aula 8 - segurança e auditoria de sistemas - auditoria em sistemas de informação - turma b

Análise e Desenvolvimento de Sistemas

4º semestre Turma A

Aula nº 08

Prof. Paulo Rangel

[email protected]

Segurança e Auditoria de Sistemas

Fundamentos em Auditoria de SI


Conteúdo Previsto

AUDITORIA EM SISTEMAS DE INFORMAÇÃO:


Metodologia de Auditoria de SI

Ferramentas e Técnicas de Auditoria de SI

Melhores práticas de Auditoria de SI

Auditoria no processo de aquisição, desenvolvimento, manutenção de SI

Auditoria no processo ou metodologia de desenvolvimento de SI.

Auditoria de SI em produção


Auditoria de Sistemas deve proporcionar a organização:

Adequação,

Revisão,

Avaliação e

Recomendações para o aprimoramento dos seus SI

Avaliando também:

O uso dos recursos humanos,

Materiais e

Tecnológicos envolvidos no processamento dos mesmos.


Deve oferecer evidências que os SI´s:

Suportam adequadamente os ativos de

negócios,

Mantendo a integridade dos dados,

Alcançando os objetivos esperados,

Utilizando eficientemente os recursos e,

Cumprindo com as regulamentações e leis

estabelecidas


Deve envolver todos os sistemas da empresa:

Operacional,

Tático ou

Estratégico.


O COBIT coloca que os objetivos da Auditoria de SI´s devem

considerar:

Efetividade,

Eficiência,

Confidencialidade,

Integridade,

Disponibilidade,

Compliance,

Confiança.

Integridade: Correção e completude evidenciados

Confidencialidade: Só pessoas autorizadas acessam;

Privacidade: Funções incompatíveis estão segregadas. Somente se acessa o que é necessário

Acuidade: As transações podem ser validadas. Consistência na entrada de dados

Disponibilidade: Sistema acessível quando necessário

Auditabilidade: Logs e trilhas de auditoria

Versatilidade: Deve ser amigável e flexível as mudanças

Manutenibilidade: Controles e procedimentos em sua manutenção (contaminação, remendos, etc.)

Objetivos Globais da Auditoria de SI

Durante o desenvolvimento de sistemas

Auditar a construção desde os requisitos até a implantação, incluindo o

desenvolvimento (ISO 15408);

Tipos de Auditoria

Tipos de Auditoria

Sistemas em Produção

Quanto aos resultados, segurança, correção e tolerância a falhas;

Resultados Segurança Correção Tolerância a

Falhas

Tipos de Auditoria

Ambiente Tecnológico

Estrutura Organizacional

Contratos Normas Técnicas Custos Uso de Equipamentos

Planos de Contingência e

Segurança

Tipos de Auditoria

Eventos específicos

Análise de causas, consequências e ações necessárias em eventos não

cobertos em auditorias anteriores.

Metodologia de Auditoria em SI´s

Deve ser flexível, aderente as diversas modalidades da auditoria

em SI´s e alinhada as boas práticas de auditoria do mercado.

Recomenda-se as seguintes fases:


Planejamento e controle do projeto de auditoria de SI´s:

A partir das diretrizes da Alta Direção, estabelecer ações, recursos

necessários;

Dois Grupos:

1º grupo com o corpo gerencial, definirá procedimentos e acompanhará;

2º grupo formado por auditores e técnicos de Informática que executam a auditoria

efetivamente;

Recomenda-se utilizar padrões de mercado como o PMBOK


Levantamento do sistema de informação a ser auditado:

Definido o escopo do trabalho, levanta-se as informações

necessárias sobre o sistema a ser auditado;

Levantamento macro através de entrevistas e análise da

documentação ;

Ferramentas uteis podem ser DFD, MER, Dicionário de dados,

use cases, diagramas de classe e sequência, diagramas de

integração de sistemas (explicam o seu funcionamento)

Define a abrangência da auditoria;


Identificação e Inventário dos Pontos de Controle:

Podem ser identificados em documentos de entrada, relatórios de saídas,

telas, arquivos, BD´s, integrações, etc.

Devem ser relacionados e descritos quanto ao controle interno e funções

que exercem no sistema ;

Identificar parâmetros, pontos fracos e técnicas de auditoria adequadas a

sua validação;

Este trabalho deve ser validado pelo grupo de coordenação do Projeto de

Auditoria.


