documento protegido pela lei de direito autoral · não se tinha a visão do sistema como um todo....
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
A IMPORTÂNCIA DA AUDITORIA DE SISTEMAS,
FRAMEWORKS MAIS UTILIZADOS, AMBIENTE ADITÁVEL E
FERRAMENTAS QUE DÃO SUPORTE À AUDITORIA DE
SISTEMAS.
Por: Diego Rodrigues Heinze
Orientador
Prof.ª Luciana Madeira
Rio de Janeiro
2013
DOCU
MENTO
PRO
TEGID
O PEL
A LE
I DE D
IREIT
O AUTO
RAL
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
A IMPORTÂNCIA DA AUDITORIA DE SISTEMAS,
FRAMEWORKS MAIS UTILIZADOS, AMBIENTE ADITÁVEL E
FERRAMENTAS QUE DÃO SUPORTE À AUDITORIA DE
SISTEMAS.
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Auditoria e Controladoria.
Por: Diego Rodrigues Heinze
3
AGRADECIMENTOS
Agradeço a todos os professores e
pessoas que de alguma forma
contribuíram para que eu chegasse
neste momento tão importante e
decisivo na minha formação. Todas as
orientações e apoio que recebi foram
de suma importância para o meu
sucesso e consequentemente no meu
desenvolvimento profissional.
4
DEDICATÓRIA
Dedico esse trabalho a minha mãe
Mariza, minha irmã Daniela e minha
esposa Michelle, pela confiança e
apoio em minhas decisões e
compreensão devido a minha ausência
todos os dias.
5
RESUMO
O presente estudo aborda um tema bastante sensível para qualquer
empresa: Auditoria de Sistemas. Os sistemas de informação que fazem parte
dela suportam dados críticos e, por conta disso, são considerados ferramentas
de grande importância na gestão estratégica de conhecimento das
organizações. Estes sistemas são os grandes responsáveis pela maior
agilidade nos processos e disponibilidade das informações.
O estudo também define o que é uma auditoria, o que é uma auditoria
de sistemas, quais são os ambientes auditáveis e as principais ferramentas
utilizadas pelas auditorias internas e externas.
A falta de confiabilidade ou perda de informações pode custar muito
mais caro para as empresas. Desta forma, através de modelos como Cobit,
bibliotecas de melhores práticas como o ITIL, implementação de normas como
ISO 27002 e das melhores praticas de gerenciamento de projetos definidas no
PMBOK são ótimas alternativas para as empresas estarem em conformidade
com as melhores práticas de segurança da informação do mercado.
No processo de auditoria de sistemas de informação é avaliado se
estas boas práticas estão sendo obedecidas nas organizações. Caso não
estejam, é dever da auditoria realizar recomendações para mitigar os riscos
que a organização pode estar correndo. Sendo assim, em alguns casos, a
decorrência de um trabalho de auditoria facilita as organizações perceberem a
importância do investimento na área de segurança da informação em prol de
um maior conforto nas informações suportadas pelos sistemas.
6
METODOLOGIA
O presente trabalho foi realizado basicamente para demonstrar a
importância de uma auditoria de sistemas nas organizações, descrevendo os
principais ambienteis auditáveis (sistemas operacionais, bancos de dados,
Data Center etc..), os frameworks mais utilizados no mercado de auditoria de
sistemas (Cobit, ITIL, ISO 27002, CMMI e PMBOK) e as principais ferramentas
que dão suporte aos auditores internos e externos (ACL, IDEA, Pentana,
Nessus, Nmap e Softwares para criação de Fluxogramas).
Os principais autores e as principais instituições pesquisadas para esse
estudo foram: Joshua Onome Imoniana nos temas de auditoria; Carlos Hideo
Arima, José Luiz dos Santos e Paulo Schmidt nos temas de ferramentas de
auditorias; Arthur Wendell Holmes no tema de Princípios e procedimentos de
Auditoria; ISACA, PMI, ISO, ITIL e SEI no tema frameworks mais utilizados nas
auditorias.
7
SUMÁRIO
INTRODUÇÃO 09
SIGLAS 10
CAPÍTULO I - AUDITORIA 12
CAPÍTULO II - FRAMEWORKS MAIS UTILIZADOS 21
CAPÍTULO III - AMBIENTE ADITÁVEL 35
CAPÍTULO IV - FERRAMENTAS QUE DÃO SUPORTE 40
CONCLUSÃO 46
BIBLIOGRAFIA CONSULTADA 47
ÍNDICE 49
8
SIGLAS
PED - Processamento Eletrônico de Dados;
ISACF - Information Systems Audit and Control Foundation;
ISACA - Information Systems Audit and Control Association;
COBIT - Control Objectives For Information end Relatet Technology;
ITIL - Information Technology Infrastructure Library;
CCTA - Agência central de computação e telecomunicações do Reino Unido;
ISO - International Organization for Standardization;
PMBOK - Project Mangement Body of Knowledge;
PMI - Project Management Institute;
CMMI - Capability Maturity Model Integration;
SEI - Software Engineering Institute;
DBA - Database administrator;
ACL - Audit Command Language;
IDEA - Interactive Data Extraction & Analysis.
9
INTRODUÇÃO
O estudo tem como objetivo principal, definir a importância de uma
auditoria de sistemas para as empresas de médio e grande porte,
demostrando os frameworks mais utilizados, ambientes auditáveis e as
ferramentas mais utilizadas nessas auditorias.
Atualmente os sistemas informatizados facilitam o registro e a
documentação de auditorias, a fim de garantir a restrição de acesso, validade e
totalidade das informações e documentos sigilosos que compõem uma
auditoria.
Com o desenvolvimento dos sistemas informatizados, a auditoria
contábil, encarregada de avaliar as demonstrações financeiras, os controles
internos e o cumprimento das políticas e normas, passou a ter função de
auditar também as informações usadas no processamento eletrônico de
dados. Com o tempo, verificou-se que esta solução não era satisfatória, pois
os auditores não tinham o conhecimento técnico suficiente para auditar o
ambiente de processamento de dados. Eles realizavam apenas validações ao
redor do computador, não examinando os processos, somente os relatórios.
Comparavam-se os dados de entrada com os de saída, depois de executados
manualmente os cálculos e as rotinas devidas.
O trabalho era lento e penoso. Aprovava-se uma ou outra rotina, mas
não se tinha a visão do sistema como um todo. O auditor contábil era inapto
para julgar a segurança, a confidencialidade dos dados e a eficiência dos
programas, ou para atestar que o sistema não sofreria soluções de
continuidade. Era preciso algo mais.
