTI em Bolsa de Valores onde participou e contribui noPrograma de Qualificao Operacional (PQO), visando

  • Prefcios Convidados I XXVII

    aprimorar e certificar os controles e sistemas de infor-mao dos participantes do mercado financeiro. Tam-bm coordenou projetos de Segurana da informao eAuditoria em grandes empresas, incluindo ConsultoriasBIG4, Segmento Financeiro e Govemos.

    Como instrutor, atuou em vrios treinamentos volta-dos para Legislao Digital, Auditoria de TI e Segu-rana da Informao, em cursos de Ps Graduao.Possui diversas certificaes internacionais do ramo,incluindo CFE, CGEIT, ISSO/IEC27001, sendo PsGraduado em Gesto da Segurana da Informaopela Universidade de So Paulo-IPEN.

    Atualmente est cursando MBA em Gerenciamentode Pessoas pela Central Queensland University- CQUna Austrlia onde participa de projetos acadmicosenvolvendo Segurana e Nanotecnologia

    *****

    Fernando Nicolau F. Ferreira

    Este curso, desenvolvido pelo meu amigo Alessandro Manotti, re-ne os tpicos necessrios a serem observados em trabalhos deauditoria de sistemas. Baseado em melhores prticas internacio-nais, o curso orienta os profissionais com informaes atualizadassobre o ciclo de vida da auditoria de tecnologia da informao.

    o autor est se dedicando h anos profisso, teve a oportunida-de de efetuar diversos trabalhos e avaliaes em empresas de todoo tipo de porte e prover recomendaes de melhoria para os pon-tos identificados. Tudo para evitar situaes que prejudiquem obom andamento dos negcios.

    E com base na experincia prtica e na excelente bibliografia dereferncia que esse curso alcana o objetivo de apresentar didati-

  • XXVIII I Curso Prtico. Auditoria de Sistemas

    camente um tema que, atualmente, uma das grandes preocupa-es dos gestores empresariais.

    So abordados, de maneira clara e direta, assuntos como a anli-se da infra-estrutura e sistemas informatizados; matriz de riscos;gerenciamento de mudanas; gesto de niveis de servios; segu-rana nos ativos de informao; controles gerais; continuidade denegcio; recuperao de desastre; plano de contingncia de TI;atividades para elaborao de relatrio final de auditoria e acompa-nhamento; enfim, os requisitos mais importantes e que no podemser deixados de lado em trabalhos de auditoria.

    Trata-se, portanto, de um curso extremamente valioso para os pro-fissionais, pois pode auxiliar como consulta nos momentos dedvida ou de tomada de deciso. O curso muito valioso no de-senvolvimento da carreira dos auditores de sistemas, profissionaisde segurana da informao, gestores e quaisquer interessadosem desvendar o tema que buscam literatura de qualidade, escritapor um profissional brasileiro que conhece a realidade de nossasorganizaes.

    Boa leitura'

    Fernando Nicolau F.Ferreira CISM, CGEIT, CSSLp'CITp' CFE, CobiT, BS7799LA, profissional de Segu-rana da Informao, Auditoria de Sistemas eGovernana de TI - FERNANDOFERREIRA. COM

    *****

  • Problema???

    Fazer uma omeleteQual a sequncia de passos necessria para atingir o objetivo?

    Figura 1. Uma omelete suculenta ...

    Passos para Fazer uma Omelete:

    Quebrar ovos Bater ovos Adicionar sal Ligar fogoAdicionar 61eona frigideira

  • 2 (urso Prtico. Auditoria de Sistemas

    Colocar a frigideira no fogo Fritar ovos mexidos Verificar se est pronto Se sim, desligar o fogo Se no, voltar para passo: Verificar se est pronto

    Observaes importantes

    Quanto s instrues isoladas:Apenas "quebrar ovos", ou apenas "colocar leo na frigideira",no seria suficiente para cumprir a tarefa "fazer uma omelete"

    Quanto sequncia lgica:Se executarmos o procedimento "fritar ovos mexidos" antesde "bater ovos", ou pior, antes de "quebrar ovos", no iremoscumprir a tarefa "fazer uma omelete"

    Programa do Curso

    Figura 2. Programa do Curso

  • Programa do Curso 3

    Introduo1. Os Sistemas de Informao

    I. Planejamento da Auditoria2. Auditoria e Governana de TI

    11.Realizao da Auditoria3. Anlise da Infraestrutura e Sistemas Informatizados4. Gesto de Nveis de Servios5. Segurana dos Ativos de Informao6. Continuidade de Negco, Recuperao de Desastre &Plano de Contingncia de TI7. Trabalhos de Suporte aAuditoria

    111. Concluso da Auditoria8. Formalizao dos Papis de Trabalho da Auditoria

    IV. Acompanhamento9. Relatrio Finai de Auditoria

  • Captulo 1

    Os Sistemas de Informaoa.bacob.Pascalinac.Tear de Jacquardd.Mquina diferenciale.A primeira programadoraf.Amquina Tabuladora de Hollerithg.Gerao dos Computadoresh.Componentes de um PCLHistria da Internetj.Histrico da Auditoria

    baco

    (/.}027/'::-I/l1f

    Figura 3. baco

  • ,6 (urso Prtico - Auditoria de Sistemas

    Antigo instrumento de calculo, formado por uma moldura com bas-tes ou arames paralelos, dispostos no sentido vertical, correspon-dentes cada um a uma posio digital (unidades, dezenas, ...) e nosquais esto os elementos de contagem (fichas, bolas, contas, ...)que podem fazer-se deslizar livremente. Teve origem provavelmentena Mesopotmia, h mais de 5.500 anos. O abaco pode ser consi-derado como uma extenso do ato natural de se contar nos dedos.Emprega um processo de calculo com sistema decimal, atribuindoa cada haste um mltiplo de dez. Ele utilizado ainda hoje paraensinar as crianas as operaes de somar e subtrair.

    Fonte: http://pt.wikipedia.org/

    Pascalina

    ~.;,.-,..-,---~~~, _~____;Ji.4.

    Figura 4. Pascalina

    Foi a primeira calculadora mecanica do mundo, planejada por BlaisePascal em 1642.

    Originalmente, ele pretendia construir uma maquina que realizas-se as quatro operaes fundamentais, mas apenas conseguia fa-zer operaes de subtrao e adio. O instrumento utilizava umaagulha para mover as rodas, e um mecanismo especial levava digi-

  • Os Sistemas de Informao 7

    tos de uma coluna para outra. Pascal recebeu uma patente do reida Frana para que lanasse a calculadora no comrcio. O enge-nho, apesar de til, no obteve aceitao.

    Fonte: htlp://pt. wikipedia.org/

    Tear de Jacquard

    Figura 5. Tear de Jacquard

    Tear desenvolvido pelo inventor francs Joseph-Marie Jacquard,em 1801, que usava cartes perfurados para controlar o desenhodas estampas dos tecidos. Os cartes, que poderiam chegar aat 24 mil por tear, eram colocados em um tambor giratrio. Umconjunto de bastes de madeira passava pelos orificios de acor-do com a programao dos cartes, e quando passava pelo orifi-cio o basto empurrava o fio, tecendo um padro. Embora nofosse um computador no sentido estrito da palavra, o tear deJacquard reconhecido mundialmente como tendo sido o indica-

  • 8 (urso Pr!i(o . Auditoria de Sistemas

    dor do uso de cartes perfurados para controlar operaes mec-nicas. Jacquard recebeu uma medalha do imperador Napoleopelo seu invento.

    Posteriormente, no sculo XIX, os cartes perfurados foram usa-dos na Mquina Analitica do matemtico ingls Charles Babbagee na mquina de tabulao estatistica do americano HermanHolierith, que eram ambos os inventos ainda mais prximos doscomputadores modernos.

