Auditoria e Segurança de Sistemas – Cód. 30135Prof. Msc. Ronnison Reges Vidal

Baseado na obra:DIAS, Cláudia, “Segurança e Auditoria da Tecnologia da Informação”. Editora Axcel Books do Brasil, 2000

Resumo

Abstract

1. Introdução e Auditoria de Sistemas

1.1. O que é auditoria?

Auditoria é uma atividade que engloba o exame/verificação de operações, processos, sistemas e reponsabilidade existentes na organização, empresa ou entidade.

Seu principal objetivo é a verificação da conformidade dessas atividades com os objetivos e políticas institucionais, considerando o orçamento disponível. Além de, também verificar regras, normas e padrões. De forma geral, para qualquer tipo de auditoria existem conceitos comuns a todas elas, os quais são:

O Campo da auditoria, que por sua vez, é composto por:o Objetoo Períodoo E a natureza (operacional, financeira ou legalidade)

E o âmbito da auditoria

Por natureza operacional, financeira ou legalidade compreende-se respectivamente, por aquela que analisa a gestão de recursos, visando aspectos de eficiência, eficácia, economia e efetividade. A segunda é aquela que cuida da análise de contas, da situação financeira, da legalidade e da regularidade das operações e aspectos contábeis, financeiros, orçamentários, e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. E finalmente a terceira, consiste na análise da legalidade e regularidade das atividades, funções operações ou gestão de recursos.

O Âmbito da Auditoria, que corresponde a granularidade ou escopo das operações de auditoria, define o aprofundamento das tarefas de auditoria e o grau de abrangência com que elas são executadas. O conjunto formado pelo Campo e Âmbito da auditoria configura-se na Área de verificação, que por sua vez, dependendo da complexidade da área de verificação, pode-se dividi-la em subáreas.

A seguir é apresentado na figura 1 como está estruturado a área de verificação de uma auditoria:

Operações Processos Sistemas Responsabilidades

Figura 1. Área de Verificação

Ex. Qual seria uma possível área de verificação para uma auditoria na qual se pretende avaliar a eficácia dos controles sobre a segurança das informações corporativas?

Figura 2. Área de Verificação em Tecnologia da informação

Outro conceito relevante para a auditoria são os controles, este são definidos como a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos. Ou sobre produtos, para que tais atividades, ou produtos, não se desviem das normas preestabelecidas.

Os controles podem ser divididos em três tipos: Preventivos: Usados para prevenir erros, omissões ou fraudes. Ex.: Controle de

acesso por senhas Detectivos: Usados para detectar e relatar erros, omissões ou fraudes. Ex.:

Sistema de detecção de intrusão

Controles de acesso físico

Controles de acesso lógico

Backup

Avaliação da eficácia dos controles sobre segurança da informação

Segurança de Informações Corporativas

15/08 a 17/08

Auditoria de TI

Corretivos: Usados para reduzir impactos ou corrigir erros detectados. Ex.: Planos de contingências

Os objetivos de controles são metas a serem alcançadas ou efeitos negativos s serem evitados, para cada tipo de transaçã, atividade ou função fiscalizada. Para alcançar esses objetivos na prática, estes são traduzidos em diversos procedimentos de auditoria. Esse procedimentos são um conjunto de verificações e averiguações necessárias que permitem obter e analisar as informações necessária à formulação da opinião do auditor.

Outro conceito ligado a eficiência da auditoria são achados de auditoria. Estes são fatos significativos observados pelo auditor, os quais constituem-se de provas das informações relacionadas ao trabalho de auditoria executado. Os papéis de trabalho são registros de atos e fatos observados pelo auditor, ou seja, correspondem as notas que dão suporte ao relatório de auditoria.

Durante a fase de relatório o auditor faz recomendações de auditoria, que são medidas corretivas possíveis, sugeridas pela instituição fiscalizadora ou pelo auditor. As recomendações resultantes do processo de auditoria podem se transformar em determinações a serem cumpridas.

1.2. Natureza da Auditoria

Não há uma padronização quanto aos diversos tipos de auditoria. As mais comuns são classificados de acordo com os seguintes aspectos (Dias, 2000):

Quanto ao Órgão Fiscalizador Quanto à Forma de Abordagem do Tema Quanto ao Tipo ou Área Envolvida

A natureza da auditoria quanto ao órgão fiscalizador divide-se em três tipos: Auditoria Interna: aquela que é realizada por departamento interno, esta por sua vez deve sempre prestar contas diretamente à direção da instituição; Auditoria Externa que é realizada por uma instituição externa e independente a órgão fiscalizado, e pode ser contratada ou imposta para aquela auditoria em específico; Auditoria Articulada é o trabalho conjunto entre auditorias interna e externa.