Assim, a gerência de auditoria se viu diante da difícil questão de como
realizar, de maneira eficiente, o controle e a revisão das atividades de
processamento eletrônico de dados. A melhor solução para este problema foi,
10
e ainda é, estabelecer uma equipe de auditores de sistemas. Com isso, houve
a necessidade de se desenvolver uma metodologia com procedimentos
específicos para que pudessem ser realizados os trabalhos de auditoria de
sistemas.
Com base no crescimento, as organizações vêm tendo e em paralelo,
com a evolução bastante acelerada da tecnologia, foi inevitável que as
atividades manuais se tornassem automatizadas. O ambiente de negócios foi
se tornando cada vez mais complexo e desafiador para os gestores das
empresas de praticamente qualquer mercado e, consequentemente, as áreas
produtivas e administrativas foram se automatizando por sistemas e ambientes
de tecnologia da informação.
Tais ambientes tecnológicos são responsáveis pelo processamento e
armazenamento de um dos bens mais valiosos de uma organização: a
informação. Empresas e consumidores dependem da comunicação,
integridade, disponibilidade destes dados para trabalho e negócios. Dessa
forma, é essencial que, nos dias de hoje, as empresas invistam em recursos
tecnológicos que deem suporte e segurança às informações.
Diante deste contexto, o investimento em segurança da informação se
torna vital para que uma empresa não esteja exposta a riscos. Logo, é
necessário que as medidas de controle e segurança de sistemas sejam
revisadas e avaliadas sistematicamente por auditores, a fim de assegurar a
proteção dos bens e serviços existentes em todas as áreas da empresa.
Sendo assim a auditoria de sistemas se propõe a analisar as
demonstrações financeiras, a partir da avaliação da adequação das
tecnologias e sistemas de informação utilizados na organização, através da
revisão e avaliação dos controles. Identificadas falhas, erros, irregularidades ou
ineficiência nestes controles, cabe a auditoria fazer recomendações em seu
11
parecer, para correção e melhoria dos controles internos com o intuito de
minimizar os riscos encontrados.
É essencial que para que a organização esteja em conformidade com
as boas práticas de TI, a mesma precisa realizar investimentos e dar o devido
valor ao parecer de auditoria. Diante disso, este trabalho tem por objetivo
destacar para as organizações, a importância da Segurança da Informação em
uma Auditoria de Sistemas, cujo papel é imprescindível para garantir a
confiança dos seus dados financeiros.
O estudo que segue será apresentado na seguinte ordem:
No Capítulo I, serão apresentadas as definições de auditoria, auditoria
interna / externa, auditoria de sistemas, como surgiu uma auditoria de sistemas
e outras definições além da importância das mesmas para as empresas de
médio e grande porte.
No Capítulo II, serão apresentados os principais frameworks utilizados
pelos auditores de sistemas e um breve detalhamento de cada um deles.
No Capítulo III, serão demostrados os principais ambientes auditáveis e
seus respectivos controles, que serão testados pelos auditores em cada
ambiente mencionado.
Para fechar o estudo, no Capítulo IV serão apresentadas as principais
ferramentas que dão apoio ao auditor de sistemas no momento da execução
dos testes de auditoria. Não haverá estudos de casos. Apenas um resumo
explicativo das funcionalidades de cada ferramenta.
12
CAPÍTULO I - AUDITORIA
Para Holmes (1978), a auditoria consiste no exame das demonstrações
financeiras, tendo como objetivo final do processo de auditoria, a opinião dos
auditores acerca da exatidão das declarações financeiras de uma empresa em
relação aos princípios contábeis aceitos. A auditoria busca alcançar para cada
conta contábil do balanço geral e da demonstração dos resultados os
seguintes objetivos que correspondem às afirmações implícitas da
administração incluídas nas demonstrações financeiras:
• Integridade: Todas as transações e demais eventos e circunstâncias
ocorridos devem ser registrados durante um período específico;
• Valor correto: Todas as transações registradas estão matematicamente
corretas;
• Corte: As transações são registradas no período correto;
• Existência: Ativos, passivos e patrimônio líquido existem em uma data
específica;
• Ocorrência: As transações registradas, tais como compras e vendas,
representam eventos econômicos que realmente ocorreram durante um
dado período;
• Avaliação: Os itens das demonstrações financeiras são registrados a
valores apropriados de acordo com princípios de contabilidade
aplicáveis;
• Apresentação e divulgação: Todos os itens nas demonstrações
financeiras estão adequadamente descritos, divulgados e classificados.
De acordo com o autor, a auditoria também é um exame cuidadoso e
sistemático das atividades desenvolvidas em determinada empresa ou setor,
cujo objetivo é analisar se elas estão de acordo com as disposições planejadas
e/ou estabelecidas previamente, se foram implementadas com eficácia e se
estão adequadas (em conformidade) à consecução dos objetivos.
13
Existem dois tipos de auditoria: auditoria externa e auditoria interna.
Enquanto a auditoria externa é realizada por um profissional sem vínculos
empregatícios com a empresa, a auditoria interna é constituída por um
profissional da própria empresa com o propósito de monitorar e avaliar os
controles internos. Atualmente, a auditoria externa trabalha em diversas áreas
de gestão, havendo várias ramificações: auditoria de sistemas, auditoria de
recursos humanos, auditoria da qualidade, auditoria de demonstrações
financeiras, auditoria jurídica, auditoria contábil, etc. Os profissionais de
auditoria de demonstrações financeiras são certificados e devem seguir
rigorosas normas profissionais nos Estados Unidos e em diversos outros
países, inclusive no Brasil.
1.1 - Auditoria Externa:
Segundo Imoniana (2008), uma auditoria externa é realizada com a
finalidade de determinar a exatidão, a integridade e a autenticidade das
demonstrações, registros e documentos. Sua intenção é liberar declarações
financeiras que apresentam claramente a condição financeira da organização
em uma data específica e os resultados das operações terminadas nesta data.
Podemos dizer também que uma auditoria externa é a verificação crítica e
sistemática de:
• Controles internos;
• Demonstrações, registros e transações financeiras já preparadas pela
gerência;
• Demais registros e documentos financeiros e legais de uma empresa.
As demonstrações financeiras devem ser preparadas de forma
consistente de ano a ano e em acordo com princípios aceitos de contabilidade.
14
A independência é o pilar que apoia as auditorias externas, pois
transmite credibilidade e confiança para manter as mais elevadas normas de
honestidade e objetividade nos seus juízos considerações. Atualmente as
principais empresas de auditoria no mercado Brasileiro são: Deloitte Touche
Tohmatsu, PWC (PricewaterhouseCoopers), KPMG e Ernst & Young Terco.
