IF987 – Auditoria e Segurança de
Sistemas de Informação
Prof. Francisco Airton cin.ufpe.br/~faps
Universidade Federal de Pernambuco Centro de Informática
O que veremos hoje....
• Fundamentos em Auditoria de Sistemas de Informação
Conceito 1
Conceito 2
Auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas em determinada empresa ou setor, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se foram implementadas com eficácia e se
estão adequadas (em conformidade) à consecução dos objetivos.
EXTERNA x
Conceito 3
A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos
nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no
processamento dos mesmos.
A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos
nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no
Meu conceito....
if public void String auditar(){
if (trabalho_sendo_feito_corretamente && trabalho_sendo_feito_de_forma_eficaz){ System.out.println("Elogiar, e mostrar o que melhorou...")
} else {
System.out.println("Dedurar para diretoria os problemas e sugerir soluções"); }
•
Em que departamento aplicar
auditoria?
A auditoria nas organizações
Presidência Executiva Auditoria de Sistemas Diretoria Administrativa Diretoria Financeira Diretoria de Vendas Diretoria de tecnologiaImportância da auditoria de
sistemas
• Economia nos investimentos em sistemas computadorizados
• Necessidade de garantir a segurança dos computadores e seus sistemas
• Garantia do alcance da qualidade dos sistemas computadorizados
• Auxiliar a organização a avaliar e validar o ciclo administrativo
Dificuldades encontradas pela Auditoria de Sistemas na Empresa
• Defasagem tecnológica
• Falta de bons profissionais • Falta de cultura da empresa
Tipos de Auditoria
• Durante o Desenvolvimento de Sistemas • Auditoria de Sistemas em Produção
• Auditoria no ambiente tecnológico • Auditoria em eventos específicos
Objetivos da auditoria segundo
COBIT
• Integridade • Confidencialidade • Disponibilidade • Auditabilidade • Versatilidade • ManutenabilidadeEtapas da atuação do auditor de sistemas
• Compreensão do ambiente
• Análise do ambiente e determinação das situações mais sensíveis • Elaboração de uma massa de testes
• Aplicação da massa de testes
• Emissão da opinião quanto ao ambiente auditado
• Debate com os profissionais da área auditada para discussão das alternativas recomendadas
• Acompanhamento da implantação da solução proposta • Auditoria da solução implantada
Perfil do Auditor de Sistemas
• Ser independente às áreas a serem auditadas
• Ter formação em auditoria de
computação, conhecendo o ambiente a ser auditado
Tendências da Auditoria de Sistemas na Organização
• Preocupação com a qualidade dos
processos computadorizados – criação do Analista de Segurança da Informação e do Analista de Qualidade da Informação.
Conceitos de auditoria
• Ponto de Controle: Situação do ambiente computacional
considerada pelo auditor como sendo de interesse para validação e avaliação.
• Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de Informação:
– Fidelidade da informação em relação ao dado – Segurança física
– Segurança lógica – Confidencialidade
– Obediência à legislação em vigor – Eficiência
– Eficácia
Organização do trabalho da
auditoria
Planejamento
• 1º Passo
– Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos
humanos e materiais envolvidos, arquivos processados, relatórios e telas produzidos).
• 2º Passo:
– Determinar os pontos de controle (processos críticos)
• 3º Passo: Definição dos objetivos da auditoria:
– Técnicas a serem aplicadas – Prazos de execução
– Custos de execução
Organização do trabalho da
auditoria
Planejamento
• 4º Passo:
– Estabelecimento de critérios para análise de risco • 5o. Passo:
– Análise de Risco
– Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquização: – Grau de Risco • 1 – Muito Fraco • 2 – Fraco • 3 – Regular • 4 – Forte • 5 – Muito forte • 6º Passo:
Organização do trabalho da auditoria Execução
• 1o. passo: Escolher a equipe.
– Perfil e histórico profissional – Experiência na atividade
– Conhecimentos específicos – Formação acadêmica
– Linguas estrangeiras
Organização do trabalho da
auditoria
Execução
• 2o. passo: Programar a equipe
– Gerar programas de trabalho
– Selecionar procedimentos apropriados – Incluir novos procedimentos
– Classificar trabalhos – Orçar tempo
Organização do trabalho da
auditoria
Execução
• 3o. passo: Execução dos trabalhos
– Dividir as tarefas de acordo com a formação, experiência e treinamento dos auditores
– Efetuar supervisão para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente
Organização do trabalho da
auditoria
Execução
• 4o. passo: Revisão dos papéis
– Verificar pendências e rever o papel de cada auditor para suprir as falhas encontradas
Organização do trabalho da
auditoria
Execução
• 5o. passo: Avaliação da equipe
– Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e
superação de fraquezas do auditor
– Ter um sistema de avaliação de desempenho automatizado
Organização do trabalho da
auditoria
Documentação do trabalho
• Documentação de todo o processo de Auditoria de Sistemas executado.
Produtos gerados pela
Auditoria de sistemas
• Relatório de fraquezas de controle interno • Certificado de controle interno
• Relatório de redução de custos • Manual de auditoria do ambiente • Documentos auxiliares
Relatório de Fraquezas de
controle interno
• Objetivo do projeto de auditoria • Pontos de controle auditados
• Conclusão alcançada a cada ponto de controle
Certificado de Controle Interno
• Indica se o ambiente está em boa,
razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
Relatório de redução de custos
• Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do
Manual da auditoria do
ambiente auditado
• Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias.
Compõe-se de toa a documentação anterior já citada.
Apresentação dos resultados
da auditoria à alta
administração
• Objetividade na transmissão dos resultados
• Esclarecimento das discussões realizadas entre a
auditoria e os auditados
• Clareza nas recomendações das alternativas de solução
• Coerência da atuação da Auditoria
• Apresentação da documentação gerada
Arquivos auxiliares
• Irá conter toda a documentação do ambiente e dos trabalhos realizados
como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.
E o salário ó
• Os salários de um Auditor de Sistemas, dependendo da região e da
especialização podem atingir de R$ 4.000 à R$ 12.000