Já natureza da auditoria quanto à forma de abordagem do tema, surgem dois tipos: A auditoria horizontal, esta possui um tema específico e é realizada em várias entidades, departamentos ou serviços paralelamente; A auditoria orientada é focada em uma atividade específica da entidade fiscalizada. Ex.: uma atividade com fortes indícios de erros ou fraudes.

Finalmente a natureza da auditoria quanto ao Tipo ou Área Envolvida divide-se em diversos tipos:

Auditoria de Programas de Governo Auditoria do Planejamento Estratégico Auditoria Administrativa Auditoria Contábil Auditoria Financeira (ou de contas) Auditoria de Legalidade (ou de regularidade) Auditoria Operacional Auditoria Integrada (Financeira + Operacional) Auditoria da Tecnologia da Informação

1.3. Auditoria da Tecnologia da Informação

A Auditoria da TI é uma auditoria operacional responsável pela analise da gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade. A abrangência desse tipo de auditoria pode ser o ambiente de informática como um todo ou somente a organização do departamento de informática. Desde questões relacionadas a segurança física; segurança lógica; segurança de outros controles; planejamento de contingências; operação do centro de processamento de dados; aspectos administrativos da organização; políticas, padrões, procedimentos, responsabilidades organizacionais; gerência de pessoal e planejamento de capacidade; banco de dados; redes de comunicação e computadores; controle sobre aplicativos: desenvolvimento, entradas, processamento e saídas.

Apesar de não haver uma classificação formal, as auditorias para tecnologia da informação mais comuns são (Dias, 2000):

Auditoria da tecnologia da informação Auditoria da segurança de informações Auditoria de aplicativos

A auditoria de tecnologia em sistemas é abrangente e engloba todos os controles que podem influenciar a segurança de informação, além do correto funcionamento dos sistemas de toda a organização, como os controles:

Controles organizacionais; De mudança; De operação de sistemas; Sobre Banco de Dados; Sobre microcomputadores; Sobre ambiente cliente-servidor

Esta auditoria é determinada pela postura da organização com relação à segurança das informações e a avaliação as políticas de segurança e os controles relacionados com aspectos de segurança institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve:

Avaliação da política de segurança; Controles de acesso lógico; Controles de acesso físicos; Controles ambientais; Planos de contingência e continuidade de serviços

A segurança e o controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo está relacionado, atende à:

Controles sobre o desenvolvimento de sistemas aplicativos; Controles de entradas, processamento e saída de dados; Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por

ele atendida.

1.4. Equipe de Auditoria

Quando a equipe de auditoria está sendo formada, qual o primeiro membro a ser nomeado? A resposta para essa pergunta é o gerente da equipe. Este deve ter a habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI.

Faz parte das responsabilidades do gerente da equipe determinar a forma de atingir a capacitação e os métodos de treinamento mais eficazes para o treinamento da equipe. E analisa o conhecimento na área (se possível experiência anterior) dos candidatos à equipe.

Faz parte das atribuições do gerente de equipe ter conhecimentos computacionais para poder planejar, dirigir, supervisionar e revisar o trabalho executado pela equipe durante uma auditoria. Para escolher os membros da equipe deve ser feita a avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado pra a realização da auditoria.

E dependendo do âmbito, diferentes níveis de conhecimento podem ser exigidos ou podem ser supridos pela equipe básica (interna) com treinamentos ou contratação de mão-de-obra especializada. Dentro desses conhecimentos podem ser considerados:

Sistemas operacionais, Software básico, Banco de dados, Processamento distribuído, Software de controle de acesso, Segurança de informações, Plano e contingência, e de recuperação e Metodologias de desenvolvimento de sistemas. Técnicas de auditoria, Software de auditoria e extração de dados, Princípios Éticos, Bom relacionamento, Comunicação oral e escrita, Senso crítico, Conhecimento específico na área (finanças, pessoal, estoque...)

Para a formação da equipe o gerente tem como opções a contratação de consultoria externa ou pode desenvolver a capacidade técnica de TI nos auditores ou até mesmo desenvolver técnicas de auditagem no pessoal de TI. E isso depende do tamanho da organização, da capacidade dos profissionais, dos prazos, dos objetivos e também pela relação custo/beneficio sendo que uma das alternativas será eleita.

1.5. Planejamento e Execução

Uma auditoria seja ela operacional, de regularidade ou mesmo de legalidade é dividida em três partes estas são o planejamento, a execução e o relatório. O primeiro passo do planejamento é a fase onde o auditor:

Reuni a maior quantidade de possível de informações sobre o a entidade auditada

Conhece o ambiente a ser auditado: Faz o levantamento dos dados acerca do ambiente computacional

o Fluxo de processamento;o Recursos humanos, materiais envolvidos e responsáveis;o Arquivos processados;o Relatórios e aplicações produzidas;o Plataforma de Hardware;o Auditorias anteriores;

Neste primeiro passo o auditor define a complexidade e também define os recursos necessários para esboçar o plano de auditoria a seguido. No segundo passo o auditor determina os pontos de controle para fiscalizar os processos críticos da entidade a ser auditada.