Priorização e seleção dos pontos de controle do SI auditado:

Selecionar e priorizar pontos definidos na etapa anterior

baseados em:

Grau de risco do ponto: Prejuízos que podem gerar no

sistema a curto, médio e longo prazo

Existência de ameaças: Priorizar os sob forte ameaça;

Disponibilidade de recursos: Pontos que podem ser

auditados com os recursos disponíveis;

Reavaliar a priorização ao longo do trabalho para

confirmar a ordenação estabelecida;


Avaliação dos pontos de controle:

É a auditoria em si!

Nos testes devem ser aplicadas técnicas adequadas a cada ponto

de controle que evidenciem falhas ou fraquezas.


Conclusão da Auditoria:

Elaborar relatório com os resultados, qualquer que seja, refletindo o diagnóstico dos pontos de controle;

As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas recomendações para sua solução ou mitigação;

Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e usuários responsáveis.


Acompanhamento da Auditoria:

O (follow-up) acompanhamento da auditoria deve ser realizado

até que todas as recomendações tenham sido executas e as

fraquezas eliminadas ou mitigadas em um nível aceitável pela

organização.

Ferramentas de Auditoria em SI´s

Aliados para a extração, classificação e seleção de dados e transações a serem

validadas, apoiando na evidenciação de discrepâncias e desvios.

Esta ferramentas podem ser categorizadas em:

Ferramentas Generalistas de auditoria de Tecnologia da Informação

Ferramentas Especializadas de auditoria

Programas utilitários em geral


Ferramentas generalistas de auditoria de Tecnologia da Informação:

Softwares que podem processar, simular, analisar amostras, gerar

estatísticas, sumarizar, apontar duplicidades e outras funções

necessárias ao auditor:

ACL (Audit Comand Language) – Software canadense para

extração e analise de dados;

www.acl.com


Ferramentas generalistas de auditoria de Tecnologia da Informação:

Pentana – Software de planejamento estratégico de auditoria, com

planejamento e monitoramento de recursos, controle de horas, check-

lists, programas de auditoria como desenho e gerenciamento de plano

de ação.

www.pentana.com


Ferramentas generalistas de auditoria de TI: Vantagens em utiliza-las:

Processar vários arquivos simultaneamente;

Processar arquivos em formatos diferentes;

Integração sistêmica com vários tipo de software e hardware;

Reduz a dependência do auditor em relação ao pessoal de TI

Desvantagens em utiliza-las:

Em geral podem ser utilizadas no ambiente online;

Por ser generalistas, podem não atender em casos mais complexos, que exijam, por exemplo, cálculos complexos.


Ferramentas especializadas de auditoria:

Desenvolvidos especificamente para executarem tarefas em

circunstâncias definidas. Desenvolvidos pelo auditor, por

especialista da empresa ou por terceiro contratado para isso.

Feito sob medida!

Taylor Made!


Vantagem em seu uso é atender

demandas especificas como Financeiro

(crédito imobiliário, leasing, cartão de

crédito, etc.) ou outras áreas de

mercado que assim o exijam;

Como desvantagens podemos

apontar o seu custo de

desenvolvimento e o processo de

atualização da ferramenta ao longo do

tempo.


Programas utilitários em geral:

Softwares utilitários de uso geral para classificar arquivos, concatenar

textos, sumarizar, gerar relatórios.

Sendo de uso geral, não possuem recursos necessários a auditoria como

p.e.: verificação de totais de controle ou gravação de trilhas de auditoria;

Vantagem: Esta em ser utilizado como uma solução alternativa na falta de

um recurso mais especifico;

Desvantagem: Haverá a necessidade de apoio do usuário e de TI.

Técnicas de Auditoria de SI´s

Técnicas de Auditoria, nada mais são do que as várias

metodologias adotadas para esse fim. Embora existam muitas,

procuramos focar em algumas delas como base para esta primeira

abordagem:

Dados de teste;

Facilidades de teste integrado;

Simulação paralela;

Lógica de auditoria embutida nos sistemas;

Rastreamento e mapeamento

Análise da lógica de programação


Dados de teste:

Chamados também de test data ou testdeck, faz uso de dados especialmente

preparados com o objetivo de testar as funcionalidades de entrada de dados;

Implica em um volume e combinação abrangente de dados e normalmente é

utilizado em um ambiente batch ou de testes;

Vantagens: Não requer conhecimento de TI na sua elaboração e podem ser

utilizados softwares para isso;

Desvantagens: Dificuldade em conceber uma massa de testes que cubra

todas as combinações de transações possíveis no ambiente de negócios da

organização.


