auditoria de sistemas informatizados - geolan.com.br · Diretor: Ailton Nazareno Soares Diretora...

Universidade do Sul de Santa Catarina

Palhoça

UnisulVirtual

2007

Auditoria de Sistemas Informatizados

Disciplina na modalidade a distância

auditoria_de_sistemas_informatiz1 1auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:0022/12/2006 12:17:00

Apresentação

Parabéns, você está recebendo o livro didático da disciplina Auditoria de Sistemas Informatizados.

O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto, a construção de competências se dá sobre a articulação de metodologias e por meio das diversas formas de ação/mediação.

São elementos desse processo:

O livro didático;

O EVA (Espaço UnisulVirtual de Aprendizagem);

Atividades de avaliação (complementares, a distância e presenciais).

Os materiais didáticos foram construídos especialmente para este curso, levando em consideração o seu perfi l e as necessidades da sua formação. Como os materiais estarão, a cada nova versão, recebendo melhorias, pedimos que você encaminhe suas sugestões, sempre que achar oportuno, via professor tutor ou monitor.

Recomendamos que antes de você começar os seus estudos, verifi que as datas-chave e elabore o seu plano de estudo pessoal, garantindo assim a boa produtividade no curso. Lembre-se: você não está só nos seus estudos. Conte com o Sistema Tutorial da UnisulVirtual sempre que precisar de ajuda ou alguma orientação.

Desejamos que você tenha êxito neste curso!

Equipe UnisulVirtual


Abílio Bueno Neto

Davi Solonca

Palhoça

UnisulVirtual

2007

Design instrucional

Dênia Falcão de Bittencourt

Viviane Bastos

3ª edição


Livro didático


Copyright © UnisulVirtual 2006

Nenhuma parte desta publicação pode ser reproduzida por qualquer meio sem a prévia autorização desta instituição.

Ficha catalográfi ca elaborada pela Biblioteca Universitária da Unisul

005.8B94 Bueno Neto, Abílio

Auditoria de sistemas informatizados : livro didático / Abílio Bueno Neto, Davi Solonca ; design instrucional Dênia Falcão de Bittencourt, Viviane Bastos. – 3. ed. rev. e atual. Palhoça : UnisulVirtual, 2007.

190 p. : il. ; 28 cm.

Inclui bibliografi a.

1. Sistemas de segurança. 2. Computadores – Medidas de segurança. I. Solonca, Davi. II. Bittencourt, Dênia Falcão de. III. Bastos, Viviane. IV. Título.

CréditosUnisul - Universidade do Sul de Santa CatarinaUnisulVirtual - Educação Superior a Distância

Campus UnisulVirtualRua João Pereira dos Santos, 303Palhoça - SC - 88130-475Fone/fax: (48) 3279-1541 e3279-1542E-mail: [email protected]: www.virtual.unisul.br

Reitor UnisulGerson Luiz Joner da Silveira

Vice-Reitor e Pró-Reitor AcadêmicoSebastião Salésio Heerdt

Chefe de gabinete da ReitoriaFabian Martins de Castro

Pró-Reitor AdministrativoMarcus Vinícius Anátoles da Silva Ferreira

Campus SulDiretor: Valter Alves Schmitz NetoDiretora adjunta: Alexandra Orsoni

Campus NorteDiretor: Ailton Nazareno SoaresDiretora adjunta: Cibele Schuelter

Campus UnisulVirtualDiretor: João VianneyDiretora adjunta: Jucimara Roesler

Equipe UnisulVirtual

AdministraçãoRenato André LuzValmir Venício Inácio

BibliotecáriaSoraya Arruda Waltrick

Cerimonial de FormaturaJackson Schuelter Wiggers

Coordenação dos CursosAdriano Sérgio da CunhaAna Luisa MülbertAna Paula Reusing PachecoCátia Melissa S. Rodrigues (Auxiliar)Charles CesconettoDiva Marília FlemmingItamar Pedro BevilaquaJanete Elza Felisbino Jucimara RoeslerLilian Cristina Pettres (Auxiliar)Lauro José BallockLuiz Guilherme Buchmann FigueiredoLuiz Otávio Botelho LentoMarcelo CavalcantiMauri Luiz HeerdtMauro Faccioni FilhoMichelle Denise Durieux Lopes DestriMoacir HeerdtNélio HerzmannOnei Tadeu DutraPatrícia AlbertonPatrícia PozzaRaulino Jacó BrüningRose Clér E. Beche