No terceiro passo o auditor negocia com a gerência executiva o que esta sendo estabelecida no plano de auditoria para evitar falsas expectativas do contratante e definir os recursos necessários, desde os recursos humanos, baseado no grau de conhecimento técnico, recursos econômicos, os custos de execução, os recursos técnicos, como hardware, software e manuais técnicos, a metodologia a ser empregada e o nível de tecnologia a ser utilizada durante a auditoria.

No quarto passo do planejamento o auditor define a área de verificação, com seu campo, como objeto, o período e a natureza da auditoria, e seu âmbito. No quinto passo o gerente da auditoria define a equipe necessária para a realização da auditoria para em seguido iniciar o sexto passo. No sexto passo a execução da auditoria é executada. E ao fim da execução no sétimo passo a equipe de auditoria escreve o relatório final e faz recomendações para melhorar os processos da organização em questão.

1.6. Equipe

Durante a fase de planejamento da auditoria é preciso escolher a equipe de informática com as capacidades técnicas necessárias. O processo de escolha da equipe de auditoria é dividida em três passos. No primeiro passo se analisa certos aspectos como:

A escolha da equipe; Perfil e histórico do profissional; Experiência na atividade; Conhecimentos específicos; Formação acadêmica; Línguas estrangeiras; Disponibilidade para viagens, etc;

No segundo passo o gerente da equipe programar a equipe gerando programas de trabalho para os membros da equipe selecionando os procedimentos apropriados e levantando os custos que serão investidos na fase de execução.

No terceiro passo ocorro a divisão dos trabalhos entre os membros da equipe dividindo as tarefas de acordo com a formação, experiência e treinamento dos auditores. Dessa forma é efetuado a supervisão para garantir a qualidade do trabalho e certificar que as tarefas serão feitas corretamente.

Após essas fases de decisão a equipe é apresentada e levada a validar área de verificação e ao fim é solicitado a aprovação e apoio da alta direção. Nessa solicitação a

quipe detalha o escopo da auditoria para evitar falsas expectativas, desde evitar cobranças, evitar frustrações e alinhar as expectativas da alta direção e a equipe de auditoria.

1.7. Metodologias

A metodologia trata-se da definição de como as atividades de da equipe de auditoria procederão no decorrer do processo. A metodologia é composta de uma série de reuniões e entrevistas, como diversos motivos, desde a apresentação da equipe a direção da organização, a coleta de dados, a discussão e o encerramento.

Na aplicação de técnicas de auditorias são reunidos os achados de auditoria que são os fatos significativos observados pelo auditor durante a execução de auditoria são documentados os papéis de trabalhos que são registros que evidenciam atos e fatos observados pelo auditor. São utilizados programas de computador durante a execução auxiliando na aplicação das técnicas para análise de dados como:

Extração de dados Amostragem Análise de logs e módulos Trilhas de auditoria embutidas nos próprios sistemas

E também técnicas para verificação de controles do sistemas, como:

Massa de dados de testes Simulações Software de comparações Mapeamento e rastreamento de programas

Além de outras ferramentas que auxiliam no suporte de auditoria, como programas processadores de texto e de apresentações multimídia.

1.8. Objetivos de controle

Os objetivos de controle norteiam a auditoria em várias áreas especializadas e organizacionais. Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões, como:

Segurança: Confidencialidade, integridade, e disponibilidade de informações. Atendimento as solicitações: Verificação de indícios de irregularidades

motivados por terceiros. Materialidade: Valor significativos de sistemas computacionais em termos

financeiros. Altos custos de desenvolvimento: Envolvem riscos mais altos a organizaçãoGrau de envolvimento dos usuários. Sistemas sem colaboração do usuário não atende as especificaçõesOutsourcing: Efeitos da terceirização no ambiente de informática.

1.9. Execução

Durante a auditoria a equipe reuni evidências suficientemente confiáveis. E essas evidências podem ser divididas em quatro tipos:

Físicas: Observação das atividades. Documentária: Extração de dados diretos. Fornecida pelo auditado: Entrevistas, documentos cedidos, relatórios, e-mails. Analítica: Avaliação e comparação de dados.

1.10. Relatório

Ao fim da fase de execução o auditor normalmente apresenta seus achados e conclusões na forma de um relatório escrito. Estes relatórios devem ser destinados primeiramente a alta direção ou ao contratante direto do serviço. Para facilitar no entendimento isso os relatórios podem ser apresentados de forma preliminar dependendo da complexidade e do período da auditoria. Os relatórios podem ser divididos em:

Relatório preliminar Relatório parcial Relatório Final

A estrutura básica de um relatório por ser estruturada com dados da entidade auditada, síntese da auditoria, dados da auditoria, uma introdução (inclui: metodologia e objetivos), falhas detectadas (inclui: achados de auditoria), conclusões e recomendações e pareceres da alta direção.