Facilidade de teste integrado:

Chamado também de Integrated Test Facility, realizado em

ambientes online e realtime, quando os dados de testes são

introduzidos no ambiente de produção.

Envolve a introdução de funcionários fantasmas na folha

de pagamento ou de clientes fictícios no contas a receber.

Os dados do processamento são confrontados com os

dados fictícios e os resultados esperados.

Este procedimento é adotado sem anuência previa dos

operadores ou do gerente responsável pela produção.

Vantagens: Não implica em custo adicional ou ambiente

de testes exclusivo;

Desvantagens: Os efeitos das transações fictícias devem

ser estornados, causando trabalho extra e ainda existe o

risco de contaminar os dados reais de produção.


Simulação paralela:

Envolve o uso de programa especialmente desenvolvido que comprovadamente, atenda a todas as lógicas necessárias para o teste, simulando as funcionalidades do programa em produção a partir das suas entradas.

Vantagens: Testes no local, não existem custos na preparação da massa de testes, processa todos os dados.

Desvantagens: Execução da simulação com o total de dados. Não existe analise especifica. Exige habilidade especifica do auditor sobre aquele tipo de sistema.


Lógica de auditoria embutida nos Sistemas:

Inclui na fase de desenvolvimento a lógica de auditoria do sistema, para revisão e acompanhamento dos procedimentos operacionais.

Vantagens: Auditoria permanente com um simples acesso do auditor. Não apresenta restrições quanto a entrada de dados de testes. Método eficiente e eficaz de auditoria.

Desvantagens: Custo e tempo adicional no desenvolvimento. Exige mais recursos do servidor das estações dos usuários. Pode impactar em termos de desempenho.


Rastreamento e mapeamento:

Chamada também de accountability, baseia-se na criação de uma trilha de auditoria para acompanhar os pontos críticos do sistema, registrando seu comportamento e resultado para uma analise futura.

Vantagens: Ajuda na avaliação dos controles internos; permite criar alertas quanto à aplicação de controles operacionais e seus cumprimentos; pode ser utilizado em ambiente de produção ou de teste.

Desvantagens: Exige que o auditor tenha habilidade avançada de TI e aumenta o tempo de processamento e consumo de espaço em disco no servidor.


Análise da Lógica de Programação:

Trata-se da validação da lógica de programação para garantir que as

instruções dadas ao computador são as mesmas já identificadas nas

documentações dos sistemas aplicativos.

Esta técnica pode ser realizada manualmente nos sistemas principais ou mais

críticos para o negócio, ou pode ser realizada por programas / ferramentas

automatizadas.

Melhores práticas de Auditoria de SI´s

Falta de padrões para a auditoria de sistemas.

Razões para isso são:

a) A auditoria de SI entendida como parte da Auditoria Geral das

Organizações;

b) As normas de auditoria geralmente aceitas não tratam isoladamente a

auditoria de sistemas;

c) A auditoria de sistemas nunca foi encarada como uma carreira especifica

e sim como um avanço da auditoria normal para acompanhar a aplicação

de TI pelas organizações

Na falta de um padrão plenamente aceito para

auditoria de TI, algumas associações apresentam

regras para nortear a atuação de seus membros,

conforme segue.


Comitê de Padrões da Associação de Controle e Auditoria de TI

A Associação de Controle e Auditoria de TI dos EUA recomenda aos seus membros o seguinte: Responsabilidade, autoridade e prestação de contas:

Deve ser documentada em uma carta proposta ou de aderência de escopo;

Independência Profissional: Deve ser independente da área sob auditoria para uma conclusão objetiva da auditoria;

Ética profissional e padrões: Adesão ao código de ética da Associação;

Competência – Deve manter-se em constante aprimoramento por educação continuada;


Comitê de Padrões da Associação de Controle e Auditoria de TI Planejamento: Deve planejar suas atividades para assegurar

que os objetivos da auditoria sejam alcançados;

Emissão de relatório: Ao fim da auditoria deve emitido relatório contendo o escopo, objetivos, período de abrangência, natureza e extensão do trabalho executado, é necessário identificar a organização, os usuários desejáveis e eventuais restrições de circulação. Devem ser incluídas as observações, conclusões, recomendações e quaisquer ressalvas consideradas necessárias.