    Fonte: Netpdia.com.br

    Mquina diferencial

    Figura 6. Mquina Diferencial

    Invento de Charles Babbage, para clculos com polinmios.

    Em meados do sculo XIX, em plena segunda fase da RevoluoIndustrial, estavam ern progresso muitas tentativas de automao

  • Os Sistemas de Informao 9

    de processos, com destaque para aqueles envolvendo clculospara a composio de tabelas trigonomtricas e de logaritmos parao emprego na navegao, na pesquisa cientfica ou na engenharia.Algumas pessoas tentavam conceber mquinas que executassemeste tipo de clculo, tendo sido construidos vrios modelos. Amquina mais avanada, entretanto, jamais entrou em produo: achamada mquina diferencial de Babbage.

    Babbage projetou tambm o chamado "Calculador Analitico", muitoprximo da concepo de um computador atual. O projeto, totalmentemecnico, era composto de uma memria, um engenho central, engre-nagens e alavancas usadas para a transferncia de dados da memriapara o engenho central e dispositivo para entrada e saida de dados.

    Fonte: hllp://pt. wikipedia. org/

    A primeira programadora

    Figura 7. Ada Lovelace

    Ada Lovelace (1815-1852), Lady Lovelace, filha do poeta Lord Byron,era matemtica amadora entusiasta.

  • 10 (urso Prtico. Auditoria de Sistemas

    Ada tornou-se a primeira programadora, escrevendo sries de ins-trues para o Calculador Analitico de Babbage. Ada inventou oconceito de sub-rotina: uma sequncia de instrues que pode serusada varias vezes em diferentes contextos.

    Ela descobriu o valor das repeties - os laos (Ioops): deveria haveruma instruo que retornasse a leitora de cartes a um carto espe-cifico, de modo que a sequncia pudesse ter sua execuo repeti-da. Ela sonhava com o desvio condicional: a leitora de cartes des-viaria para outro carto "se" alguma condio fosse satisfeita.

    Fonte: http://pt.wikipedia.org/

    A mquina Tabuladora de Hollerith

    Figura 8. Mquina de Hollerith

    Foi o primeiro computador.

    Utilizado para realizar o censo dos Estados Unidos em 1890. De-senvolvido por Herman HoJlerith, um estatistico que trabalhou parao Instituto de Geografia e Estatistica dos Estados Unidos.

  • Os Sistemas de Informao 11

    o sistema usava perfuradores manuais para gravar os dados em umcarto de tamanho de uma cdula de dinheiro e uma mquina detabulao para cont-los. A mquina de tabulao contm um sensor(pino) para se encaixar em cada posio/potencial furo do carto.Quando o carto colocado na leitora os pinos passam pelos bura-cos fechando circuitos eltricos e incrementando contadores.

    Apenas levava trs anos

    Ulilizando mtodos manuais, foi estimado que o censo de 1890ficasse pronto apenas aps 1900. Com as mquinas de Hollerith,levou menos de 3 anos para contar 62 milhes de pessoas e eco-nomizar US$ 5 milhes do Governo dos Estados Unidos.

    o inicio da IBMHollerith fundou uma empresa de Mquinas Tabuladoras e vendeuseus equipamentos pelo mundo para uma grande variedade de fun-es de negcios. Em 1911, sua empresa se juntou a uma empre-sa que depois se denominou IBM.

    fonte: hltp://www.pcmag.com/

    Gerao dos Computadores

    Primeira Gerao (1945-1953) Computadores a vlvula (ENIAC)

    Figura 9. ENIAC

  • 12 (urso Prtico e Audiloria de Sistemas

    Segunda Gerao (1955 -1962) Transistor (EDVAC)

    Figura 10. EDVAC

    Terceira Gerao (1963 -1980) Circuito Integrado (IBM/360)

    Figura 11. /BM/360

  • OsSistemas de Informa~o 13

    Quarta Gerao (1975 -1990) Chip (Altair 8800)

    Em 1975 Paul Allen e 8ill Gates criaram a Microsoft e o primeiro"programa" para microcomputadores. Filme Piratas do Vale do Sili-cio (Pirates of Silicon Valley, 1999)

    .... . .

    Figura 12. A/tair 8800

    Quinta Gerao (1990 - ???) Os PCs - Computadores Pessoais

    Intel XT, 286, 386, 486, Pentium, Pentium 4, Celeron, Dual Core,Core 2 Duo e Athlon XP da AMD

    Figura 13.1 e 13.2. XT e Dua/Core

    Muitos autores inserem nesta gerao os Supercomputadores deGrande Porte.

  • 14 Curso Prtico. Auditoria de Sistemos

    Figura 14. l10 IBM - Rendimento de at 1.5 TB de memria

    Componentes de um PC

    Figura 15. Estrutura bsica de um PC

    o PC - Computador Pessoal. tal como o conhecemos hoje. foidesenvolvido pelo grupo da IBM que desenvolveu o IBM PC. O

  • Os Sistemas de Informao 15

    modelo de placa-me utilizado sofreu algumas adaptaes epassou para PC XT (eXTended - estendido), PC AT (AdvancedTechnology - Tecnologia Avanada) e na sua verso atual PCATX (Advanced Technology eXtended - Tecnologia Avanada Es-tendida).

    o grupo de desenvolvedores da IBM definiu que o PC seria umajuno de vrias peas construidas por vrias empresas (d-se aoprocesso de juno dessas peas o nome de "integrao"). Logo,as empresas que vendem computadores como a HP e a Dell naverdade no os fabricam, mas apenas integram as peas compra-das de vrias outras empresas.

    Por exemplo: um computador da Dell pode ser integradocom um processador Intel, uma placa-me Asus, uma placade video usando a GPU nVidia e assim por dianle. No entan-to, existem algumas empresas que realmente fabricam al-gumas peas como a Compaq.

    Com a clonagem da BI05 da IBM e a criao dos "IBM PCCompativeis", o nmero de integradoras de computadores e omercado mundial expandiu com uma velocidade inacreditvel.Todo dia as empresas de tecnologia competem umas com asoutras pelo desenvolvimento de tecnologias superiores por pre-os acessiveis. Houve tambm uma segmentao do mercado,criando segmentos como o de baixo-custo (para mercados emer-gentes e pessoas que adquirem um computador pela primeiravez) e o Gamer (para jogadores profissionais que dispem derecursos financeiros para investir em mquinas extremamentepotentes).

    A expanso do mercado foi algo muito favorvel ao ramo dainformtica, pois estimulou a criao de empresas que competempelo mesmo mercado e, portanto, no havendo monoplio e pre-os abusivos por componentes do computador. Os principais mer-cados com dois exemplos de concorrentes so:

  • 16 (urso Prtico. Auditoria de Sistemas

    Processador: Intel e AMOPlaca-me: Asus e Gigabyte technologiesMemria RAM: Kingston e CorsairPlaca de Vdeo: nVidia e ATIDisco Rigido: Seagate e Hitachi

    Fonte: htlp:l/pt. wikipedia.org/

    Histria da Internetril~~.ir--:-a:u;,_-.;;;;;;;(-;',---10_ ~. f", [_ '.'_'"

    0-

    ,_o __._~~__ -'". '.."'000

  • Os Sistemas de Informa~o 17

    Figura 17. Visualizao grfica de vrias rotas em umaporo da Internet mostrando a escalabilidade da rede

    Conglomerado de redes em escala mundial de milhes de compu-tadores interligados pelo protocolo TCP/IP que permite o acesso ainformaes e todo tipo de transferncia de dados. Ela carregauma ampla variedade de recursos e servios, incluindo os docu-mentos interligados por meio de hyperlinks da World Wide Web, ea infraestrutura para correio eletrnico e servios como comunica-o instantnea e compartilhamento de arquivos.