2. Controles Organizacionais

Na auditoria da TI é analisado um conjunto de controles gerenciais e procedimentos que afetam todo ambiente de informática. O ponto de partida por conter características mais genéricas e administrativas. Esses controles relacionam-se com:

Infraestrutura de TI Seus procedimentos Políticas E práticas Oferecem uma estrutura básica de controle de todas as atividades de TI e

segurança da informação

São políticas, procedimentos e as estruturas organizacionais estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades da área de informática. Os controles organizacionais abrangem todos os controles adotados pela gerência em termos administrativos e institucionais. Dentre os controles organizacionais encontramos:

• Responsabilidades organizacionais• Políticas, padrões e procedimentos• Gerência de recursos humanos• Gerência de recursos computacionais• Outsourcing e contratação de consultoria externa

2.1. Responsabilidades Organizacionais

Em relação às responsabilidades organizacionais, o departamento de TI deve ter um estrutura organizacional bem definida desde as suas responsabilidades, suas unidades e documentos. Além dever possuir suficiente importância na estrutura da empresa por conta de as empresas estarem cada vez mais dependentes da tecnologia e em geral esse departamento ser vinculado a presidência ou tem status de diretoria.

As responsabilidades organizacionais estabelecem objetivos estratégicos e estabelece certa independência ao departamento de informática. As unidades internas têm de ser bem definidas com níveis de autoridade e responsabilidade, desde a descrições dos cargos e habilidades técnicas estabelecidas até a avaliação de desempenho dos funcionários.

Alguns problemas ocorrem quando essas responsabilidades não são bem definidas, como por exemplo:

• Falta de prestigio• Reconhecimento dos serviços• Falta de recursos• Riscos a segurança• Baixa qualidade de serviços

2.2. Políticas, Padrões e Procedimentos

As políticas, os padrões e o procedimento são a base para o planejamento gerencial, o controle da organização e a avaliação de desempenho das tarefas. Elas devem ser estabelecidos pela alta gerência, ou pelo menos as políticas e os padrões precisam. Para que assim sejam consideradas na prática pelas gerências intermediárias pois as políticas definem diretrizes institucionais e o relacionamento entre os diversos departamentos. A partir das políticas são estabelecidos padrões e então definidos os procedimentos. Quanto mais efetivo o cumprimento das políticas, maior a probabilidade dos controles serem eficazes.

Os padrões definem diversas diretrizes e podem ser aplicados a diversos setores como por exemplo:

• Padrões de aquisição de recursos• Projeto, desenvolvimento, alteração e documentação de sistemas• Operações do centro de informática e prestação de serviços

Finalmente os procedimentos descrevem a forma como as atividades deverão ser executadas e considera-se que cada entidade tem objetivos diferentes, políticas, padrões e procedimentos diferentes e até mesmo uma certa flexibilidade, que na verdade são as particularidades e as recomendações que determinada empresa pode ou não seguir.As políticas padrões e procedimentos devem constar no plano diretor de Informática devendo ser formalizado assim uma estratégia para TI e a falta desse plano pode levar a tomada de decisões erradas e além de investimentos equivocados. Dentre os riscos que podem ocorrer estão o desenvolvimento de sistemas que não satisfaçam os objetivos de negócio, as perdas econômicas e investimentos sem resultado.

A respeito do plano diretor neste deve constar informações como:

• Tamanho da organização• Importância da informática: principalmente na continuidade dos negócios e na

sobrevivência no mercado• Relacionamento entre a estratégia de negócios e a estratégia de informática:

fazendo previsões de mudança a curto e médio prazo.• Avaliação e aprovação pela alta gerência

Uma questão importante é também lidar com a política sobre documentação, pois deve haver padrões de qualidade, classificações para documentação quanto ao acesso e confidencialidade, como por exemplo, documentos secretos, confidenciais, uso interno, uso restrito, e deve ser estabelecido padrões para edição, formatação, apresentação visual, estrutura básica, e regras. Essas regras implicam na classificação, na aprovação e na alteração dos documentos existentes.

A inadequação das políticas de documentação pode comprometer a manutenção dos sistemas, a disponibilidade dos serviços de TI. Ao passo que uma documentação adequada em questões como estruturação e padronização auxilia na identificação das causas de erros, considerada tarefa complexa e demorada, evita-se a repetição de erros, praticas não autorizadas pelos desenvolvedores e Facilita a auditoria.