Atividades de Follow-Up: O Auditor de TI deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.


Associação de Auditores de Sistemas e Controles (ISACA)

A ISACA em seu código de ética profissional recomenda que seus

membros observem:

Apoiar a implementação e encorajar o cumprimento com os padrões

sugeridos dos procedimentos e controles dos sistemas de informações

Exercer suas funções com objetividade, diligência e zelo profissional, de

acordo com os padrões profissionais e as melhores práticas;

Servir aos interesses dos stakeholders de forma legal e honesta, atentando

para a manutenção do alto padrão de conduta e caráter profissional, e não

encorajar atos de descrédito profissional


Associação de Auditores de Sistemas e Controles (ISACA)

Manter privacidade e confidencialidade das informações obtidas no

decurso de suas funções, exceto quando exigido legalmente. Tais

informações não devem ser utilizadas em vantagem própria ou entregue a

pessoas desautorizadas;

Manter competência nas respectivas especialidades e assegurar que nos

seus exercícios somente atua nas atividades em que tenha razoável

habilidade para competir profissionalmente;

Informar partes envolvidas sobre os resultados de seus trabalhos, expondo

todos os fatos significativos que tiver em seu alcance;

Apoiar a conscientização profissional dos stakeholders para auxiliar sua

compreensão dos sistemas de informações, segurança e controle.

https://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf

Auditoria Preventiva

De forma resumida, as funções de aquisição, desenvolvimento, manutenção e

documentação de sistemas incluem, entre outras, as seguintes etapas:

Planejamento de Sistemas de informações

Especificação, análise, projeto, programação, teste e implementação de

sistemas novos;

Modificação dos programas das aplicações existentes;

Manutenção preventiva dos sistemas aplicativos;

Documentação e controle sobre

versões de programas em produção

Aquisição de sistemas, quando for

conveniente.

Auditoria na Aquisição, desenvolvimento,

documentação e manutenção de SI´s

Auditoria na Aquisição, desenvolvimento,

documentação e manutenção de SI´s Auditoria Preventiva

É importante o envolvimento do Auditor deste o inicio do desenvolvimento do SI ou do processo de seleção para aquisição;

Terá o papel de promover a adequação, avaliação e apresentação de recomendações para o aprimoramento de controle interno nos sistemas de informação da empresa, assim como no uso dos recursos humanos, materiais, financeiros e tecnológicos;

Esta logica deve ser expandida para as fases de manutenção e documentação do sistema;

Perspectiva preventiva quanto a procedimentos indevidos.

Auditoria no Processo ou Metodologia de

Desenvolvimento de SI´s Serve para revisar e avaliar o processo de construção dos sistemas, o método e a

metodologia adotados no ciclo de vida do desenvolvimento do aplicativo;

Deve-se atentar a pontos como segurança física, confidencialidade, legislação, eficiência das técnicas e ferramentas adotadas;

Conforme a metodologia discutida nos slides 7 a 12 podemos adotar o seguinte roteiro:

Planejamento

Levantamento do sistema a ser

auditado

Inventário e eleição dos pontos

de controle

Avaliação dos pontos de

Controle

Conclusão e acompanhamento

da auditoria

Serve para revisar e avaliar os processos e resultados do SI sob a ótica do controle interno;

Atentando aos aspectos internos como, segurança lógica, física, autenticidade da informação, confidencialidade, compliance com a leis e normas, eficiência e eficácia.

Seguindo a metodologia discutida nos slides 7 a 12 podemos adotar o seguinte roteiro: Planejamento

Levantamento do sistema a ser auditado

Inventário e eleição dos pontos de controle

Avaliação dos pontos de Controle

Conclusão e acompanhamento da auditoria

Auditoria de Si´s em produção

REFERENCIAS

LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª

Edição. Rio de Janeiro: Ciência Moderna, 2008

ITGI, IT Governace Institute, COBIT 4.1 - Modelo, Objetivos de

Controle, Diretrizes de Gerenciamento e Modelos de

Maturidade. Rolling Meadows, IL – USA, 2007


DÚVIDAS