    De acordo com dados de maro de 2007, a Internet usada por16.9% da populao mundial (em torno de 1,1 bilho de pessoas)O lanamento sovitico do satlite Sputnik causou comoconsequncia a criao, nos Estados Unidos, da Agncia de Pro-jetos de Pesquisa Avanada), conhecida comoARPA. em fevereirode 1955, com o objetivo de obter novamente a liderana tecnolgicaperdida para os soviticos durante a guerra fria. A ARPA criou o

  • 18 (urso Prlico. Auditoria de Sistemas

    Escritrio de Tecnologia de Processamento de Informaes -IPTOpara promover a pesquisa do programa Semi Automatic GroundEnvironment, que tinha ligado vrios sistemas de radares espalha-dos por todo o territrio americano pela primeira vez. Joseph CarlRobnett Licklider foi escolhido para liderar o IPTO.

    No IPTO, Licklider se associou a Lawrence Roberts para come-ar um projeto com o objetivo de fazer uma rede de computado-res, e a tecnologia usada por Robert se baseou no trabalho dePaul Baran, que havia escrito um estudo extenso para a ForaArea dos Estados Unidos recomendando a comutao de paco-tes ao invs da comutao de circuitos para tornar as redes maisrobustas e estveis. Aps muito trabalho, os dois primeiros elosdaquele que viria a ser oARPANET foram interconectados entre aUniversidade da Califrnia, Los Angeles (UCLA) e Universidadede Stanford em 29/1 0/1969 e foi uma das primeiras redes da his-tria da Internet atual.

    A primeira rede de grande extenso baseada em TCP/IP (Protoco-lo de Controle de Transmisso) entrou em operao em 1 de janei-ro de 1983, quando todos os computadores que usavam oARPANETtrocaram os antigos protocolos NCP. Em 1985, a Fundao Naci-onal da Cincia (NSF) dos Estados Unidos patrocinou a constru-o do National Science Foundation Network.

    A abertura da rede para interesses comerciais comeou em 1988.O Conselho Federal de Redes dos Estados Unidos aprovou ainterconexo do NSFNER para o sistema comercial MCI Mail na-quele ano e a ligao foi feita em meados de 1989.

    Em 6 de agosto de 1991, a CERN, uma organizao pan-europeiade pesquisa de parti cuias, publicou o novo projeto "World WideWeb". A Web foi inventada pelo cientista ingls Tim Berners-Lee,em 1989.

    Fonte: http://pt.wikipedia.org/

  • Os Sistemas de InformQ~o 19

    Histrico da Auditoria

    Existem algumas evidncias de que algum tipo de Auditoria foipraticado em tempos remotos. Na Idade Mdia, para evitar desfal-ques os monarcas exigiam a manuteno das contas de sua resi-dncia por dois notrios independentes. medida que se desen-volveu o comrcio, surgiu a necessidade de revises independen-tes para assegurar a confiana e finalidade dos registros mantidosem vrias empresas comerciais.

    A auditoria como profisso foi reconhecida pela primeira vez nalegislao britnica das sociedades annimas de 1862 "Um siste-ma metodolgico e normatizado de contabilidade desejvel paraa preveno da fraude." e tambm ... "A necessidade de se efetuaruma reviso independente das contas das pequenas e grandesempresas". Desde 1862 at 1905, a profisso de auditoria cresceue floresceu na Inglaterra, introduzindo-se nos Estados Unidos des-de 1900. Na Inglaterra se pautou principalmente na deteco defraudes como seu objetivo principal.

    De 1912 at 1940 os principios ensinados sobre auditoria eram osseguintes:

    A deteco e preveno de fraude

    A deteco e preveno de erros

    Porm, nos anos seguintes houve uma mudana decisiva na de-manda e servios:

    Entendimento da situao financeira e ganhos de umaempresa

    Emisso de opinio na situao de controles (consultoria) .

    Deteco e preveno de fraude como objetivo secundrio.

  • 20 (urso Prtico. Auditoria de Sistemas

    Em paralelo ao crescimento da Auditoria Independente nos Esta-dos Unidos, se desenvolvia o conceito de Auditoria Interna e deGovernana Corporativa. medida que os auditores indepen-dentes perceberam da importncia de um bom sistema de con-trole interno e sua realizao com O objetivo dos testes a reali-zar em uma auditoria independente, contribuiram para o cresci-mento dos departamentos de Auditoria dentro das organizaesdos clientes, estendendo as atividades alm da area e siste-mas de contabiiidade. Atualmente o departamento de Auditoriadesempenha revises em todas as areas da organizao ondeexista Risco Operacional, Financeiro ou Tecnolgico as opera-es financeiras realizadas.

    Auditoria de Sistemas

    Aauditoria de Sistemas, Informatica ou Riscos Tecnolgicos em umaorganizao a reviso e avaliao dos controles, desenvolvimentode sistemas, procedimentos de TI, infraestrutura, operao, desem-penho e segurana da informao que envolve o processamento deinformaes criticas para a tomada de deciso.

    Deve compreender no somente os equipamentos de processamentode dados ou procedimento especifico, mas sim suas entradas, pro-cessos, controles, arquivos, segurana e extratores de informaes.

    AAuditoria de Sistemas de vital importncia para o bom desem-penho dos sistemas de informao, pois avalia os controles ne-cessa rios para que os sistemas sejam confiaveis e seu nivel, desegurana. Alm disso, deve avaliar todo o ambiente: Equipamen-tos, Centro de Processamento de Dados - CPD e Software.

    Aim disso, atualmente, com a larga utilizao da tecnologia parao armazenamento das informaes contabeis, financeiras eoperacionais, o auditor de sistemas tem de se aprimorar no cam-po de atuao (processos) da organizao para extrair, analisar

  • Os Sistemas de Informao 21

    bases de dados envolvidas e suportar decises das demais re-as de auditoria.

    PUNE.JAME.HGlOBAL lAN(JA1,J

    ~fk"""'" _ ''''''''''''fJro.~''''1llo1o btt_.~ __T~._"o~~~

    .A~~. ~ R..,omo.c~. doai ~ ". 41. E.~..,...c~ _~

    I. PLANEJAMENTO DOTRA.,!ALHO

    00(. -...o6'.. . o P'OC n:tIc"'~VI.iJMlZ.r ponfO' ~ c_~vum....bihO'Q

  • Captulo 2

    Auditoria e Governana de TIa. Gerenciamento de Riscob. Riscos e Ameaasc. Normativos Internacionais, Leis e Regulamentaesd. Frameworks de Boas Prticas de TIe. Obteno eManuteno de indicadores de governana de TIf. Tcnicas de Entrevista de Auditoriag. Controles Gerais de TI

    Gerenciamento de Risco

    Consideramos o seguinte cenrio:

    Temos uma Rede de grande porte, com diversos pontos de aces-so: Internet. Filiais, Extranet (parceiros).

    Existem diversos tipos de Ameaas aos quais a referida rede estexposta:

    Falha Humana Intencional Falha Humana No-Intencional Acidentes Desastres Naturais e Ocorrncias Inesperadas

  • 24 (urso Prtico .. Auditoria de Sistemas

    A rede das nossas Filiais, est abaixo de um Firewall, possui Ban-co de Dados e servidor de Autenticao, hospeda as sub-redes deVendas, Estoque e Contabilidade.

    Alm de tudo isso, consideremos os dados envolvidos, hardware,software, instalaes e recursos humanos que esto sujeitos adiversas ameaas.

    Qual a probabilidade de algo ruim acontecer?

    Quais as solues e custos envolvidos (Custo X Beneficio) paragerenciarmos o risco a um nvel de exposio aceitvel?