As normas de auditoria estabelecem as seguintes situações impeditivas
para execução de auditoria independente:
• Parentesco consanguíneo, em linha reta, sem limite de grau; colateral
até o terceiro grau; ou parentesco por afinidade, até o segundo grau,
com pessoas ou, em se tratando de empresa, com seus diretores,
sócios principais ou proprietários, administradores, empregados que
tenham direta ingerência na sua administração ou nos seus negócios
ou, ainda, com os responsáveis pela sua contabilidade.
• Relação de trabalho como empregado, administrador ou colaborador
assalariado, ainda que esta relação seja indireta, através de empresas
coligadas, afiliadas ou subsidiárias.
• Interesse financeiro direto, imediato ou mediato, ou substancial
interesse financeiro indireto.
Existem também as auditorias externas em obras públicas. Existem
diferentes denominações para os profissionais dedicados a auditorias de obras
públicas, de acordo com cada Tribunal de Contas. Exemplos:
• Inspetor de obras públicas (TCE/GO e TCE/PE);
• Verificador de obras públicas (TCM/GO);
• Engenheiro perito (TCE/MG);
• Assessor de engenharia (TCE/PR);
• Auditor público externo - engenheiro civil (TCE/RS).
15
1.2 - Auditoria Interna:
Arima (2006) define que uma auditoria interna também é uma função de
avaliação independente e realiza um trabalho muito similar ao da auditoria
externa. Entretanto, ela existe dentro da organização para examinar e avaliar
as atividades da empresa. A função básica do auditor interno é auxiliar a
gerência a realizar seus objetivos para garantir:
• A proteção dos ativos da companhia;
• A exatidão e confiança dos registros financeiros;
• Aderência às políticas da companhia e concordância com as obrigações
legais.
O auditor interno está quase sempre preocupado com a adequação dos
controles das transações e operações, com o aperfeiçoamento dos métodos
contábeis e, em muitos casos, com a relação custo/benefício dos
procedimentos utilizados.
1.3 - Auditoria de Sistemas:
De acordo com Arima (2006), a auditoria de sistemas tem como objetivo
principal analisar se as operações de TI da companhia estão em conformidade
com objetivos, políticas normas, procedimentos, orçamentos, regras, padrões e
melhores práticas da empresa. Através da auditoria de sistemas, a empresa
promove transparência na governança de TI, permite o controle de gastos e
identifica a adoção de ferramentas e sistemas mais adequados para o uso
interno. A auditoria de sistemas também garante melhores controles internos e
uma análise mais apurada dos riscos em TI.
A auditoria de sistemas é a parte da auditoria que revisa e avalia os
controles internos informatizados, visando:
16
• Proteger os ativos da organização;
• Manter a integridade dos dados;
• Atingir eficaz e eficientemente os objetivos da organização.
O posicionamento e atuação da auditoria de sistemas são, portanto, de
correlação e comprovação da funcionalidade e da efetividade dos sistemas de
informação computadorizados, principalmente os que gerem os números
contábeis.
Exemplos de auditorias de sistemas:
1. Estratégia e planejamento dos recursos de informação;
2. Operações dos sistemas de informação;
3. Segurança da informação;
4. Plano de continuidade dos negócios;
5. Manutenção dos sistemas da informação;
6. Implementação de banco de dados;
7. Suporte às redes;
8. Plano de recuperação de desastres;
9. Backup, restore e armazenamento offsite;
10. Implementação e suporte a softwares.
1.4 - Como surgiu a auditoria de sistemas:
Nas últimas décadas, enquanto o mercado se ampliava, as
oportunidades surgiam de toda parte, a concorrência se fortalecia, a
quantidade de dados a manipular tomava um vulto impossível de ser
controlado pelas formas convencionais. Faziam-se indispensáveis rotinas mais
sofisticadas, e o processamento eletrônico de dados (PED) oferecia todas as
conveniências - como a facilidade no tratamento de grandes volumes de
informações, a velocidade de operação e a confiabilidade dos resultados.
17
As novas rotinas implementaram eficiência, aumentando a capacidade
competitiva das empresas e melhorando suas presenças no mercado. Em
pouco tempo, os retornos conseguidos mostraram o acerto dos investimentos.
E cada vez mais e mais empresas aderiram à nova tecnologia. Sendo assim,
com o crescimento da utilização de computadores no cálculo e
armazenamento dos dados financeiros e operacionais, tornou-se necessário
modificar o enfoque dado ao controle gerencial e à auditoria.
Quando do início da auditoria de sistemas, sua importância se justificava
pelos seguintes aspectos:
• As tarefas manuais estavam sendo transferidas para o computador,
ocasionando a substituição, ou mesmo o desaparecimento, das trilhas
tradicionais de auditoria;
• A descentralização do processamento indicava a tendência cada vez
maior da automatização integral do processo, com a substituição dos
documentos impressos, tanto na entrada como na saída deste;
• Os sistemas informatizados cresciam em tamanho e complexidade, a
fim de atender ao processamento de grandes volumes de dados. O
controle destes serviços maiores e mais complexos era inviável pelos
métodos convencionais;
• O aumento do número de sistemas instalados indicava a importância de
suas informações para subsidiar as decisões administrativas;
• As organizações se tornavam cada vez mais vulneráveis, pelo grau de
dependência ao PED, fazendo com que eventuais desastres em seu
centro de computação ameaçassem a continuidade da própria empresa;
• Os riscos de danos aos ativos e de possíveis e irrecuperáveis perdas de
dados, através de erros de operação, falhas nos registros magnéticos e
roubo de informações, cresciam com a difusão da informática e a
pulverização dos conhecimentos;
• A evolução da tecnologia e a necessidade das organizações e dos
técnicos de se atualizarem e modernizarem ocasionava a substituição
18
de profissionais com tecnologia sofisticada, aumentando os riscos de
fraude, roubo de informações confidenciais, utilização inadequada ou
destruição acidental de dados e/ou programas vitais;
• Pela falta de treinamento adequado dos auditores tradicionais, a
implementação de trilhas de auditoria, como logs, nos sistemas de PED
era deixada inteiramente sob a responsabilidade dos encarregados pelo
desenvolvimento dos sistemas, isto é, dos futuros auditados;
• Quando da criação dos sistemas de processamento de dados,
geralmente negligenciavam-se importantes controles internos,
ocasionando a emissão de relatórios não confiáveis, a impossibilidade
de recuperação de dados importantes e o crescimento dos custos de
processamento;
• Não era dispensada a devida importância à documentação dos
sistemas, frequentemente inexistente, incompleta ou desatualizada;
• Os sistemas de processamento de dados, pela ausência de uma
metodologia de desenvolvimento, e por deficiência de sua
documentação, não conseguiam acompanhar o passo das alterações
políticas e operacionais verificadas no mercado. A manutenção era
insegura, lenta e onerosa.