2.3. Gerência de Recursos Humanos

Os funcionários da própria instituição são os principais causadores de:

• Acesso não autorizado• Perda de dados• Pane nos sistemas• Erros• Omissões• Sabotagens• Extorsão• Invasões

Dentre os funcionários os principais protagonistas são funcionários mal intencionados, insatisfeitos ou ex-funcionários, por conta da disponibilidade e da liberdade, do Conhecimento, ocasionando espionagem por parte desses funcionários insatisfeitos. Ex-funcionários são aqueles que conhecem procedimentos de segurança, a forma de atuação da instituição, os hábitos e as vulnerabilidades do sistema. Para redução esses riscos são necessárias políticas, procedimentos e controles focados em RH.

A gerência de RH adota que as atividades de contratação sejam controladas por procedimentos de operação e supervisão e que devem ser documentados, esses procedimentos são:

Plano de contratação e de desenvolvimento de pessoal: Mantém a equipe preparada tecnicamente para atender aos objetivos do departamento.

Políticas adequadas de seleção: Compõe uma equipe confiável com nível técnico compatível com as atividades. E garante a qualidade do trabalho e redução dos riscos de erros.

Treinamento: Atualiza os conhecimentos e melhora o desempenho de funções atuais e futuras de acordo com o plano estratégico.

Avaliação de desempenho: É feita de acordo com as responsabilidades do cargo e dos padrões preestabelecidos.

Rodízio de cargos e férias: É um controle preventivo contra fraudes e/ou atividades não autorizadas.

Segregação de funções: Evita que todas as fase de um processo estejam no controle de um só funcionário.

Interrupção do contrato de trabalho: Define as medidas a serem tomadas no caso de término de contrato.

2.4. Gerência de Recursos Computacionais

Os recursos computacionais devem ser gerenciados de tal forma que atendam às necessidades e objetivos da organização levando em conta aspectos como economia, eficiência e eficácia. Esses controles são aquisição de equipamentos e Software, e a manutenção de Hardware e Software.

No controle de aquisição de Equipamentos e Software é necessário fazer uma análise de desempenho atual do sistema identificando a demanda reprimida de serviços de informática, fazendo o planejamento de capacidade do ambiente de informática e fazendo o plano estratégico de informática. Além de estabelecer padrões de contratação, regras estabelecidas em leis, como por exemplo, licitações. E comparar preços e requisitos técnicos selecionando os equipamentos baseado na economia, eficiência, eficácia, efetividade e qualidade do produto.

2.5. Outsourcing, e Contratação de Consultoria Externa

Uma instituição ao contratar serviços terceirizados apresenta motivos para tal, os principais motivos são:

Custos: quanto a implantação de um setor de informática. Restrições de fluxos de caixa. Mão-de-obra especializada: por conta da dificuldade que é encontrar mão-de-

obra especializada e que satisfaça as necessidades da instituição. Resolução de problemas: muitas vezes as terceirizadas já apresentam alguma

solução pronta para os problemas que afligem a organização. Rapidez no desenvolvimento de sistemas.

Porém adotar uma estratégia de terceirização para uma organização deve ser um decisão bem embasada e cuidadosamente tomada. Em geral empresas que optam pela terceirização não retornam da atividade terceirizada, e dessa maneira os contratos devem ser cuidadosamente elaborados, os custos devem ser bem avaliados e a empresa terceira deve seguir as políticas, padrões e procedimentos estabelecidos pela organização contratante.

Há conjunto de riscos envolvidos na contratação de serviços terceirizados, eles são:

Perda parcial de controle dos processos informatizados. Incompatibilidade de políticas e padrões. Dependência extrema do terceiro. Diminuição da experiência e habilidade dos técnicos próprios.

2.6. Riscos Inerentes ao Controle Organizacional Inadequado

Quando os controles organizacionais não aplicados adequadamente alguns riscos são inevitáveis como por exemplo:

Violação de segurança; Planejamento inadequado do crescimento computacional; Equipes insatisfeitas ou ressentida; Equipes ineficientes e pouco responsável; Perda de dados e informações; Políticas inadequadas de documentação; Perda de controle sobre dados e aplicações;

2.7. Lista de verificações

Estabelecer e divulgar um plano estratégico de informática compatível com as estratégias de negócios de instituição, o qual deve ser periodicamente traduzido em planos operacionais que estabeleçam metas claras de curto prazo.

Estabelecer, documentar e divulgar a todos os funcionários, as políticas de informática e os padrões a serem adotados na instituição.

Atender às obrigações legais e contratuais, em relação a aspectos administrativos e de segurança.

Definir as responsabilidades de cada unidade organizacional e seus cargos hierárquicos para que os serviços de informática possam ser prestados adequadamente.

Instituir políticas de contratação e treinamento de pessoal. Monitorar e avaliar o desempenho dos funcionários. Evitar a centralização excessiva de poderes e atividades. Instituir segregação de funções. Estabelecer procedimentos de controle na interrupção de contratos de

trabalho. Na contratação de serviços terceirizados, estabelecer critérios rígidos para

seleção, treinamento, controle de acesso a informações corporativas, controle de atividades e aceitação de produtos.