    RISCO PROBABILIDADERisco Balxissimo Virtualmente lmpossivel

    RIsco Baixo Pode ocorrer uma vez em 40 anos (ou acada 4 anos, uma vez ao ano)

    Risco Medio Pode ocorrer uma vez em 100 dias (ou umavez a cada 10 dias)

    Risco Alto Pode ocorrer uma vez por dia (ou 10 vezespor dia)

    Riscos e Ameaas

    Exemplos de Ameaas e Consequncias:

    Ameaas e Consequncias de Falha Humana Intencional

    Ameaas Consequncias

    Acesso irrestrilo a AlIeraao, destruiao indevida ou roubo dedocumentos eletrnicos informaes

    Hackers, Crackers, ScriptCustos de Backup e recuperao de dadoskiddles, Criminosos

    Profissionais

    Vrus Interrupo dos Negcios

    EspionagemVazamento de Informaes para Concorrnciaindustrial

  • Auditoria e Governana de TI 2S

    Ameaas e Consequncias de Falha Humana No Intencional:

    Ameaas Consequnclas

    Operador, Tcnico Incapaz Paradas

    Falhas no Controte de RelrabalhosEntrada de Dados

    Pessoal Desmotivado Perda de Capital Inteleclual

    Ameaas e Consequncias de Acidentes

    Ameaas Consequnclas

    Falha no equipamento de ParadasAr-Condicionado

    Desmoronamento do Edifcio Perda dos Dados

    Destruio de dados, discos, Perda Financeiradocumentos, relatrios

    Rompimento de canos d'gua ou esgoto Informaes Imprecisas

    Ameaas e Consequncias de Desastres Naturais e OcorrnciasInesperadas

    Ameaas Consequncias

    Umidade Danos a equipamentos

    Enchentes Ferimentos, Perda de vidas

    Troves Perda Financeira

    Variao de Energia Interrupo dos Negcios

    Metodologia OCTAVE@(htlp:/Iwww.cert.org/octave/)

    Metodologia pblical gratuita para a realizao de Anlise de Ris-co - Avaliao de Ameaas, Ativos e Vulnerabilidades Criticas, daUniversidade Carnegie Mellon (em ingls).

  • 26 CursoPrlico. Auditoriade Sistemas

    ~ve' Process....,lJrvuiZlllnl'"~.~ ,

    :. Tnll~Clll'tnl~ Drvn1lbm 'Nf'lnblfu

    ~~.~~.~1._

    1 2

    ~erIId.~I.~............ .,

    i ~~:.,Ikl: ~--_ _---.--"

    ..:it~ :'''l'r\'Ila:llO'lSlnIQ :'olll:Jl;J.lIonR",. :~ _._. __ .!

    ~;.;.~::.:.::!.~-~~.'.~.'!~~---__o: :_::.:.::.:.~

    o que Avaliar em uma Anlise de Risco de TI ?

    Ativos relacionados de informao (como: sistemas einfraestrutura de TI) importantes organizao .

    Foco na anlise dos riscos nos ativos criticos, suportamdiretamente ou indiretamente a atividade-alvo da organizao .

    Relacionamentos entre os ativos criticos, as ameaas evulnerabilidades (organizacionais e tcnicas) .

    Se uma senha de administrador (ativo critico), for divulgadaou obtida indevidamente (vulnerabilidade), cai em mos er-radas (ameaa) e permite acesso indevido ao sistema livro-caixa da organizao (impacto) .

    Avaliar grau de exposio dos ativos em contexto operacional,como estes ativos conduzem os negcios e o risco envoividodevido a essas vulnerabiiidades de segurana .

    Estratgia de proteo para melhoria dos processos, comoplano de implementao de controles (tcnicos, operacionais)para a mitigao (gerenciamento).

  • "'."_110"" ... ~ ..tIb.ld_.

    Audiloria e Governana de TI 27

    Razo de Custo X Beneficio, onde a implementao docontrole seja sempre inferior ao montante das perdas ocasi-onadas pela ausncia do mesmo .

    Depois que populao de ameaas potenciais foiidentificada, esta deve ser reduzida a um subconjunto me-nor de ameaas relevantes ou "significativas" a um ambien-te de TI especifico .

    A identificao dos riscos significativos assegura que afirma alocar de forma adequada os seus recursos s medi-das de segurana que se dirigem aos riscos identificados.

    ANALISE DE RISCO,. __ TO

    "0"_"'''_ . 1'''''_

    Figura 19.2. Anlise de Risco

    Implementamos os controles necessrios para atingirmos os 80%dos principais riscos do negcio suportado por TIOs 20% dos riscos restantes mais caros e de baixa probabilidadeseriam assumidos como risco inerente.

    O risco poderia ser transferido por meio de um Acordo de Nivel deServio com Terceiros- SLA (Service Levei Agreement) ou mesmoa utilizao de Aplice de Seguro.

  • 28 (urso Prlico. Auditoria de Sistemas

    Exemplos de Medidas de Segurana com base nas Ameaas Po-tenciais:

    Todas as Categorias Falha Humana Intencional

    .Sensores e Alarmes .Antivrus

    .No-Break, Geradores .Softwares e Hardware para Controle

    .Plano de Continuidade de Negcio de Acesso

    .Circuito Interno de TV .Biometria (digitais, ris. voz, face)

    .Backups Peridicos -Modems de Cal1back

    .Auditorias Externas Peridicas .Patrulha com apoio Canino

    .Acompanhamento Visitantes -Acesso via Crach(CPD, reas crticas) .Autoridade Certificadora - Cartrio-Visitas de Especialistas DigitalPreveno de Incndio .Punies a no conformidades,.Dispositivos de Preveno e funcionrios, colaboradores e terceirosSupresso de Incndio -Monitores de contedo de.Cofre a prova de Incndio mensagens/acesso web-Polticas de RH, Conscientizao -Chaves Criptogrficase Treinamento -Cercas Eltricas-Aplice de Seguro .Firewall (hardware! software).Auditoria Interna de Tecnologia .Auditoria Forense (anti-fraude).Monitoramento de Trfego .IDS Software de Monitorao dede Rede Intrusos na Rede.Armazenamento Externo -IPS Software de Preveno dede Dados ntrusos na Rede.Extintores de Incndio -Bloqueio de Sesso em Terminais-Grupo de Resposta a Incidentes -Sensores de Movimento-Procedimentos de Contingncia-Administrador de Segurana-Segurana Patrimonial

    Falha Humana No-Intencional Acidentes

    .Cdigo de Etica Corporativo -Controles Ambientais (ar-condicionado .Controles Ambientais umidificadores de ar)(ar.condicionado, umidificadores .Rotinas de reincio a paradasde ar) .Sensores de MovimentoRecepcionistas .Manuteno Preventiva

    .Dispositivos de Deteco eDrenagem de gua.No.Break, Geradores

  • Auditoria e Governono de TI 29

    Desastres naturais e ocorrncias inesperadas

    -Controles Ambientais (ar-condicionado. umidificadores de ar)-Dispositivos de Deteco e Drenagem de gua-No-Break. Geradores-Dispositivos de Preveno e Supresso de Incndio

    Ambiente de Produo - Um Grande Varejista deEletroeletrnicos - Online Shop

    _Q-;0 CJ'OtnQ

    CJ -,-'-0 11'-

  • 30 CursoPrtico. Auditoria de Sislemas

    Faturamento (controle de vendas faturadas) Estoque (controle de estoque) Contas a pagar/receber (controle de fluxo de caixa)

    Veja o exemplo abaixo para estoque:

    H"'lcnoloS de Scuran;,Grupo de P'OC(I\"" SubPnlre'>SO R= lmiJ;IOlo OISPONIBI. CONFIOEN.

    INTEGRI. OUTROSPfocesSQ\ lIDADE CIAlIOAOE OAOEInforma

  • Auditoria e Governanade TI 31

    SEC (CVM EUA) - Securities and Exchange Commission(ex: Sarbanes Oxley- SOx)

    Acordo de Basileia 11-Instituies Financeiras Globais

    SUSEP - Entidade governamental brasileira de regulaoa Seguradoras e Previdncia Privada

    Para o atendimento s mtricas normatizadas de GovernanaCorporativa e Emisso de Cartas de Conforto aos Controles quesuportam as Demonstraes Financeiras dessas organizaes pormeio de Auditorias Independentes.