Design Gráfi coCristiano Neri Gonçalves Ribeiro (coordenador) Adriana Ferreira dos SantosAlex Sandro XavierEvandro Guedes MachadoFernando Roberto Dias ZimmermannHigor Ghisi LucianoPedro Paulo Alves TeixeiraRafael PessiVilson Martins Filho

Equipe Didático-PedagógicaAngelita Marçal FloresCarmen Maria Cipriani PandiniCaroline BatistaCarolina Hoeller da Silva BoeingCristina Klipp de OliveiraDaniela Erani Monteiro Will

Dênia Falcão de BittencourtEnzo de Oliveira MoreiraFlávia Lumi MatuzawaKarla Leonora Dahse NunesLeandro Kingeski PachecoLigia Maria Soufen TumoloMárcia LochPatrícia MeneghelSilvana Denise GuimarãesTade-Ane de AmorimVanessa de Andrade ManuelVanessa Francine CorrêaViviane BastosViviani Poyer

Logística de Encontros PresenciaisMarcia Luz de Oliveira (Coordenadora) Aracelli AraldiGraciele Marinês LindenmayrGuilherme M. B. PereiraJosé Carlos TeixeiraLetícia Cristina BarbosaKênia Alexandra Costa HermannPriscila Santos Alves

Logística de MateriaisJeferson Cassiano Almeida da Costa (coordenador)Eduardo Kraus

Monitoria e SuporteRafael da Cunha Lara (coordenador)Adriana SilveiraCaroline MendonçaDyego RachadelEdison Rodrigo ValimFrancielle ArrudaGabriela Malinverni BarbieriJosiane Conceição LealMaria Eugênia Ferreira CeleghinRachel Lopes C. PintoSimone Andréa de CastilhoTatiane SilvaVinícius Maycot Serafi m

Produção Industrial e SuporteArthur Emmanuel F. Silveira (coordenador)Francisco Asp

Projetos CorporativosDiane Dal MagoVanderlei Brasil

Secretaria de Ensino a DistânciaKarine Augusta Zanoni(secretária de ensino)Ana Luísa Mittelztatt Ana Paula Pereira Djeime Sammer Bortolotti Carla Cristina SbardellaFranciele da Silva BruchadoGrasiela MartinsJames Marcel Silva RibeiroLamuniê SouzaLiana Pamplona Marcelo PereiraMarcos Alcides Medeiros JuniorMaria Isabel AragonOlavo LajúsPriscilla Geovana PaganiSilvana Henrique SilvaVilmar Isaurino Vidal

Secretária ExecutivaViviane Schalata Martins

TecnologiaOsmar de Oliveira Braz Júnior(coordenador)Ricardo Alexandre BianchiniRodrigo de Barcelos Martins

Edição – Livro Didático

Professores ConteudistasAbílio Bueno NetoDavi Solonca

Design InstrucionalDênia Falcão de BittencourtViviane Bastos

Projeto Gráfi co e CapaEquipe UnisulVirtual

DiagramaçãoVilson Martins FilhoEvandro Guedes Machado(3º edição)

Revisão Ortográfi caRevisare


Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

UNIDADE 1 – Introdução à auditoria de sistemas informatizados . . . . . 15UNIDADE 2 – Organização da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53UNIDADE 3 – Política de segurança de informações . . . . . . . . . . . . . . . . . . 81UNIDADE 4 – Plano de contingência e de continuidade de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111UNIDADE 5 – Auditoria de sistemas informação . . . . . . . . . . . . . . . . . . . . 141

Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Respostas e comentários das atividades de auto-avaliação . . . . . . . . . . . . 187

Sumário


Palavras dos professores

A profi ssão de auditor já existe há um bom tempo, mas com o passar dos tempos muitas mudanças ocorreram no mundo dos negócios, fazendo com que a profi ssão de auditor também sofresse algumas alterações. O auditor de sistemas informatizados é uma pessoa que acima de tudo deve estar atenta às novidades de mercado, pois todos os dias são descobertas novas formas de se invadir os computadores e redes.

São vários os desafi os que devem ser ultrapassados por um auditor, pois com os constantes avanços tecnológicos, auditar sistemas torna-se cada dia mais difícil.

Um dos objetivos deste livro é minimizar de alguma forma, parte da carência de informação nesta área, que é nova, mas desde seu início muito promissora.

Um dos desafi os de se escrever sobre este assunto é que os livros que tratam de segurança de informações são muito técnicos, o que pode difi cultar o aprendizado. De outra parte, os livros que tratam sobre auditoria deixam, muito a desejar no que diz respeito a atualizações tecnologicas. Este desafi o foi o principal motivador para se escrever a respeito deste assunto.

Esperamos que este trabalho sirva de fonte de consulta para auditores iniciantes, para analistas de sistemas de informação que passaram a ser auditores e para executivos que pretendem formar a sua equipe de auditores.

Seja bem-vindo à disciplina Auditoria de Sistemas Informatizados.


Plano de estudo

O plano de estudo tem por objetivo orientar você no desenvolvimento da disciplina. Ele possui elementos que o ajudarão a conhecer o seu contexto e a organizar o seu tempo de estudo.

Ementa da disciplina

Fundamentos. Responsabilidades legais. Classifi cação de serviços. Procedimentos genéricos e específi cos para exames e seus respectivos relatórios e certifi cados. Aspectos de auditoria de controle geral, segurança, aplicações, desempenho, fraude, uso do sistema e equipamentos. Pontos de controle e trilhas de auditoria. Controle pré-operacional, operacional, de processamento e documental. Relatório de auditoria de sistemas. Auditoria computadorizada: validação de valores, programas específi cos de auditoria, verifi cação lógica dos programas, monitoria on-line do sistema.

Créditos: 4

Objetivo(s)

Geral

Desenvolver habilidades para realização de auditoria de sistemas nos diversos campos de atuação.

Específi cos

Estudar os conceitos que envolvem a auditoria.

Conhecer a organização de um trabalho de auditoria.


12

Conhecer os diversos componentes de uma política de segurança.

Identifi car a necessidade e as características de um plano de continuidade de negócios.

Identifi car os passos necessários de um trabalho de auditoria de sistemas de informação.

Agenda de atividades

Verifi que com atenção o cronograma no “EVA” e organize-se para acessar periodicamente o espaço das disciplinas cursadas. Lembre-se que o sucesso nos seus estudos depende da priorização do tempo para a leitura, da realização de análises e sínteses do conteúdo e da interação com os seus colegas e professor tutor.

Antes de iniciar a realização das atividades de avaliação, leia com atenção os critérios de avaliação apresentados pelo professor tutor no plano de ensino da disciplina no “EVA”.

Não perca os prazos das atividades. Registre no espaço, a seguir, as datas-chave com base no cronograma disponibilizado no EVA.


13

Atividades

Avaliação a distância 1 (AD 1)

Avaliação presencial (AP)

Avaliação fi nal (AF)

Demais atividades (registro pessoal)

Habitue-se a usar o quadro para agendar e programar as atividades relativas ao desenvolvimento da disciplina.


14


UNIDADE 1

Introdução à auditoria de sistemas informatizados

Objetivos de aprendizagem

Ao fi nal desta unidade, você terá subsídios para:

contextualizar a evolução dos sistemas computacionais e da necessidade da segurança da informação.

entender o conceito de auditoria e, mais especifi camente, da auditoria de sistemas informatizados. compreender a importância da auditoria de sistemas informatizados.

conhecer os desafi os éticos e sociais da tecnologia da informação.