19
Segue abaixo um exemplo de como funciona um fluxo do processo de
auditoria, desde a definição do escopo da auditoria até o seu encerramento.
Figura 1: Fluxo do Processo de Auditoria (Elaborado pelo Autor)
20
1.5 - O Auditor de sistemas:
Segundo o autor Imoniana (2008), auditar o sistema de informação de
uma organização requer o domínio de técnicas de gerenciamento e de análise
de sistemas, bem como de conhecimentos de programação e contabilidade.
Sendo assim, um auditor de sistemas deve ser um profissional genérico que
supere o espaço existente entre as áreas financeiras e de processamento de
dados.
Entre os conhecimentos que o auditor de sistemas deve ter, estão:
• Auditoria de sistemas de uma forma geral;
• Análise de risco;
• Controles de detecção, prevenção e correção;
• Recuperação em casos de desastres;
• Ciclo de vida de desenvolvimento de sistemas;
• Crimes de computador;
• A legislação referente aos sistemas de informação;
• Gerenciamento de auditoria de sistemas de informações;
• Aquisição de software e hardware;
• Software de sistemas;
• Integridade de dados;
• Banco de dados e comunicação de dados;
• Conhecimentos de processamento de dados em geral.
21
CAPÍTULO II - FRAMEWORKS MAIS UTILIZADOS
Atualmente as auditorias internas e externas utilizam diferentes tipos
de frameworks como base para seus trabalhos. A seguir apresentaremos os
frameworks mais utilizados:
2.1 – CobiT Versão 4.1:
O CobiT versão 4.1 (2010) é um guia para a gestão de TI criado e
recomendado pelo ISACF (Information Systems Audit and Control Foundation)
e mantido pelo ISACA (Information Systems Audit and Control Association). O
CobiT possui recursos tais como um sumário executivo, um framework,
controle de objetivos, mapas de auditoria, um conjunto de ferramentas de
implementação e um guia com técnicas de gerenciamento. As práticas de
gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam
a otimizar os investimentos de TI e fornecem métricas para avaliação dos
resultados. O CobiT independe das plataformas de TI adotadas nas empresas.
Ele é orientado ao negócio e fornece informações detalhadas para gerenciar
processos baseados em objetivos de negócios.
O modelo CobiT prover a informação de que a organização precisa para
atingir os seus objetivos, as necessidades para investir, gerenciar e controlar
os recursos de TI usando um conjunto estruturado de processos para prover
os serviços que disponibilizam as informações necessárias para a organização.
O gerenciamento e o controle da informação estão presentes em toda a
metodologia CobiT e ajudam a assegurar o alinhamento com os requisitos de
negócios.
O CobiT foi desenvolvido para auxiliar os auditores em 3 audiências
distintas:
• Gerentes que necessitam avaliar o risco e controlar os investimentos de
TI em uma organização;
22
• Usuários que precisam ter garantias de que os serviços de TI que
dependem os seus produtos e serviços para os clientes internos e
externos estão sendo bem gerenciados;
• Auditores que podem se apoiar nas recomendações do CobiT para
avaliar o nível da gestão de TI e aconselhar o controle interno da
organização.
O CobiT 4.1 está dividido em 4 (quatro) domínios (PO, ME, DS e AI),
onde cada domínio cobre um conjunto de processos para garantir a completa
gestão de TI, somando 34 processos.
Figura 2: Visão Geral do Modelo do CobiT (Fonte: Site do ISACA)
23
- Planejar e Organizar ( PO - Plan and Organize):
• Define o plano estratégico de TI;
• Define a arquitetura da informação;
• Determina a direção tecnológica;
• Define a organização de TI, os seus processos e seus relacionamentos;
• Gerencia os investimentos de TI;
• Comunica os objetivos e direcionamentos gerenciais;
• Gerencia os recursos humanos;
• Gerenciar a qualidade;
• Avalia e gerencia os riscos de TI;
• Gerencia os projetos.
- Adquirir e Implementar (AI - Acquire and Implement):
• Identifica as soluções de automação;
• Adquire e mantém os softwares;
• Adquire e mantém a infraestrutura tecnológica;
• Viabiliza a operação e utilização;
• Adquire recursos de TI;
• Gerencia as mudanças;
• Instala e aprova soluções e mudanças.
- Entregar e Suportar (DS - Deliver and Support):
• Define e mantém os acordos de níveis de serviços (SLA);
• Gerencia os serviços de terceiros;
• Gerencia o desempenho e capacidade do ambiente;
• Assegura a continuidade dos serviços;
• Assegura a segurança dos serviços;
• Identifica e aloca custos;
• Educa e treina os usuários;
• Gerencia a central de serviços e incidentes;
• Gerencia a configuração;
24
• Gerencia os problemas;
• Gerencia os dados;
• Gerencia a infraestrutura;
• Gerencia as operações.
- Monitorar e Avaliar (ME - Monitoring and Evaluate):
• Monitora e avalia o desempenho da TI;
• Monitora e avalia os controles internos;
• Assegura a conformidade com requisitos externos;
• Prove governança para a TI.
2.2 - ITIL Versão 3:
O Framework ITIL versão 3 (2007) foi desenvolvido pela CCTA (Agência
central de computação e telecomunicações do Reino Unido) a partir do início
dos anos 80 e este modelo de gestão é um dos mais adotados pelas
organizações. É um modelo público que define as melhores práticas a serem
aplicadas uniformemente pelas diferentes vertentes que compõem a gerência
de TI. Cada módulo do ITIL define uma biblioteca de práticas para melhorar a
eficiência de TI, reduzindo os riscos e aumentando a qualidade dos serviços e
o gerenciamento de sua infraestrutura.
Figura 3: Modelo de referência (Fonte: Site do ITIL)
25
Entre suas várias disciplinas, o ITIL define um modelo de gerenciamento
de Segurança da Informação. Na perspectiva do ITIL, os controles pertinentes
são centralizados nos processos de gerenciamento de segurança da
informação. Por conta disso, este modelo de gestão prega que as outras
disciplinas do conjunto devem adotar técnicas de segurança dentro de seus
processos. O ITIL muda a perspectiva das corporações, que passam a
enxergar segurança atrelada a outras áreas de negócio. Dessa forma, cada
unidade tem a responsabilidade de desenvolver seus processos pensando em
segurança.
O ITIL V3 é composto de 5 (cinco) volumes detalhados abaixo:
- Estratégia do serviço (Service Strategy): Como ponto de origem do ciclo de
vida de serviço ITIL, o volume sobre estratégia do serviço é um guia sobre
como tornar mais claro e priorizar investimentos sobre provimento de serviços.