    Estas iniciativas, alm da regularizao da atividade fim da empre-sa, tambm possuem a finalidade de propiciar conforto (quanto aexposio ao risco) e solidez aos Acionistas e Investidores des-sas organizaes.

    Frameworks de Boas Prticas de TI: COBIT, ITIL,ISO 27001

    Vamos falar um pouco dos trs frameworks de mercado maisconhecidos na rea de TI, que possuem algumas diferenas entresi em conceito:

    COBIT significa objetivos de controle sobre informao etecnologia relacionada, metodologia elaborada pela ISACA,uma organizao sem fins lucrativos para promover aGovernana de TI. A funo principal do COBIT, alm deser boa prtica de controle de sistemas ajudar a com-panhia a mapear seus processos de TI s melhores prti-cas. O COBIT escolhido geralmente pela companhiaque avalia o sistema da informao com foco em anliseFinanceira, Operacional ou TI.

  • 32 Curso Prtico ~Auditoria de Sistemas

    ITIL significa biblioteca de boas prticas de tecnologia daInformao, desenvolvido pela OGC, um conjunto de boasprticas de gesto do nivel de servios de TI. Como o ITll bem similar ao COBIT em vrios itens, a diferena bsicaseria que o COBIT define o padro pela inter-relao entrerisco e processo, o ITll possui foco nas definiesoperacionais para os servios de TI

    15027001 possui vrias diferenas em relao ao COBITe ITll, pois o 18027001 um padro de segurana da infor-mao apenas, sendo menor sua abrangncia em relaoao COBIT e ITll que se referenciam ao processo de TI comoum todo,

    FRAMEWORK COBlT ITIL ISO 27001

    FunoMapear Processos Mapear a Gesto dos Fral1"\l\l','()( de Segurana

    deTI Niveis de Servio de TI da Informao

    Dmlcnso4 Processos e 34 9 Processos 10 DominiosDominios

    ResponsvelISACA OGC ComIt ISOWViW.l5aCaorg www,llil-officialsile,com! hllp:f(www.iso.org

    ObJetIvoAuditoria de Sistemas Gerenciar Niveis de AdernCIa aos Padres

    da Informao Servio de Segurna

    Consultoria Auditoria. ConsultoriaConsultoria de TI,

    Implantao deTIConsultoria de TI Segurana de Informa-

    o, Redes

  • Auditoria e Governono de TI 33

    Indicadores de Governana Estratgia de TI vs.Negcio

    (of ..''''''o(o,,"". d. f''' ....;,('.1>ni\.o d. 011'~'on'of,,,,,,,,

  • 34 (urso Prlico ~Auditoria de Sistemas

    Tcnicas de entrevista de auditoria

    As entrevistas so uma ferramenta de auditoria til para recolher ainformao sobre controles internos e riscos de fraude por diversasrazes:

    Empregados envolvidos nas operaes do dia-a-dia de umarea funcional possuem o melhor conhecimento da rea.Esto em uma posio excelente para identificar fragilida-des nos controles internos e riscos de fraude .

    Embora a maioria de empregados no sejam envolvidosdiretamente em fraudes, podem ter pistas/conhecimento dosuspeito ou responsvel.

    Os empregados podem ser relutantes em dizer a gernciasobre controles internos necessrios e fraude suspeitadaou real, mesmo quando uma companhia tem um canal dire-to para isso ou outros mecanismos de reporte. Quando en-trevistado, entretanto, empregados esto frequentementedispostos e ficam aliviados ao falar sobre aes suspeitas.

    Entrevista vs. Interrogatrio.

    Compreender a diferena entre uma entrevista e um interrogatrio importante .

    A entrevista tipica de anlise conjunto de perguntas so-bre o processo (checklist) conduzido normalmente na esta-o de trabalho do entrevistado .

    A finalidade da entrevista aprender fatos novos ou confir-mar a informao previamente obtida. Um interrogatrio, ou"busca pela verdade" bem diferente.

  • Audiloria e Govcrnan~a de TI 3S

    A diferena preliminar o estado de nimo do entrevistado.Em uma entrevista, o entrevistado geralmente um partici-pante disposto que ajuda ao entrevistador no processo dedeterminar os fatos .

    Uma interrogao ocorre somente quando um fraudadorsuspeitado foi identificado. A tarefa do entrevistador persu-adir o individuo a admitir um ato ou uma omisso que notem nenhuma inteno da divulgao. Entrevistar exige ahabilidade de organizar pensamentos e discusso ao longode um trajeto lgico .

    A interrogao exige aquelas habilidades acopladas com ahabilidade de persuadir um individuo dizer algo que funcionacontrariamente a seus instintos da sobrevivncia.

    Conduzindo a entrevista

    A entrevista deve ter um tom que seja formal, amigavel, e no ame-aador; deve seguir uma estrutura predeterminada (explanao dosobjetivos, checklist de perguntas e prximos passos); e deve con-duzir a um levantamento significativo. Um entrevistador deve pre-parar um jogo das perguntas e de uma indicao introdutria queexplique a finalidade da entrevista, Esta preparao ajustar o tompara uma entrevista sria, decidida, e eficaz,

    o entrevistador deve adaptar a entrevista a linguagem e conheci-mento do entrevistado, Construir um relatrio com um entrevistado praticamente uma funo "de quem entrevista quem",

    Por exemplo, mais dificil para um auditor da equipe construir orelatrio e divulg-lo a um CIO (Gestor de TI), CFO (Gestor Finan-ceiro) ou CEO (Presidente, Diretor Geral) intimidador do que paraque o gestor do trabalho de auditoria,

  • 36 Curso Prtico. Auditoria de Sistemas

    Para que o gestor do trabalho de auditoria conduza cada entrevistano vivel que os scios ou os gerentes experientes da auditoriaentrevistem a alta administrao. Os gerentes, os seniores, e osdemais auditores entrevistam dos niveis de mdia gerncia aosresponsveis pelo operacional do processo.

    A entrevista deve sempre ser conduzida em carter confidencial.Se a estao de trabalho do entrevistado no suficiente, a se-guir o entrevistador deve usar uma sala de reunio. Uma entrevis-ta mais bem sucedida quando o assunto confortvel e condu-zido facilmente.

    A maioria das pessoas est mais confortvel em seu prprio ambi-ente de trabalho e quando puderem responder a perguntas seminteresse que um colega de trabalho esteja ouvindo.

    E essencial na primeira parte da entrevista que o Auditor expliqueos objetivos do trabalho ao entrevistado a fim de incentivar umadiscusso aberta.

    Estruturar as perguntas para progredir do geral ao especifico per-mite ao entrevistador alcanar o objetivo da anlise e ajuda a per-ceber mudanas no comportamento de um entrevistado que podesinalizar um tpico suspeito ou sensivel enquanto as perguntas setornam mais focalizadas.

    Os entrevistadores hbeis so mais sensiveis aos indicadores delinguagem corporal, como por exemplo, decepo pela tentativa deenganar o entrevistador. As declaraes falsas, entretanto, no sosempre indicadoras da fraude; podem cobrir acima deficincias pes-soais ou profissionais de um individuo. Fazer uma declarao falsadurante uma entrevista fatigante para a maioria das pessoas.

    Quando uma declarao falsa feita, o entrevistado libera esforoverbal, no verbal, ou de ambas as maneiras. Os indicadores dadecepo variam de individual ao individuo. Podem ser to sutis

  • Auditoria e Goyernan~o de TI 37

    quanto uma mudana no tom da voz ou to bvia quanto uma mu-dana repentina. Um entrevistador hbil deve ser treinado para iden-tificar estes indicadores e para ter uma compreenso completa deseu significado potencial. Porque a finalidade principal da entrevis-ta de levantamento procurar a informao, as perguntas em aber-to devem ser enfatizadas.