Seções de estudo

Apresentamos, a seguir, as seções para você estudar.

Seção 1 Evolução dos sistemas computacionais e de segurança da informação

Seção 2 Quais são os conceitos básicos da auditoria?

Seção 3 Qual é o tipo da auditoria objeto deste estudo?

Seção 4 Por que auditar?

Seção 5 Quais são os desafi os éticos da auditoria de sistemas informatizados?

Após a leitura dos conteúdos, realize as atividades de auto-avaliação propostas no fi nal da unidade e no EVA.

1


16


Para início de estudo

Para você que está prestes a iniciar os estudos na área de auditoria, algumas considerações são necessárias.

Esta unidade pretende conceituar a auditoria de sistemas informatizados. Para que o seu conceito e importância fi quem claros, na primeira seção será abordada a evolução dos sistemas de informação.

Nas terceira e quarta seções são enfocados os desafi os éticos que permeiam a tecnologia de informação e a importância da auditoria nos sistemas informatizados.

Bom estudo!

Seção 1 – Evolução dos sistemas computacionais e dos de segurança da informação

Nem sempre o bem mais precioso de uma empresa se encontra no fi nal da sua linha de produção, na forma de um produto acabado ou de algum serviço prestado Ele pode estar nas informações relacionadas a este produto ou serviço.

A crescente utilização de soluções informatizadas nas diversas áreas de serviços exige níveis de segurança adequados e maior exposição dos valores e informações. A evolução da tecnologia de informação, migrando de um ambiente centralizado para um ambiente distribuído, interligando redes internas e externas, somada à revolução da Internet, mudou a forma de se fazer negócios. Isto fez com que as empresas se preocupassem mais com o controle de acesso às suas informações bem como a proteção dos ataques, tanto internos quanto externos.

Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança já fi cou um pouco


17


Unidade 1

mais sofi sticada, englobando controles lógicos, porém ainda centralizados. (CRONIN, 1996)

Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua implementação e gerência.

Paralelamente, os sistemas de informação também adquiriram uma importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável.

A esta constatação, você pode adicionar o fato de que hoje em dia não existem mais empresas que não dependam da tecnologia da informação, num maior ou menor grau. Pelo fato de que esta mesma tecnologia permitiu o armazenamento de grande quantidade de informações em um local restrito e centralizado, criou-se aí uma grande oportunidade ao acesso não autorizado.

A segurança da informação tornou-se estratégica, pois interfere na capacidade das organizações de realizarem negócios e no valor de seus produtos no mercado.

Em tempos de economia nervosa e racionalização de investimentos, a utilização de recursos deve estar focada naquilo que mais agrega ao valor do negócio.

Visando minimizar as ameaças, a ISO (International Standardization Organization) e a ABNT (Associação Brasileira de Normas Técnicas), em sintonia com a ISO, publicaram uma norma internacional para garantir a segurança das informações nas empresas, a ISO 17799:1. As normas ISO e ABNT são resultantes de um esforço internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança efi ciente e universal.


18


Quais são as ameaças?

Este modelo tem como característica principal tentar preservar a disponibilidade, a integridade e o caráter confi dencial da informação.

O comprometimento do sistema de informações, por problemas de segurança, pode causar grandes prejuízos à organização. Diversos tipos de incidentes podem ocorrer a qualquer momento, podendo atingir a informação confi dencial, a integridade e disponibilidade.

Problemas de quebra de confi dência, por vazamento ou roubo de informações sigilosas, podem expor para o mercado ou concorrência as estratégias ou tecnologias da organização, eliminando um diferencial competitivo, comprometendo a sua efi cácia, podendo perder mercado e até mesmo ir à falência.

Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois deixar uma organização sem matéria-prima ou sem suprimentos importantes ou mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem perante os clientes, gerando problemas com custos e levando a margem de lucro a fi car bem comprometida.

Problemas de integridade, causados por invasão ou fatores técnicos em dados sensíveis, sem uma imediata percepção, irão impactar sobre as tomadas de decisões. Decisões erradas fatalmente reduzirão o faturamento ou aumentarão os custos, afetando novamente a margem de lucros.

A invasão da página de Internet de uma empresa, com modifi cação de conteúdo, ou até mesmo a indisponibilidade de serviços on-line, revela a negligência com a segurança da informação e causa perdas fi nanceiras a quem sofreu algum tipo de ataque.


19


Unidade 1

Contudo, você pode inferir que elementos fundamentais para a sobrevivência das empresas estão relacionados com segurança da informação, a qual contribui muito para a sua lucratividade e sobrevivência, ou seja, agrega valor ao negócio e garante o retorno do investimento feito.

Agora que você pode entender a importância para uma organização de tomar medidas para salvaguardar suas informações, acompanhe, na próxima seção, conceitos básicos para quem começa a estudar auditoria.

Seção 2 – Quais são os conceitos básicos da auditoria?

Alguns conceitos básicos relacionados com a auditoria são: campo, âmbito e área de verifi cação.

O campo compõe-se de aspectos como: objeto, período e natureza da auditoria.

O objeto é defi nido como o “alvo” da auditoria, pode ser uma entidade completa (corporações públicas ou privadas, por exemplo).

Período a ser fi scalizado pode ser um mês, um ano ou, em alguns casos, poderá corresponder ao período de gestão do administrador da instituição.

A natureza da auditoria poderá ser operacional, fi nanceira ou de legalidade, por exemplo. Na seqüência, você estudará com mais detalhes a natureza (ou tipo) da auditoria.

O âmbito da auditoria pode ser defi nido como a amplitude e exaustão dos processos de auditoria, ou seja, defi ne o limite de aprofundamento dos trabalhos e o seu grau de abrangência.

A área de verifi cação pode ser conceituada como sendo o conjunto formado pelo campo e âmbito da auditoria.


20


A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o objetivo de verifi car sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.

Os procedimentos de auditoria formam um conjunto de verifi cações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor.

Controle é a fi scalização exercida sobre as atividades de pessoas, órgãos, departamentos ou sobre produtos, para que estes não se desviem das normas ou objetivos previamente estabelecidos. Existem três tipos de controles.

Preventivos usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algum sistema informatizado, por exemplo)

Detectivos usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos de tentativas de acesso a um determinado recurso informatizado)

Corretivos usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos de contingência, por exemplo)

Um dos objetivos desses controles é, primeiramente, a manutenção do investimento feito pela corporação em sistemas informatizados, tendo em vista que os sistemas de informação interconectados de hoje desempenham um papel vital no sucesso empresarial de um empreendimento.

A internet e as redes internas similares, ou intranets, e as redes interorganizacionais externas, as chamadas extranets, podem fornecer a infra-estrutura de informação que uma empresa necessita para operações efi cientes, administração efi caz e vantagem competitiva. Entretanto, os sistemas de informação também precisam apoiar as estratégias de negócios, os processos empresariais e as estruturas organizacionais e culturais de

um empreendimento.


21


Unidade 1

Esses controles também têm como objetivo evitar que algum sinistro venha a ocorrer; não conseguindo evitar, tentar fazer com que o impacto seja pequeno e, se mesmo assim, o impacto for grande, ter em mãos processos que auxiliem a reconstrução do ambiente.

O que precisa ser controlado?

Em geral, é um check-list que contempla os itens a serem verifi cados durante a auditoria. A concepção desses procedimentos antes do início dos processos de auditoria é de suma importância porque garantirá um aumento da produtividade e da qualidade do trabalho. Como exemplo, pode-se citar que, para o bom andamento de uma partida de futebol, não é aconselhável mudar as regras do jogo enquanto o mesmo estiver acontecendo; faz-se isto antes de começar a partida.