Estabelecer claramente em contrato os direitos e os deveres do prestador de serviços, os padrões de qualidade e de segurança a serem seguidos.

Definir uma política sobre documentação, estabelecendo padrões de qualidade e classificação quanto à confidencialidade.

Manter uma documentação atualizada dos sistemas, aplicativos e equipamentos utilizados.

Elaborar manuais de instrução para o desempenho das atividades no departamento de informática.

Elaborar plano de aquisição de equipamentos baseado na análise de desempenho dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos imprescindíveis para a continuidade dos negócios.

Obedecer aos prazos recomendados de manutenção preventiva dos equipamentos e aplicar nos pacotes de software.

Estabelecer acordos de nível de serviço quanto à disponibilidade dos recursos computacionais e seu desempenho em condições normais e emergenciais

3. Controles de Mudanças

Em um ambiente computacional o desenvolvido de sistemas implica em atualizações e modificações periódicas no aplicativos ou mesmo na infraestrutura de informática. Esse controle visa a minimização dos riscos nas mudanças, na questão das alterações, se essas são autorizadas, documentadas, testadas e implementadas de forma controlada. Por meio desse controle é definido os procedimentos padrão para os casos de mudanças não comprometendo da funcionalidade dos sistemas.

3.1. O que pode provocar uma mudança?

Uma série de fatores podem desencadear a necessidade de mudanças e assim por sua vez a necessidade de fazer o controle adequado nessas ocasiões, como por exemplo:

Atualização tecnológica do parque computacional Maior demanda por desempenho Manutenção periódica (troca de componentes de hardware, de versões software

e aplicações de correções) Identificação de problemas Insatisfação dos usuários (interface, navegação, tempo de resposta,

indisponibilidade, dados incorretos) Identificação de vulnerabilidades Operação ineficiente ou complicada Mudança dos objetivos de sistemas

3.2. Procedimentos de Controle de Mudança

Os procedimentos de controle de mudanças podem variar de uma organização para outra e ao mesmo tempo dependerem dos tipos de mudanças a serem feitas. Mudanças podem ser de três tipos:

Mudanças programadas: esse tipo ocorre de forma periódica por meio de solicitações de mudança feitas por um ou mais usuários. São registradas as solicitação, em seguida é feita a análise de factibilidade da mudança e dos possíveis impactos que podem vir a desencadear a partir daquela mudança. Nesse tipo de mudança a especificação da alteração é submetida à aprovação gerencial, para em seguida fazer teste em um ambiente controlado, efetuar as alterações no software existente ou no desenvolvido um novo sistema, verificar as modificações, analisar se estas seguem padrões de programação e documentação da organização, simular no ambiente de produção, fora do horário de funcionamento, modificar dos acertos em função dos resultados dos testes. Após esses passos e a devida documentação, o programa é implantado.

Mudanças de emergência: essas mudanças têm como características principais a urgência na sua execução, ou seja os problemas precisam ser sanados o mais rápido possível. Nesse tipo de mudança não são aguardados os procedimentos

normais. A necessidade de controle evita certas medidas como por exemplo a documentação. Após a resolução o processo de emergência é necessário ser retomado os procedimento normais para a mudança controlada complementando o que já fora feito.

Controle de versão: esse controle diz respeito a utilização da versão correta dos sistemas em operação na organização auditada. As consequências do uso indiscriminado de versões diferentes têm algumas implicações, como:

• Transações diferentes• Dados diferentes• Resultados diferentes

E essas implicações causam problemas mais sérios como a falta de confiabilidade e compatibilidade dos dados.

3.3. Riscos Associados a Controles de Mudança Inadequados

Quando os controle e procedimentos de mudança não são feitos corretamente os processos e atividades da entidade podem estar comprometidos. Alguns dos riscos envolvidos são:

• Usos de softwares ou hardwares não homologados ou autorizados: como consequência irá existir incompatibilidade de sistemas e dados.

• Processamentos e relatórios incorretos: fazendo com que decisões gerenciais de negócios sejam totalmente equivocadas, ocorra pagamentos errôneos ou registro incorreto de transações.

• Insatisfação dos usuários: causando perda de produtividade e entrada de dados incorretos.

• Dificuldades de manutenção: por falta de documentação adequada.• Mudanças acidentais ou deliberadas, sem autorização.• Mudanças de emergência fora de controle: causando a perda de dados e

corrupção de arquivos.