    As perguntas devem ser estruturadas para incentivar o entrevista-do oferecer a informao.

    Por exemplo: "voc tem conhecimento que existam problemasquanto realizao de backup dirio dos dados?"

    Fornecer provavelmente mais informao do que toda a perguntafechada como: "o backup feito diariamente?"

    Os entrevistadores devem ser bons ouvintes, lembre-se de queauditor vem da palavra akroatos (grego) para auditor, significa ou-vinte, ou seja, nunca interrompa uma resposta em aberto.

    Uma das ltimas perguntas em cada entrevista deve ser bem aber-ta; por exemplo, "h qualquer outra coisa que voc gostaria de medizer a respeito das operaes de seu departamento?" Ou mesmo"Me esqueci de discutir algum tpico importante com voc?"

    Documentando a Entrevista

    Durante a entrevista, a funo de anotar depende do estilo e mem-ria do auditor. Uma forma consistente de anotar deve ser mantidadurante toda a entrevista - anotar demais ou muito pouco, podeatrair a ateno do entrevistado e afetar as respostas ou desorientara entrevista. Uma vez completa a entrevista, o auditor deve imediata-mente formalizar (ata) os itens discutidos e pessoal entrevistado,para suporte s demais evidncias coletadas. O auditor pode man-ter tambm os registros de suas anotaes, como referncia emcaso de contestaes at o fechamento dos trabalhos.

  • 38 Curso Prtico - Auditoria de Sistemos

    Utilizando a Entrevista na Auditoria

    o chefe do trabalho de auditoria deve ler todas as formalizaesdas entrevistas para interar-se e verificar itens e pendncias adici-onais a esclarecer, caso estas revelem deficincias na gesto doscontroles internos, o auditor deve expandir suas anlises nas re-as identificadas e talvez aumentar o escopo de seus testes,

    Exerccio 11-Tcnicas de entrevista de auditoria

    Formular 10 perguntas referentes aos processos:

    Contabilidade (demonstraes financeiras) RH (controle de pessoal) Faturamento (controle de vendas faturadas) Estoque (controle de estoque) Contas a pagar/receber (controle de fluxo de caixa)

    Com base no seguinte checklist de auditoria abaixo:

    Assllnto. a,l(:~up

    Ent,ev;Slado

    ,

  • Auditoria e Governanade TI 39

    05. Os procedimentos de backup esto formalmente docu-mentados?

    06. As midias de backup so devidamente identificadas?

    07. Como feito o controle das fitas de backup?

    08. Quais funcionarios possuem autorizao para teremacesso as fitas de backup?

    09. A movimentao das fitas de backup (entradas e saldas)fica m registradas em algum documento?

    10. Como o processo de restaurao das fitas de backup?

    11. Quais funcionarios podem solicitar a restaurao dasfitas de backup?

    12. Em quais situaes so solicitadas restauraes de fi-tas de backup?

    13. Existe um ambiente separado para leste das restaura-es antes destas serem implementadas no ambiente deprodu~o?

    14. Os procedimentos para restaurao das fitas de backupesto formalmente documentados?

    15. Onde ficam armazenadas as filas de backup?

    16. Existe armazenamento off-site das fitas de backup?

    17. Quem responsavel pela definio dos itens que devemser incluidos na rotina de backup?

    18. Ja ocorreu algum incidente onde foi necessario a restau-rao das fitas de backup?

  • 40 (urso Prtico. Audilorio de Sistemas

    19. Os backups realizados atendem a legislao vigente?

    20. Qual a periodicidade para substituio das fitas debackup?

    21. So realizados inventrios das fitas armazenadas off-site?

    21 As fitas de backup esto adequadamente identificadas?

    22. Como feito o transporte das fitas para armazenamentooff-site?

    Controles Gerais de TI

    Figura 23. O seu risco controlado ???

    Mapeamento dos Controles na Avaliao de Sistemas

    Tomemos como exemplo uma grande empresa financeira que fi-xou como objetivo "Melhorar o relacionamento e exceder em 20%o nmero de clientes", neste caso, ns perguntaramos:

  • Auditoria e Governana de TI 41

    Quais seriam as necessidades operacionais a serem considera-das para atender a este objetivo: Aumento da capacidade deprocessamento? Maior banda nos links de comunicao? Maiornmero de canais de comunicaol relacionamento (Internet.Extranet. WAP - Wireless Application Protocol ...)?

    Quais os riscos que tero de ser assumidos para atingir este obje-tivo: Trabalhar com nivellimite de processamento? Maior exposi-o a ataques de Hackers? Maior possibilidade de fraudes? ..

    Mas como Controles Gerenciam Riscos?

    Neste caso. alguns exemplos de Atividades de Controle:

    Planejamento de capacidade. Monitorao da largura de banda(Desempenho. Disponibilidade), Monitorao de trfego suspeitode rede (lOS). Adoo de mtodos de autenticao forte (Biometria.Senhas Fortes). Gerenciamento de Incidentes. etc.

    Os Controles consistem nas politicas e procedimentos que nosajudam a garantir que as estratgias de negcio sejam atendidas.tomando as aes necessrias para gerenciar os riscosconcomitantes a estas respectivas estratgias.

    Ao mesmo tempo. deve existir garantia que estes procedimentossejam periodicamente executados a fim de assegurar a adernciaao respectivo controle.

    Tipos de Controles

    Controles geralmente podem ser classificados em 3 tipos os quaispossuem focos distintos:

    Preventivos: Preveno do problema: Segregao Flsica deCPD (Porta-Cofre ).Segregao Lgicade Reee (DMZ - ZonaDesmilitarizada ).lntelignciaArtificial (anlise de comporta-

  • 42 (urso Prtico a Auditoria de Sistemos

    mento do cliente) para evitar fraudes (Jos tenta usar carto decrdito s trs horas da manh para comprar R$ 7.000 emcarne no aougue).

    Detectivos: Deteco do problema: Identificao de trfegosuspeito na rede (IDS-Intrusion Detection System). AnliseForense. Trilhas de Auditoria. Logs de Firewall. Sensores deDeteco de Incndio.

    Corretivos: Correo do problema antes de perdas ocorre-rem: Verificadores de integridade das informaes emaplicativos (sistema plano de sade realiza indevidamentelanamentos de ginecologia para pacientes homens).

    Controles Gerais de TI

    Garantir a Segurana dos Sistemas: A importncia destescontroles cada vez maior com o crescimento da utilizaode diversas redes de comunicao (voz. dados) conectandopessoas ou empresas desde um mesmo prdio at paisesdistantes. A eficcia dos controles de segurana fisica e lgi-ca permite nivel maior de confiana nestas comunicaes eservidores. prevenindo acessos no autorizados. Crackers.Hackers e demais pessoas mal intencionadas.

    Gerenciar Dados: Controles de processamento das infor-maes nos aplicativos com o objetivo de garantir integrida-de e confiabilidade s transaes realizadas.

    Gerenciar Operaes: Controles de programao e exe-cuo de tarefas dos operadores (schedulagem. backup ....).Monitorao de Desempenho. Procedimentos de Contingn-cia. Gerenciamento e Planejamento de Capacidade do am-biente. Utilizao de Recursos Computacionais e Comuni-cao (Processamento. Banda ...).

  • Auditoria e Governan~ade TI 43

    Gerenciar Configuraes: Dispe quanto a eficacia doscontroles de aquisio, implementao e manuteno dossistemas operacionais bancos de dados, telecomunicaese utilitarios de Segurana.