Processos inclusos neste volume incluem:
• Gerenciamento de Estratégia para Serviços de TI
• Gerenciamento de portfólio (ou carteira) de serviços;
• Gerenciamento financeiro de serviços de TI;
• Gerenciamento de demandas;
• Gerenciamento de relacionamento com o negócio.
- Desenho de serviço (Service Design): O volume de desenho do serviço é
um guia sobre boas práticas no desenho de serviços de IT, processos, e outros
aspectos no esforço de gerenciamento de serviços. Desenho, com ITIL, é
englobar todos os elementos relevantes à entrega de serviços de tecnologia,
ao invés de focar somente no projeto da tecnologia propriamente dita.
Os Processos inclusos neste volume incluem:
• Gerenciamento de catálogo de serviços;
• Gerenciamento de fornecedores;
• Gerenciamento do nível de serviço (Service Level Management - SLM);
• Gerenciamento de disponibilidade;
26
• Gerenciamento de capacidade;
• Gerenciamento de continuidade de serviços de TI;
• Gerenciamento de segurança da informação;
• Coordenação do Desenho do Serviço.
- Transição do serviço (Service Transition): Este volume é direcionado à
entrega dos serviços necessários ao negócio no uso operacional, e geralmente
englobam o "projeto".
Os processos deste volume incluem:
• Gerenciamento de configurações e ativos de serviço;
• Planejamento de transição e suporte;
• Gerenciamento de liberação e entrega (release and deployment);
• Gerenciamento de mudança (Change Management);
• Gerenciamento de conhecimento;
• Papéis da equipe engajada na transição do serviço.
- Operação do serviço (Service Operation): Parte do ciclo de vida onde
serviços e valor são entregues diretamente. Assim, monitoramento de
problema e balanceamento entre disponibilidade de serviço e custo, etc, são
considerados.
Os processos inclusos são:
• Balanceamento do conflito das metas (disponibilidade versus custo, etc);
• Gerenciamento de eventos;
• Gerenciamento de incidentes;
• Gerenciamento de problemas;
• Cumprimento dos pedidos;
• Gerenciamento de acesso, (Service Desk).
- Melhoria contínua do serviço (Continual Service Improvement): A meta
do CSI (Continual Service Improvement) é ajustar e reajustar serviços de TI às
mudanças contínuas do negócio através da identificação e implementação de
27
melhorias aos serviços de TI que apoiam processos negociais. Para gerenciar
melhorias, o CSI deve definir claramente o que deve ser controlado e medido.
2.3 - ISO 27002 (Code of Practice for Information Security Management):
Anteriormente, esta norma era conhecida como ISO 17799, mas a partir
de 2007, foi incorporado um novo sistema de numeração e passou a ser
conhecida por ISO 27002.
A ISO 27002 (2007) tem por objetivo estabelecer diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da
informação em uma organização. Em outras palavras, significa que esta norma
assegura que as informações que são consideradas importantes para a
continuidade e manutenção dos objetivos do negócio estarão protegidas. Esta
norma encontra-se distribuídas em 11 seções que correspondem aos controles
de segurança da informação. São elas:
- Seção 5 – Política de Segurança da Informação: Definição e formalização
de uma política de segurança da informação da organização e sua devida
divulgação a todos. Esta política deve ser revisada criticamente em períodos
regulares de tempo.
- Sessão 6 – Organizando a segurança da Informação: Estabelecimento de
uma estrutura para gerenciamento para a implantação de segurança da
informação em uma organização. Para isso, é necessário que as atividades de
segurança da informação sejam coordenadas por representantes de diversas
partes da organização, com funções e papéis relevantes.
- Sessão 7 – Gestão de Ativos: Esta norma prega proteger todos os ativos da
organização, e de acordo com a ISO 27002, ativo é considerado qualquer
coisa que tenha valor para a organização.
28
- Seção 8 – Segurança em Recursos Humanos: No ato da contratação de
um novo funcionário, é necessário que o mesmo entenda quais são suas
responsabilidades, especialmente no que tange às responsabilidades de
segurança da informação. A intenção é mitigar o risco de roubo, fraude ou mau
uso dos recursos.
- Seção 9 – Segurança Física e do Ambiente: As instalações de
processamento de informações críticas ou sensíveis devem ser mantidas em
áreas seguras, com níveis de controle de acesso apropriados.
- Seção 10 – Gestão das Operações e Comunicações: Definição dos
procedimentos e responsabilidades pela gestão e operação de todos os
recursos de processamento das informações. Visando o risco de mau uso ou
uso indevido dos sistemas, é importante, sempre que possível, realizar
segregação de funções.
- Seção 11 – Controle de Acesso: Deve haver um controle sobre o acesso às
informações, aos recursos e aos processos de negócio, baseado nos
requisitos do negócio e na segurança da informação.
- Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação: Antes do desenvolvimento e implementação dos requisitos de
segurança dos sistemas de informação, é necessário que estes sejam
identificados e acordados antes. Visando a manutenção da confidencialidade,
autenticidade e integridade das informações é essencial que elas estejam
protegidas.
- Seção 13 – Gestão de Incidentes de Segurança da Informação: A fim de
que eventos de segurança da informação sejam mais brevemente possíveis
comunicados, devem ser estabelecidos procedimentos formais que assegurem
que tomada de ação corretiva ocorra em tempo hábil.
29
- Seção 14 – Gestão da Continuidade do Negócio: Devem ser estabelecidos
planos de continuidade de negócio, incluindo controles para identificar e
reduzir os riscos, de modo a impedir a parada das atividades de negócio contra
falhas ou desastres significativos.
- Seção 15 – Conformidade: Deve-se estar em conformidade com todas as
leis e estatutos, regulamentações ou obrigações contratuais de quaisquer
requisitos de segurança da informação.
Figura 4: Estrutura da ISO 27002 (Fonte: Site da ISO)
A adoção destes frameworks por organizações de TI variam de escala.
Empresas de maior porte, de determinado segmento, com um nível de
complexidade do negócio maior necessitam de maior formalidade quanto à
implementação de processos e seus controles. Analisando as práticas de
30
segurança que estes frameworks sugerem, é notável que, muito
provavelmente, a organização terá sucesso na sua gestão de segurança da
informação, entretanto se forem ignorados, a empresa é colocada em risco.
Para aquelas organizações de pequeno porte que não possuem
investimento suficiente para realizar em segurança da informação, cabe a ela
dar prioridades naqueles controles mais críticos e criar outros controles
compensatórios que mitiguem completamente riscos de alta criticidade.