Os chamados “achados” de auditoria são fatos importantes observados pelo auditor durante a execução dos trabalhos.

Apesar de que geralmente são associados a falhas ou vulnerabilidades, os “achados” podem indicar pontos fortes da corporação auditada. Para que eles façam parte do relatório fi nal de auditoria, os mesmos devem ser relevantes e baseados em fatos e evidências incontestáveis.

Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor.

Esses registros podem estar em forma de documentos, tabelas, listas de verifi cações, planilhas, arquivos, entre outros. Estes documentos são a base para o relatório de auditoria, pois contêm registro da metodologia utilizada, procedimentos, fontes de informação, enfi m, todas as informações relacionadas ao trabalho de auditoria.


22


Já na fase da concepção do relatório, são feitas as recomendações de auditoria.

Elas são medidas corretivas possíveis, sugeridas pela instituição fi scalizadora ou pelo auditor em seu relatório, para corrigir as defi ciências detectadas durante o trabalho de verifi cação de vulnerabilidades ou defi ciências. Dependendo da competência ou posição hierárquica do órgão fi scalizador, essas recomendações podem se transformar em determinações a serem cumpridas. (DIAS, 2000)

Seção 3 – Qual é o tipo de auditoria objeto deste estudo?

Vários autores fazem uma classifi cação ou denominação formal sobre a natureza ou sobre os diversos tipos de auditorias existentes. Os tipos mais comuns são classifi cados quanto: à forma de abordagem, ao órgão fi scalizador e à área envolvida. Acompanhe, a seguir, quais são elas:

Tabela 1 – Classifi cação dos tipos de auditoria

Classifi cação Tipos de auditoria Descrição

Quanto à forma de abordagem:

Auditoria horizontal auditoria com tema específi co, realizada em várias entidades ou serviços paralelamente.

Auditoria orientada focaliza uma atividade específi ca qualquer ou atividades com fortes indícios de fraudes ou erros.

Quanto ao órgão fi scalizador:

Auditoria interna

auditoria realizada por um departamento interno, responsável pela verifi cação e avaliação dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas inefi cientes ou inefi cazes. Este serviço deve ser independente e prestar contas diretamente à classe executiva da corporação.

Auditoria externa

auditoria realizada por uma empresa externa e independente da entidade que está sendo fi scalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação fi nanceira, a legalidade e regularidade de suas operações.

Auditoria articulada

trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fi scalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados.


23


Unidade 1

Quanto à área envolvida

Auditoria de programas de governo

Acompanhamento, exame e avaliação da execução de programas e projetos governamentais.Auditoria do planejamento estratégico – verifi ca se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas.

Auditoria administrativa engloba o plano da organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão.

Auditoria contábil

é relativa à fi dedignidade das contas da instituição. Esta auditoria, consequentemente, tem como fi nalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações.

Auditoria fi nanceira

conhecida também como auditoria das contas. Consiste na análise das contas, da situação fi nanceira, da legalidade e regularidade das operações e aspectos contábeis, fi nanceiros, orçamentários e patrimoniais, verifi cando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas.Auditoria de legalidade – conhecida como auditoria de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verifi cando se estão em conformidade com a legislação em vigor.

Auditoria operacional

incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, efi ciência e efi cácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.

Auditoria de sistemas informatizados

tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fi scalizada, identifi cando seus pontos fortes e defi ciências.

Destas auditorias, qual delas é o seu objeto de estudo?

É a auditoria de sistemas informatizados. E como já foi conceituada, a auditoria de sistemas informatizados é um tipo de auditoria operacional, ou seja, analisa a gestão de recursos, focalizando os aspectos de efi ciência, efi cácia, economia e efetividade.


24


Dependendo da área de verifi cação escolhida, este tipo de auditoria pode abranger:

todo o ambiente de informática ou

a organização do departamento de informática. Além disso, pode ainda contemplar:

os controles sobre banco de dados, redes de comunicação e de computadores e

controles sobre os aplicativos.