    Desenvolvimento e Manuteno de Sistemas Aplicativos:O que se refere a boas praticas de desenvolvimento emapeamento dos controles de segurana conforme o risco doprocesso a ser automatizado. Estes controles visam racionali-zar o alto custo operacional quando na implementao destesposteriormente ao desenho e implementao dos sistemas.

    , I

    o E o.tU'pI.no> r , o 0..... .....-'.. rH ._ ._ .o VM

  • Captulo 3

    Anlise da Infraestrutura e SistemasInformatizados

    a. RFP - Solicitao de Propostab. Introduo ao CMM - Capability Maturity Modelc. Matriz de Risco para projetos de implantaod. Gerenciamento de Mudanase. Gesto de Qualidade - Testes de Esgotamento de De-sempenhof. Planejamento de Capacidade e Ferramentas

    RFP - Solicitao de Proposta(Request For Proposal)

    Um documento produzido por uma empresa, buscando mercado-rias ou servios e distribuido para futuros possveis fornecedores,consiste de:

    Introduo - Objetivo da Contratao Escopo - Qual o Servio Oferecdo Escopo - Permetro Escopo - Volumes e Baseline Minuta de Contrato Forma de apurao do Preo

  • 46 Curso Prtico. Auditoria de Sistemas

    Indicadores de Desempenho .Acordo de Nvel de Servio

    , ;i servio (torre) ij.~.~.~~.~.~~.~~~~~.~~~~~.~~-~.~.~.~J

    :. . ~ ;L..~.~.~~~?~~.~!.~J.? ..i

    -_ ...._ ..._ ..~Mercado L,~.

    :-~.'._ ..._-_ ..__ ..'

    Critrios Escolha. . .'4 ~ r~., - .

    "c~

    I RFI Shon L1stIr !,:!ii'RFP, ~

    colha

    _ Negociao . '

    Figura 25. Fluxograma de uma RFP

    Objetivo da Contratao

    Quais as razes que levaram empresa a Iniciar a RFP? Explica-o do porqu dos servios serem terceirizados, ou da possveltroca do fornecedor atual. Mencionadas expectativas quanto re-duo de custos, melhoria da qualidade e agilidade, para dar aofornecedor condies de entender a situao atual e qual a inten-o da contratao.

  • Anlise da Infraestrutura e Sistemaslnformatilados 47

    Escopo - Qual o Servio

    o escopo do servio deve conter uma descrio clara das carac-teristicas do servio e o que deve entregar. Evite descries as-sociadas a tecnologia, atendo-se ao servio que se mantera aolongo do tempo, ja que a tecnologia pode ser alterada muito rapi-damente.

    Evite descries do tipo: ~serviode instalao de Windows XPem mquinas Intel"

    Prefira descries mais ~serviode instalao de software padroresistentes ao tempo: em mquinas cliente"

    Evite dvidas do tipo: ~... e se trocar XP por Vista, muda oescopo do servio?"

    Escopo - Permetro

    Normalmente se dividem os servios por "torres", as mais comunsso: Service desk, suporte de campo, data center, web hosting,gesto de redes (dados e/ou voz), desenvolvimento de aplicativose manuteno de sistemas.

    Estas sete torres cobrem 90% dos servios de TI. Mas pode havervariaes, como: Implantao de sistemas ERP, Coliocation,monitorao da segurana, controle de ativos, testes, site backupe outras. Planejar o "recorte" de "torres" necessario antes daRFP, quando se define a estratgia de contratao.

    Dica: Para testar a definio de escopo pergunte-se: "comovou medir a entrega deste servio?"

  • 48 Curso Prtico ~ Auditoria de Sistemas

    Escopo - Volumes e Baseline

    Ainda no capitulo de escopo, fundamental informar, com o maiordetalhe possivel, o inventrio que pertence ao perimetro do servio,e os volumes de servio atuais, assim como a previso de cresci-mento ou reduo deste volume nos anos que se seguem, paraque o fornecedor possa planejar a estrutura necessria para pres-tar os servios, os investimentos futuros, seus custos e o clculodo preo.

    Dica: a informao clara e detalhada dos volumes, em for-ma de compromisso contratual, reduz as incertezas do for-necedor e permite que ele chegue a preos mais "enxutos"e competitivos.

    Minula de Conlralo

    Apresente ao fornecedor o modelo de contrato que ser aplicado,que deve ter clusulas de cunho legal e de servios. No mbitolegal trata-se assuntos como garantias, padres legais do cliente,normas, resciso, etc. No agrupamento de clusulas relativas aservios, esto as condies para implantao dos servios e aobrigatoriedade de apoio na saida, alm dos temas como penali-dades, continuidade, sub-contratao. Os "anexos" geralmenteincluem os outros documentos bsicos da RFP, citados aqui. Umbom contrato deve ser de interpretao clara e o representantelegal da empresa deve revis-lo o quanto antes, pois a aprovaointerna do contrato demanda tempo adequado.

    Dica: Evite recorrer ao fornecedor para estruturar o contrato,prefira usar uma empresa externa se for necessrio. Oscontratos padro de fornecedores nunca tm clusulas dedefesa do cliente, tendem a proteger s os interesses dofornecedor.

  • Anlise da Infraestrutura e Sistemas Informatizados 49

    FOrll1a de apurao do Preo

    Defina antecipadamente como espera pagar pelo servio: valor fixomensal, preo por uso, preo por recurso, uma fatura por fiiial,fatura centralizada, etc.

    Especifique tambm a engenharia financeira que espera do fome-cedor. Um modelo diluir o investimento da implantao no valormensal do servio, assim o cliente no tem desembolso inicial.Outro modelo "vender" os ativos ao fornecedor e, assim, obterrecursos para investir em outras prioridades da TI.

    Dica: especificar a estrutura de preos antecipadamente facilitaa negociao do contrato, eliminando surpresas depois da RFP.

    Indicadores de Desempenho

    Descreva como espera medir o sucesso do servio (o que dife-rente de SLA). indique ao fornecedor quais os parmetros de de-sempenho so considerados mais importantes para que ele dese-nhe uma proposta de melhoria. Tambm interessante indicar osquais so as metas que o fornecedor deve perseguir para que ocontrato tenha continuidade (clusulas de resciso motivada porfalha de desempenho).

    Dica: a clareza do que se espera da evoluo do contrato o fator crtico de sucesso de uma co'ntratao, pois docu-menta expectativas e orienta as negociaes futuras.

    Acordo de Nvel de Servio (SLA)

    O nvel de servio mnimo aceitvel. So chamados SLA (ServiceLevei Agreement). Defina as SLAs no nivel mais baxo que seja

  • 50 Curso Pltico. Auditoria de Sistemas

    aceitvel pela empresa e usurios, porm, entenda que SLA baixono significa servio ruim. Por exemplo, observemos uma SLA tpi-ca: "o tempo para atendimento no pode ultrapassar 30 segun-dos", isso ir.dica o mnimo de servio aceitvel, mas no impedeque o fomecedor faa melhor, ou seja, deve ser lido como: "at 30eu aceito, acima disso, no te pago". Quem define a qualidade dosservios so os indicadores de desempenho enquanto que as SLAstem relao com o preo e a penalidade. At mesmo por isso,diminua o nmero de SLAs, um caso em que menos melhor.

    Dica: quanto mais alta a SLA, mais caro o servio, sejacriterioso.

    Exercicio 111- Request for Proposal

    Examine a RFP -ANEXO 1 deste livro - de migrao de tecnologiasna www.Onlineshop.nel.bre identifique se os itens mencionadosnas pginas anteriores esto contemplados:

    Introduo - Objetivo da Contratao Escopo - Qual o Servio Oferecido Escopo - Permetro Escopo - Volumes e Baseline Minuta de Contrato Forma de apurao do Preo Indicadores de DesempenhoAcordo de Nvel de Servio

  • Anlise da Infraestruturae Sistemas Informatizados 51

    Intro~uo ao CMMI,. , I

    ... ,,'l:C.l-a,' l.