3.4. Lista de verificações

Documentar todas as modificações e implementá-las apenas sob aprovação pela gerência

Avaliar o impacto das mudanças antes de implementá-las e o efeito da sua não implementação

Definir os recursos necessários para implementar a alteração e os recursos futuros necessários para sua implementação

Testar exaustivamente os programas antes de colocá-los em produção Preparar um plano de restauração da situação anterior, caso algo dê errado na

implantação da mudança Estabelecer procedimentos para alterações de emergência Após os testes e a aprovação, impedir qualquer nova alteração. Se esta for

necessária, deve ser submetida a novos testes e aprovação Planejar a mudança de forma a minimizar o impacto no processamento

anormal dos sistemas e serviços prestados aos usuários

Comunicar com antecedência aos usuários sobre a programação de mudanças que possam alterar o processamento normal dos sistemas por eles utilizados

Manter e analisar periodicamente log das atividades de mudanças Manter o controle das versões dos software utilizados

4. Controles de Operações de Sistemas

Os controles de operação de sistemas abrangem tanto questões de infraestrutura de hardware, como software, além de liberar os usuários de atividades repetitivas e das responsabilidades de garantir a disponibilidade dos sistemas. Para os controles de operação de sistemas existem procedimentos gerais, relacionados ao ambiente operacional, e específicos, para os processos de cada aplicativo.

4.1. Mudanças de Op. de Sist. em Função de Novas Tecnologias

Com as transformações tecnológicas ocorrendo no decorrer dos anos mudanças na operação dos sistemas acompanham essa evolução destacando-se principalmente nas áreas de processamento e controle remoto. Principalmente por causa do aparecimento dos softwares de automação no setor de operação de sistemas na forma de ferramentas de análise de mensagens, auxiliando na produção de relatórios sintéticos, e na ativação de rotinas baseadas em condições ou no tempo de execução.

Por conta dessa automatização riscos como erros e fraudes diminuem drasticamente e os operadores de sistemas atuais somente na checagem das ativações corretas de serviços e aplicações. Principalmente com o aparecimento de sistemas de processamento distribuído que descentralizaram algumas das operações que anteriormente traziam riscos, como por exemplo, os operadores eram capazes de:

Burlar controles de acesso, Adulterar sequencia de processamento de programas Inserir dados incorretos

4.2. Funções Tradicionais de Op. de Sist.

Os controles das operações de sistemas estabelecem as atividades que esses profissionais podem exercer, como por exemplo:

Operação de equipamentos. Mudança e instalação de computadores e periféricos. Monitoramento dos sistemas. Reposta a mensagens dos serviços. Operação de rede e telecomunicação.

Contudo a eles não é permitido introduzir dados ou alterar programas e arquivos. Sendo esse um controle no sentido de evitar que dados importantes possam ser alterados e negligenciados pelos operadores. Uma forma alternativa é no caso manter todas as operações registradas em logs. Como analisar uma quantidade significativa de logs é bastante oneroso é possível aplicar ferramentas de relatórios sintéticos para identificar atividades inadequadas ou não autorizadas.

Em antigos sistemas os operadores eram encarregados de introduzir na ordem correta Jobs como parâmetros para o escalonamento de tarefas com o surgimento dos métodos automáticos essa operação deixou de ser responsabilidade dos operadores, além da implementação de controles de acesso por senha para prevenir acesses ou alterações inadequadas ou não autorizadas.

Baseado nesse fator de automação no escalonamento de serviços os operadores realizam a gerência de desempenho dos sistemas por meio da análise sobre arquivos e jobs processados, fazendo assim a supervisão do desempenho e tempo de resposta do ambiente de informática. E o monitoramento o desempenho atual além de realizar pequenas modificações capazes de melhorar o desempenho atual.

Essa característica está ligada ao planejamento da capacidade dos sistemas, o que leva em conta o desempenho atual e a demanda reprimida para elaborar estimativas de uso futuro. Os operadores garantem que os sistemas computacionais continuem a apresentar um nível satisfatório de desempenho e atendam às novas demandas dos usuários.

Os operadores também realizam tarefas como atender ao usuário e fazer a gerência de problemas, na gerência de backups dos meios de armazenamento, backup e recuperação, no controle de acesso, manutenção, acesso remoto, e gerência de redes. A gerência de problemas funciona como uma Interface entre os usuários e o departamento de informática, fazendo parte de sua responsabilidade o encaminhamento, registro e resolução de problemas. Os atendentes devem ser capacitados para solução de problemas mais simples e também devem fazer o encaminhamento de problemas mais complexos para os desenvolvedores caso não sejam capazes de solucionar. Do ponto de vista de controle o operador verifica os problemas com o sistema e com o ambiente de informática. O auditor deve verificar a adequação dos serviços e analisar os relatórios em busca de indícios de irregularidades e erros de processamento.

A gerência de backups feita pelos analisam meios de armazenamento e verificam se os registros são confiáveis e se os arquivos estão fisicamente seguros. Além de verificar a adequação do transporte, backup e inutilização do conteúdo. No caso de backup e recuperação eles se responsabilizam no caso de eventualidades por executar essas tarefas.

O controle de acesso é o que Identifica os acessos privilegiados e considera se esse acesso é justificado e limitado apenas àqueles que realmente necessitam, necessitando de registro em logs para aplicação em auditorias posteriores. A atividade de manutenção preventiva e periódica auxilia na redução de riscos de falhas inesperadas além da estimação da qualidade do serviço prestado na realização de exames de contratos de manutenção, cronogramas e relatórios com relação a falhas de hardwares.