2.4 – PMBOK Quarta Edição:
O PMBOK (Project Mangement Body of Knowledge) é uma metodologia
que consiste em um conjunto de conhecimentos em gerenciamento de
projetos, desenvolvido pelo PMI (Project Management Institute) que é uma
organização internacional sem fins lucrativos que reúne profissionais da área
de gerência de projeto. O PMI promove a ampliação do conhecimento
existente sobre gerenciamento de projeto, bem como melhora o desempenho e
expertise dos profissionais e organizações da área. No manual do PMBoK são
descritos as habilidades e ferramentas técnicas para gerenciamento de um
projeto. Por este motivo, muitas empresas consideram adequada a utilização
do PMBOK para o planejamento e gerenciamento da implantação de normas
de segurança, como a ISO 27002, de forma satisfatória na maioria das
empresas.
31
Figura 5: Grupos de Processos (Fonte: Site do PMI)
O PMBOK quarta versão (2008) propõe que o gerenciamento de
projetos compreende 5 (cinco) grupos de processos:
1. Processo de Iniciação;
2. Processo de Planejamento;
3. Processo de Execução;
4. Processo de Monitoramento e Controle;
5. Processo de Encerramento.
O PMBOK também propõe 9 (nove) áreas de conhecimento e 44
(quarenta e quatro) processos, que caracterizam os principais aspectos
envolvidos em um projeto e no seu gerenciamento:
1. Gerenciamento da Integração:
• Desenvolver o termo de abertura do projeto;
• Desenvolver o plano de gerenciamento do projeto;
• Orientar e gerenciar a execução do projeto;
• Monitorar e controlar o trabalho do projeto;
• Realizar o controle integrado de mudanças;
• Encerrar o projeto ou fase.
32
2. Gerenciamento do escopo:
• Coletar os requisitos;
• Definir o escopo;
• Criar a EAP;
• Verificar o escopo;
• Controlar o escopo.
3. Gerenciamento do tempo:
• Definir as Atividades;
• Sequenciar as Atividades;
• Estimar os Recursos da Atividade;
• Estimar a Duração da Atividade;
• Desenvolver o Cronograma;
• Controlar o Cronograma.
4. Gerenciamento dos custos:
• Estimar os custos;
• Determinar o orçamento;
• Controlar os custos.
5. Gerenciamento da qualidade:
• Planejar o gerenciamento da qualidade;
• Realizar a garantia da qualidade;
• Controlar a qualidade.
6. Gerenciamento de recursos humanos:
• Desenvolver o plano de recursos humanos;
• Mobilizar a equipe do projeto;
• Desenvolver a equipe do projeto;
• Gerenciar a equipe do projeto.
33
7. Gerenciamento das comunicações:
• Planejar o gerenciamento das comunicações;
• Gerenciar as comunicações;
• Controlar as comunicações.
8. Gerenciamento da análise dos riscos:
• Planejar o gerenciamento dos riscos;
• Identificar os riscos;
• Realizar a análise qualitativa dos riscos;
• Realizar a análise quantitativa dos riscos;
• Planejar as respostas aos riscos;
• Controlar os riscos.
9. Gerenciamento das aquisições:
• Planejar o gerenciamento das aquisições;
• Conduzir as aquisições;
• Controlar as aquisições;
• Encerrar as aquisições;
2.5 - CMMI (Capability Maturity Model Integration):
O CMMI (1997) é um modelo de referência que contém práticas
necessárias à maturidade em disciplinas específicas como engenharia de
sistemas, engenharia de softwares e engenharia de hardware. Foi
desenvolvido pelo SEI (Software Engineering Institute) da Universidade
Carnegie Mellon. O CMMI é uma evolução do modelo CMM e procura
estabelecer um modelo único para o processo de melhoria corporativo,
integrando diferentes modelos e disciplinas.
34
Figura 6: Níveis de maturidade do CMMI (Fonte: Site do CMMI Institute)
O CMMI está dividido em 5 (cinco) estágios:
• Realização – Estágio inicial;
• Gerenciado – Gerenciamento de requisitos, planejamento de projeto,
monitoramento e controle de projeto, gerenciamento de fornecedores,
medição e análise, garantia da qualidade do processo e do produto,
gerenciamento de configuração;
• Definido – Desenvolvimento de requisitos, solução técnica, integração
do produto, verificação e validação, foco no processo organizacional,
definição do processo organizacional, treinamento organizacional,
gerenciamento de riscos, gerenciamento integrado do projeto, análise
da decisão e resolução;
• Quantitativamente – Gerenciamento quantitativo do projeto,
performance do processo organizacional;
• Otimização – Análise causal e resolução, inovação organizacional e
implantação.
35
O CMMI possui 2 (duas) representações:
1 - Representação contínua: Possibilita à organização utilizar a ordem de
melhoria que melhor atende os objetivos de negócio da empresa e é
caracterizado por níveis de capacidade (Capability Levels):
• Nível 0: Incompleto (Ad-hoc);
• Nível 1: Executado;
• Nível 2: Gerenciado / Gerido;
• Nível 3: Definido;
• Nível 4: Gerenciado quantitativamente;
• Nível 5: Em otimização.
A representação contínua é indicada quando a empresa deseja tornar
apenas alguns processos mais maduros, quando já utiliza algum modelo de
maturidade contínua ou quando não pretende usar a maturidade alcançada
como modelo de comparação com outras empresas.
2 - Representação por estágios: Disponibiliza uma sequência pré-
determinada para melhoria baseada em estágios que não deve ser
desconsiderada, pois cada estágio serve de base para o próximo e e
caracterizado por níveis de maturidade (Maturity Levels):
• Nível 1: Inicial (Ad-hoc);
• Nível 2: Gerenciado / Gerido;
• Nível 3: Definido;
• Nível 4: Quantitativamente gerenciado / Gerido quantitativamente;
• Nível 5: Em otimização.
A representação por estágios é indicada quando a empresa já utiliza
algum modelo de maturidade por estágios, quando deseja utilizar o nível de
maturidade alcançado para comparação com outras empresas ou quando
36
pretende usar o nível de conhecimento obtido por outros para sua área de
atuação.
37
CAPÍTULO III - AMBIENTE ADITÁVEL :
3.1 - Sistemas Operacionais: Atualmente os servidores onde rodam os
sistemas das empresas e seus respectivos bancos de dados rodam nos
principais sistemas operacionais do mercado. São eles: Windows, Linux e
Unix. O objetivo da Auditoria Interna e Externa é prevenir o acesso não
autorizado aos sistemas operacionais.
De acordo com o CobiT 4.1 (2010), as principais ações a serem
tomados pela infraestrutura de TI da companhia:
• Autenticação de usuários administradores, conforme a política de
controle de acesso definida pela companhia;
• Registro das tentativas de autenticação no sistema com sucesso ou
falha;
• Registro do uso de privilégios especiais do sistema;
• Disparo de alarmes quando as políticas de segurança do sistema são
violadas;
• Restrição do tempo de conexão dos usuários, quando apropriado.