    ","'111;! l_ ~t~1 11, "

    f., I, '. I ., (http://www.sei.cmu.edu/cmmi/)

    o que qualidade de software?'. 1 .J

    "Qualidade de software a totalidade das caracteristicas deuma entida"que'i1 confere a capacidade de satisfazer snecessidades explcitas!: implcitas" (NBR ISO 8402).

    ":.. a conformidade a requisitos funcionais e de desempe-nho explicitamente declarados, a padres de desenvolvimentoclaramente documentados e a caractersticas implcitas"(Pressman) .

    . . -....Qualidade no produt

    XQualidade no processo

    o que um processo de Software?I

    uma infraestrutura contendo as atividades envolvidas no desen-volvimento de software. Sua definio depende da tecnologia e doparadigma adotados no desenvolvimento e pode ser facilitada pelaadoo de um modelo de ciclo de vida. ". I

    I

    Algumas normas de qualidade de processo

    ISO 90003(Padro de gesto de qualidade para software) CMMI (Capability Maturity Modellntegration).ISO 15504 (SPICE - processo de desenvolvimento de software) ISO 12207 (Processos do Ciclo de Vida)

  • 54 Curso Prtico. Auditoria de Sistemas

    Nvel 1 -' Incial

    Processo disforme e de baixa visibilidade Resultados so imprevisiveis Formas de conirole muito pobres Enormes dificuldades para previses de

    - Cronogramas: Oramentos- Funcionalidades- Qualidade do produto

    Nvei 2 - Repetivel

    Disciplinado e estvel Procedimentos de gerenciamento de projetos Aproveitamento Sistemtico de histricos Padres para projetos de softwareAcompanhamento de custos, cronogramas e funcionalidades,-,

    'Processos disciplinados garantem a reproduo de processo jutilizados em projetos bem sucedidos em aplicaes semelhan.tesoGerncia Reativa.

    Nivel 3 - Defindo

    As saldas de uma atividade fluem naturalmente para asentradas da atividade seginte Os processos de software so

    - Integrados no processo padro da empresa;- Documentados- Padronizados

    A evoluo do produto visvel atravs do processo

    Existe um grupo para o estabelecimento dos padres e multipli-cao do conhecimento - SEPG (Software Engineering andProcess Group).

  • Anlise da Infraestrutura e Sistemas Informatizados 55

    Todos os projetos usam uma verso aprovada e individualmente adap-tada do processo padro da Organizao. A Gerncia Proativa.

    Nivel 4 - Gerenciado

    Faz controle estatistico de processo Aponta causas da variao do processo Capacitao proativa Bases objetivas para tomada de deciso Gerncia quantitativa de produto e processo Os processos de software e a qualidade do produto somedidos e controlados quantitativa mente

    Nvel 5 - Otimizado

    Foco na melhoria continua do processo Melhoria continua proporcionada por Realimentao quantitativa do processo Conduo de novas ide ias e tecnologias

    A organizao tem capacidade gerencial para estimar e acompa-nhar quantitativamente o impacto e a eficacia das mudanas

    Matriz de Risco para projetos de implantao

    Um bom processo da avaliao e da gerncia de risco essencialao sucesso de todas as implantaes de sistemas, ou seja:

    Planejar a avaliao de risco Identificar as necessidades e objetivos da implantao Definir riscos da implantao Priorizar os riscos Gerenciar riscos e atividades de controle Estabelecer planos de ao Avaliar continuamente os riscos

  • S6 (urso Prtico. Auditoriade Sistemas

    Planejar a avaliao de riscos

    A primeira fase de uma avaliao de risco planejar as atividades. Umgerente de mudanas pode comear este processo selecionando aequipe responsvel pela implantao para a avaliao de risco, deter-minando regras, ferramentas de apoio da gesto de riscos, tais comouma matriz do risco descrita neste guia de usurios. A equipe daavaliao de risco deve incluir representantes de todas as reas en-volvidas, no apenas peritos tcnicos. Alm disso, um facilitador e umcoletor de informaes devem ser selecionados para ajudar a equipe.A aplicao da matriz do risco deve ser utilizada quando conhecer-mos os objetivos chave e riscos envolvidos na implantao.

    Identificando objetivos ou necessidades

    Uma vez que o gerente de mudanas identifica equipe e ferramen-tas de avaliao de risco, a equipe identifica os objetivos e neces-sidades-chave, para auxilio na identificao dos riscos.

    Vamos aprender agora como preencher uma matriz de riscos deimplantao de projetos.

    Instrues de Preenchimento da Matriz de Riscos

    No. do Risco: Um nmero inteiro positivo utilizado paraidentificar um risco .

    No. do Risco Relacionado: Nmeros de risco afetadospelo risco discriminado (ex: risco de queda de energia podeprejudicar discos, conexo e midias) .

    Risco: Descrio de um risco que possa prejudicar a implan-tao no planejamento de custo, objetivos ou desempenho.

  • Anlise da Infraestrutura e Sistemas Informatizados 57

    Impacto: Caso o riscosematerializeo impacto econsequnciasna implantao do aplicativo. Sendo de C, S, a Mo. As defini-es destas categorias so especificas a cada implantao:

    - C (critico): Se o evento do risco ocorre, a aplicaofalhar. As exigncias aceitveis minimas no serocumpridas.- S (srio): Se o evento do risco ocorre, o programaencontrar aumentos principais do custo/implantao.As exigncias aceitveis minimas sero cumpridas.A maioria de exigncias secundrias no podem sercumpridas.- Mo (moderado): Se o evento do risco ocorre, aaplicao encontrar aumentos moderados do custo/implantao. As exigncias aceitveis mnimas se-ro cumpridas. Algumas exigncias secundrias nopodem ser cumpridas.- Me (menor): Se o evento do risco ocorre, o progra-ma encontrar pequenos aumentos do custo/implan-tao. As exigncias aceitveis minimas sero cum-pridas. A maioria de exigncias secundrias serocumpridas.- In (insignificante): Se o evento do risco ocorre,no ter nenhum efeito no programa. Todas as exi-gncias sero cumpridas .

    ProbabiJidade(%): A probabilidade de ocorrncia umaavaliao subjetiva da equipe de implantao, de que umrisco pode acontecer. Estimar a probabilidade da ocorrnciapode serdificil na prtica, mas o que importa realmente aordem das estimativas dos riscos:

    - 0-1 0%: muito improvvel que o risco ocorra- 11-40%: improvvel que o risco ocorra- 41-60%: mesmo com a probabilidade o risco ocorrer- 61-90%: provavelmente o risco ocorrer- 91-100%: muito provavelmente o risco ocorrer

  • 58 (urso Prtico. Auditoria de Sistemas

    Recurso (Tecnolgico) Empregado: Lista de tecnologiasdisponiveis para mitigar cada risco mencionado .

    Gerenciamento do Risco: Aestratgia para mitigar o riscomencionado.

    Exerccio IV - Matriz de Riscos de Implantao

    Preencher a seguinte matriz de risco abaixo para um projeto deimplantao de novos servidores de internet. considerando os se-guintes riscos:

    Midias de backup com problemas de gravao Sobrecarga de transaes de clientes nos servidoresinternet Incompatibilidade de verses de software de sistemaoperacional e aplicativo Queda ou sobrecarga de energia eltrica "Crash" de discos rigidos (HD) Problemas de hardware (servidores. placas de rede ....) Rotinas de backup no agendadas corretamente Queda de conexes rede de dados Regras de firewall (perimetros lgicos) mal configuradospermitindo acesso irrestrito via ftp (transferncia de arqui-vos)/telnet (conexo direta) rede intemet Conta de administrador com senha padro

    Exercicio IV - Objetivos Chave:

    Processamento intermitente de pedidos Disponibilidade 24X7 (24 h; 7