O acesso remoto é uma atividade feita pelos operadores para manutenção de hardware e software, contudo essa estratégia possui algumas inconveniências como acessos indesejados e fragilidade na segurança. Com o auxílio de controles de acesso lógicos, como senhas, perfis de acesso e outros artifícios são possíveis contornar esses possíveis riscos e conseguir alcançar melhoramento significativo à continuidade de serviços.

A gerência de redes Garante o funcionamento normal da rede e dos serviços de telecomunicação fornecendo acesso à rede de acordo com o nível de serviço previamente estabelecido.

4.3. Acordos de Nível de Serviço

Acordos de nível de Serviço são contratos estabelecidos internamente que descrevem os serviços a serem prestados, horário de funcionamento, disponibilidade do serviço, medidas de desempenho e de segurança.Os níveis de serviço são definidos em termos de quantidade, de qualidade e de disponibilidade dos sistemas. O auditor deve se verificar se o nível de serviço estão de acordo com previsto para manter o funcionamento adequado e se os usuários estão satisfeitos com os serviços prestados.

4.4. Documentação dos procedimentos de Op.

As operações corretas exigem que a documentação de seus procedimentos sejam claras e simples contendo informações de procedimento de inicialização, manipulação dos arquivos de dados, escalonamento dos serviços, tratamentos de erros e backup e recuperação de sistemas.

4.5. Política de Contratação e Treinamento de Operadores

Além de seguir os critérios apresentados nos controles organizacionais a equipe de operações deve ter habilidades, experiência e treinamento suficiente para executar o trabalho. O auditor determina se as necessidades de treinamento do pessoal de operações foram avaliadas e se estão sendo cumpridas. Além outros cuidados como desenvolvimento profissional e rodízio de funções.

4.6. Riscos Inerentes a Controles de Operação Inadequados

Entre os riscos inerentes a falhas no controle de operações estão:

Perda de dados e Corrupção de arquivos e aplicativos: por causa do uso incorreto ou não autorizado de utilitários do sistema.

Funcionamento incorreto de aplicativos: o que gera informações errôneas. Sobrecarga do sistema: impossibilitando a execução de novas transações ou

serviços. Insatisfação dos usuários: por falta de auxílio adequado no atendimento ao

usuário. Falta de backup ou backups inúteis: causndo riscos de indisponibilidade dos

sistemas por um longo período.

4.7. Lista de verificações

Distribuir adequadamente a carga de trabalho entre os operadores, levando em consideração os períodos de pico e a natureza de cada atividades de operação.

Supervisionar as atividades de operações dos sistemas. Analisar o desempenho dos sistemas, visando o planejamento de capacidade

mais adequado às necessidades dos usuários. Implementar uma gerência de problemas, de forma que os problemas

reportados pelos usuários r identificados pela equipe de informática possam ser registrados, analisados e corrigidos adequadamente.

Instituir uma equipe de help-desk para auxiliar os usuários na utilização dos recursos computacionais e registrar os problemas por eles identificados.

Manter um histórico dos problemas ocorridos e suas respectivas soluções, com o objetivo de facilitar a resolução de problemas por eles identificados.

Estabelecer procedimentos de controle de acesso a arquivos e programas em dispositivos de armazenamento de dados (discos, fitas e cartuchos), terminais e estações de trabalho.

Estabelecer uma rotina de backup e recuperação dos sistemas, aplicativos e dados.

Produzir e manter atualizados manuais de operação de sistemas, aplicativos e equipamentos.

Estabelecer mecanismos pra minimizar os impactos provocados por falhas de hardware e software.

Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais como controles organizacionais, segurança das informações, controles de acesso, planejamento de contingências e continuidade de serviços, etc.

5. Fontes de Consulta, Treinamento em Auditoria e Segurança, e Fonte de Consulta

• Tribunal de Contas da União – TCU - http://www.tcu.gov.br / • NAO – National Audit Office - http://www.nao.org.uk / • IIA – Institute of Internal Auditors - http://www.theiia.org

• CSI – Computer Security Institute – http://www.gocsi.com• IIA – Institute of Internal Auditors – http:// www.theiia.org • Information Security – http:// www.isse.gmu.edu/~gmuisi • INFOSEC – Info Security - http://www.infosec.co.uk / • ISACA - https:// www.isaca.org/modelc1.htm • MIS Training Institute - http://www.misti.com/

• DOUGLAS, Ian, “Computer Audit and Control Handbook”. Butterworth-Heinemann 1995.

• MOELLER, Robert, “IT Audit, Control, and Security”. John Wiley & Sons, 1989.

• Tribunal de Contas da União, “Manual de Auditoria”, 1996.