Deste modo, sob o ponto de vista dos tipos de controles citados, a auditoria pode ser separada em duas grandes áreas:

Auditoria de segurança de informações - este tipo de auditoria em ambientes informatizados determina a postura ou situação da corporação em relação à segurança. Avalia a política de segurança e os controles relacionados com aspectos de segurança, enfi m, controles que infl uenciam o bom funcionamento dos sistemas de toda a organização. São estes:

Avaliação da política de segurança.

Controles de acesso lógico.

Controles de acesso físico.

Controles ambientais.

Plano de contingência e continuidade de serviços.

Controles organizacionais.

Controles de mudanças.

De operação dos sistemas.

Controles sobre o banco de dados.

Controles sobre computadores.

Controles sobre ambiente cliente-servidor.


25


Unidade 1

Auditoria de aplicativos - este tipo de auditoria está voltado para a segurança e o controle de aplicativos específi cos, incluindo aspectos que fazem parte da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende:

Controles sobre o desenvolvimento de sistemas aplicativos.

Controles de entrada, processamento e saída de dados.

Controles sobre o conteúdo e funcionamento do aplicativo com relação à área por ele atendida.

Esses tipos de auditoria são comumente usados para se alcançarem altos padrões de qualidade no desenvolvimento de softwares: o mais famoso desses modelos é o CMM. (DIAS, 2000)

Uma vez compreendida a abrangência e o escopo da auditoria dos sistemas informatizados, compreenda, na seção seguinte, por que auditar.

Seção 4 – Por que auditar?

Um ditado popular diz que nenhuma corrente é mais forte que seu elo mais fraco; da mesma forma, nenhuma parede é mais forte que a sua porta ou janela mais fraca, de modo que você precisa colocar as trancas mais resistentes possíveis nas portas e janelas. De forma similar é o que acontece quando você implementa segurança em um ambiente de informações. Na realidade, o que se procura fazer é eliminar o máximo possível de pontos fracos ou garantir o máximo de segurança possível para os mesmos.

Acima de tudo, o bem mais valioso de uma empresa pode não ser o produzido pela sua linha de produção ou o serviço prestado, mas as informações relacionadas com este bem de consumo ou serviço. Ao longo da história, o ser humano sempre buscou o controle das


26


informações que lhe eram importantes de alguma forma; isto é verdadeiro mesmo na mais remota antiguidade. O que mudou desde então foram as formas de registros e armazenamento das informações; se na pré- história e até mesmo nos primeiros milênios da idade antiga o principal meio de armazenamento e registro de informações era a memória humana, com o advento dos primeiros alfabetos isto começou a mudar. Mas foi somente nos últimos dois séculos que as informações passaram a ter importância crucial para as organizações humanas.

Atualmente, não há organização humana que não seja altamente dependente da tecnologia de informações, em maior ou menor grau. E o grau de dependência agravou-se muito em função da tecnologia de informática, que permitiu acumular grandes quantidades de informações em espaços restritos. O meio de registro é, ao mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgação.

Esta característica traz conseqüências graves para as organizações, por facilitar os ataques de pessoas não-autorizadas.

Por exemplo, um banco não trabalha exatamente com dinheiro, mas com informações fi nanceiras relacionadas com valores seus e de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de determinação legal ou por se tratarem de informações de natureza pessoal, que controlam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a público.

Independente do setor da economia em que a empresa atue, as informações estão relacionadas com seu processo de produção e de negócios, políticas estratégicas, de marketing, cadastro de clientes, etc. Não importa o meio físico em que as informações estão armazenadas, elas são de valor inestimável não só para a empresa que as gerou, como também para seus concorrentes. Em último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes elas estão relacionadas com atividades diárias da empresa que, sem elas, poderia ter difi culdades.