3.2 - Bancos de dados: O principal objetivo é criar procedimentos que
assegurem a integridade e consistência de todos os dados armazenados na
forma eletrônica, tais como banco de dados, data warehouses e arquivos de
dados. Atualmente os principais bancos de dados são: Oracle e SQL Server.
Principais ações a serem tomados pela infraestrutura de TI da
companhia:
• Autenticação de usuários administradores dos bancos de dados (DBA),
conforme a política de controle de acesso definida pela companhia;
• Registro das tentativas de autenticação no banco de dados com
sucesso ou falha;
38
• Registro do uso de privilégios especiais no banco de dados;
• Disparo de alarmes quando as políticas de segurança do banco de
dados são violadas;
• Restrição do tempo de conexão dos usuários, quando apropriado.
3.3 - Data Center: Auditar um Data Center significa “proteger os ativos de TI e
dados de negócio da companhia” a fim de minimizar o risco de interrupção nos
negócios. Para que isso ocorra alguns procedimentos devem ser seguidos pela
equipe responsável pelo Data Center:
• Os equipamentos devem ser colocados no interior do Data Center;
• Deve haver um controle de acesso físico ao interior do Data Center, ou
seja, somente pessoas devidamente aprovados podem ter acesso aos
equipamentos da companhia (Servidores);
• Os itens que exigem proteção especial devem ser isolados para reduzir
o nível geral de proteção necessário;
• Adotar controles para minimizar o risco de ameaças físicas potenciais,
tais como furto, incêndio, explosivos, fumaça, água (ou falha do
suprimento de água), poeira, vibração, efeitos químicos, interferência
com o suprimento de energia elétrica, interferência com as
comunicações, radiação eletromagnética e vandalismo;
• Estabelecer diretrizes quanto a comer, beber e fumar nas proximidades
das instalações de processamento da informação;
• As condições ambientais do interior do Data Center, como temperatura
e umidade, devem ser monitoradas para a detecção de condições que
possam afetar negativamente os recursos de processamento da
informação.
3.4 - Backup: A Área de Infraestrutura de TI deve definir e implementar
procedimentos de cópia de segurança (backup) e restauração de sistemas,
aplicativos, dados e documentação em alinhamento com os requisitos de
negócio da companhia.
39
Principais ações que devem ser tomadas:
• Armazenamento offsite - Uma Infraestrutura de armazenamento offsite
deve ser utilizada no esquema de rodízio de fitas de backup, a fim de
garantir a continuidade em casos de eventos de destruição física do
hardware e dos backups armazenados on-site. Esta Infraestrutura deve
ser selecionada considerando a área geográfica, acessibilidade,
segurança, condições ambientais e custos;
• Padrões de retenção - A gerência de infraestrutura deve documentar e
efetivamente comunicar ao pessoal apropriado padrões de retenção e
termos de armazenamento para documentos, dados, programas,
relatórios, mensagens, além dos dados utilizados para sua encriptação
e autenticação. Os procedimentos são desenhados para atender aos
requisitos de negócios, legais e regulatórios e devem estar devidamente
atualizados, aprovados e comunicados a todos os envolvidos no
processo;
• Restore - Deve existir um procedimento para teste periódico de
recuperação de dados;
• Execução do Backup - As estratégias de backup dos dados devem ser
executadas de acordo com o plano existente. Estas estratégias devem
incluir o backup regular de dados de acordo com os padrões de
frequência documentados.
• Monitoramento do Backup - Os backups dos dados devem ser
efetuados por Jobs automáticos agendados para serem executados em
horários específicos. Estes Jobs devem estar de acordo com as
estratégias documentadas de backup e recuperação de dados.
40
CAPÍTULO IV - FERRAMENTAS QUE DÃO SUPORTE
4.1 - ACL (Audit Command Language) Versão 9:
É a ferramenta mais moderna do mercado para extração de informações
de banco de dados, tratamento e análise, visando detectar erros e riscos
gerais do negócio associados a dados transacionais incompletos, imprecisos e
inconsistentes. São utilizados em centenas de órgãos governamentais
federais, estaduais e municipais, além das quatro grandes empresas de
auditoria (Deloitte Touche Tohmatsu, PWC (PricewaterhouseCoopers), KPMG
e Ernst & Young Terco).
Figura 7: Tela da ferramenta ACL (Elaborada pelo autor)
As soluções ACL permitem aos executivos responsáveis pelas decisões
financeiras assegurar a conformidade com controles e legislações, reduzir os
riscos, minimizar as perdas e aumentar a lucratividade. Desde 1987, os
41
profissionais de auditoria interna e externa reconhecem a ferramenta ACL
como líder de mercado na extração e análise de dados, detecção e prevenção
de fraudes, e monitoração contínua.
4.2 - IDEA (Interactive Data Extraction & Analysis):
Assim como o ACL, a ferramenta IDEA é uma das mais poderosas para
extração e manuseio de dados em uso no mundo. É um software para
extração e análise de dados, utilizado para controles internos e detecção de
fraudes. Sua utilização nos trabalhos é aplicável sempre que temos à
disposição volumes significativos de informações armazenadas através de
processamento eletrônico.
Figura 7: Tela da ferramenta IDEA (Elaborada pelo autor)
Principais características da ferramenta IDEA:
• Cria um registro de todas as alterações feitas em um arquivo, mantendo
uma trilha de auditoria ou registro de todas as operações;
• Cada entrada é identificada com o ID de usuário a partir do login do
Windows;
42
• Permite importar e exportar dados em uma variedade de formatos (para
computadores de grande porte e para software de contabilidade);
• Pode ler e processar milhões de discos em poucos segundos;
• Número ilimitado de registros para processar;
• Compara, une, adiciona, e conecta diferentes arquivos de diversas
fontes.
4.3 - Pentana:
É um software utilizado pelos auditores interno e externos para realizar o
planejamento estratégico da auditoria, sistema de planejamento e
monitoramento de recursos, controle de horas (timesheet), registro de
checklists e programas de auditoria, inclusive de desenho e gerenciamento de
plano de ação.
Figura 8: Tela da ferramenta Pentana (Fonte: Site do Google)
43
4.4 – Nessus:
É um programa de auditoria de segurança capaz de realizar seus testes
sob e contra diversos sistemas operacionais. É utilizado para a verificação de
falhas/vulnerabilidades de segurança e é composto por um cliente e servidor.
O Nessusd (servidor Nessus) faz um port scan no computador alvo, depois
disso vários scripts ligam-se a cada porta aberta para verificar problemas de
segurança.
Seu conjunto de ferramentas é formado pelo Nessusd, o Daemon
Nessus, que realiza a varredura do sistema alvo, e pelo Nessus, o cliente,
disponível em modo gráfico e em texto, que mostra o avanço dos testes e
mostra ao usuário o resultado das auditorias realizadas.
Figura 9: Tela da ferramenta Nessus (Fonte: Site do Google)
Os resultados da auditoria podem ser exportados em relatórios em
vários formatos, como texto plano, XML, HTML etc...
44
4.5 - Nmap (Network Mapper):
É um software de código aberto que realiza port scan. É muito utilizado
para avaliar a segurança dos computadores, e para descobrir serviços ou
servidores em uma rede de computadores. O software Nmap é muito
reconhecido pela sua rapidez e pelas opções que dispõe.
Figura 9 Tela da ferramenta Nmap (Fonte: Site do Google)
O Nmap também é responsável por determinar quais hosts estão
disponíveis na rede, quais serviços os hosts oferecem, quais sistemas
operacionais eles estão executando e que tipos de filtro de pacotes/firewalls
estão em uso.
45
É utilizado para auditorias de segurança, mas muitos administradores de
sistemas e rede utilizam para os seguintes serviços:
• Inventário de rede;
• Gerenciamento de serviços de atualização agendados;
• Monitoramento de host ou disponibilidade de serviço.
4.6 – Softwares para criação de Fluxogramas:
Atualmente as auditorias internas e externas utilizam várias ferramentas
para criação de fluxogramas. São elas ARIS, FLOW CHARTING e VISIO.
Porém não é necessária a aquisição ou até mesmo a realização de um
curso para uma ferramenta especifica. A Microsoft disponibiliza através de
pacote OFFICE as ferramentas WORD, EXCEL E POWER POINT que
também possuem essas características. Qualquer duvida basta acessar a
ajuda que está disponibilizada no canto superior direito do software.
Como exemplo, adicionamos a tela do Microsoft EXCEL, com a aba
AJUDA em destaque.
Figura 10 Tela da ferramenta Nmap (Fonte: Site do Google)
46
CONCLUSÃO
O estudo realizado nessa monografia proporcionou uma contribuição
positiva para o processo de aprendizagem quanto à auditoria de sistemas, uma
vez que ao traçar um perfil das principais deficiências associadas à utilização
de informática pelas companhias, procurou-se mostrar a efetividade desta
modalidade de auditoria na detecção de falhas e na prescrição de melhorias.
A dinâmica dos trabalhos de auditoria de sistemas de informação não
permitia, até hoje, uma avaliação mais detalhada dos resultados alcançados
por este tipo de auditoria, de forma a contribuir para a melhoria da gestão nas
empresas.
Não há dúvidas que a tecnologia aplicada aos negócios da companhia
traz muitos benefícios. Entretanto, as organizações também devem
compreender e controlar os riscos associados à utilização das novas
tecnologias.
Este trabalho de conclusão de curso procurou mostrar a importância de
uma auditoria de sistemas para as empresas, detalhando os ambienteis
auditáveis e as principais ferramentas utilizadas no mercado. Além disso, o
estudo também procurou passar uma visão mais clara do que é uma auditoria,
auditoria interna e externa e o que é uma auditoria de sistemas.
Verificou-se também que a auditoria de sistemas deve garantir que as
informações estejam realmente íntegras (uma vez que a auditoria tem como
verificar se os requisitos para segurança da informação estão implementados
satisfatoriamente) proporcionando um processamento ideal para obter os
resultados esperados.
47
BIBLIOGRAFIA CONSULTADA
ARIMA, Carlos Hideo, SANTOS Jose Luiz dos, SCHMIDT Paulo,
FUNDAMENTOS DE AUDITORIA DE SISTEMAS. 1ª Edição. Brasileiro, Atlas
Editora, 2006.
COBIT, A Business Framework for the Governance and Management of
Enterprise It. Disponível em <http://www.isaca.org/cobit/pages/default.aspx>
Acesso em: 15 de Abril de 2013.
CMMI, Capability Maturity Model Integration. Disponível em
<http://www.sei.cmu.edu/cmmi>
Acesso em: 7 de Maio de 2013.
HOLMES, Arthur Wendell, PRINCÍPIOS E PROCEDIMENTOS DE
AUDITORIA. 5ª Edição. 1978.
IMONIANA, Joshua Onome, AUDITORIA DE SISTEMAS DE INFORMAÇÃO.
2ª Edição. Brasileiro, 2008.
INSTITUTE, Project Management , UM GUIA DO CONHECIMENTO EM
GERENCIAMENTO DE PROJETOS - GUIA PMBOK. 4ª Edição. Brasileiro,
Editora Project Management Inst-id, 2009.
ISO/IEC 27002, 2005 Information Technology - Security Techniques - Code of
practices for information security management. iso27001security, 2011.
Disponível em <http://www.iso27001security.com/html/27002.html>
Acesso em: 4 de Junho de 2013.
ITIL, Framework ITIL. Disponível em <http://www.itil-officialsite.com>
Acesso em: 8 de Abril de 2013.
48
MULCAHY, Rita, PREPARATÓRIO PARA O EXAME DE PMP. 7ª Edição.
Brasileiro, RMC Publications, 2011.
49
ÍNDICE
FOLHA DE ROSTO 2
AGRADECIMENTO 3
DEDICATÓRIA 4
RESUMO 5
METODOLOGIA 6
SUMÁRIO 7
SIGLAS 8
INTRODUÇÃO 9
CAPÍTULO I
(AUDITORIA) 12
1.1 - Auditoria Externa 13
1.2 - Auditoria Interna 15
1.3 - Auditoria de Sistemas 15
1.4 - Como surgiu a auditoria de sistemas 16
1.5 - O Auditor de sistemas 20
CAPÍTULO II
(FRAMEWORKS MAIS UTILIZADOS) 21
2.1 - CobiT Versão 4.1 21
2.2 - ITIL Versão 3 24
2.3 - ISO 27002 27
2.4 – PMBOK Quarta Edição 30
2.5 - CMMI 33
CAPÍTULO III
(AMBIENTE ADITÁVEL) 37
3.1 - Sistemas Operacionais 37
3.2 - Bancos de dados 37
3.3 - Data Center 38
50
3.4 – Backup 38
CAPÍTULO IV
(FERRAMENTAS QUE DÃO SUPORTE) 40
4.1 – ACL 40
4.2 - IDEA 41
4.3 - Pentana 42
4.4 - Nessus 43
4.5 - Nmap 44
4.6 - Softwares para criação de Fluxogramas 45
CONCLUSÃO 46
BIBLIOGRAFIA CONSULTADA 47
ÍNDICE 49