27


Unidade 1

Tradicionalmente, as empresas dedicam grande atenção de seus ativos físicos e fi nanceiros, mas pouca ou até mesmo nenhuma atenção aos ativos de informação que possuem; esta proteção tradicional pode nem mesmo visar um bem valioso. Da mesma forma que seus ativos tangíveis, as informações envolvem três fatores de produção tradicionais: capital, mão-de-obra e processos. Assim, ainda que as informações não sejam passíveis do mesmo tratamento fi sco-contábil que os outros ativos, do ponto de vista do negócio, elas são um ativo da empresa e, portanto, devem ser protegidas. Isto vale tanto para as informações como para seus meios de suporte, ou seja, para todo o ambiente de informações. (O`BRIEN, 2002).

A fi gura 1.1 mostra os fatores econômicos de uma organização, onde o capital, a mão-de-obra e os processos geram os ativos de uma empresa, ou seja, os produtos, os bens e a informações.

Figura 1.1 – Fatores econômicos de produção.Fonte: Caruso&Steff en (1999)

Numa instituição fi nanceira, o ambiente de informações não está apenas restrito à área de informática, ele chega a mais longínqua localização geográfi ca onde haja uma agência ou representação de qualquer tipo. Enquanto na área de informática os ativos de informação estão armazenados, em sua maior parte, em meios magnéticos, nas áreas fora deste ambiente eles ainda estão representados em grande parte por papéis, sendo muito tangíveis e de entendimento mais fácil por parte de seres humanos.

É importante ressaltar que muitas empresas não sobrevivem mais que poucos dias a um colapso do fl uxo de informações, não importando o meio de armazenamento das informações.


28


E, dada à característica de tais empreendimentos, que no caso de bancos é essencialmente uma relação de confi ança, é fácil prever que isto acarretaria completo descontrole sobre os negócios e até uma corrida ao caixa. A atual dependência das instituições fi nanceiras em relação à informática está se estendendo por toda a economia, tornando aos poucos todas as empresas altamente dependentes dos computadores e, conseqüentemente, cada vez mais sensíveis aos riscos representados pelo eventual colapso do fl uxo de informações de controle gerencial.

Os riscos são agravados em progressão geométrica à medida que informações essenciais ao gerenciamento dos negócios são centralizadas e, principalmente, com o aumento do grau de centralização. Ainda que estes riscos sejam sérios, as vantagens dessa centralização são maiores, tanto sob aspectos econômicos, quanto sob aspectos de agilização de processos de tomada de decisão em todos os níveis. Esta agilização é tanto mais necessária, quanto maior for o uso de facilidades de processamento de informação pelos concorrentes.

É preciso, antes de qualquer coisa, cercar o ambiente de informações com medidas que garantam sua segurança efetiva a um custo aceitável, pois é impossível obter-se segurança total já que, a partir de um determinado nível, os custos envolvidos tornam-se cada vez mais onerosos e superam os benefícios obtidos. Estas medidas devem estar claramente descritas na política global de segurança da organização, delineando as responsabilidades de cada grau da hierarquia e o grau de delegação de autoridade e, muito importante, estarem claramente sustentadas pela alta direção.

A segurança, mais que estrutura hierárquica, os homens e os equipamentos envolvem uma postura gerencial, que ultrapassa a tradicional abordagem da maioria das empresas.

Dado ao caráter altamente dinâmico que as atividades relacionadas com o processamento de informações adquiriram ao longo do tempo, a política de segurança de informações deve ser a mais ampla e mais simples possível.


29


Unidade 1

Como conseqüência da informatização, outros aspectos começam a ser levantados, o acúmulo centralizado de informação, causando um sério problema para a segurança.

Os riscos inerentes ao processo agravaram-se e um estudo mais detalhado sobre eles teve que ser realizado.

Uma pesquisa realizada pela Módulo Security Solutions aponta os potenciais riscos aos quais a informação está sujeita. A fi gura 2 mostra que a principal ameaça às organizações é o vírus de computador.

Figura 1.2 – Principais ameaças às informações nas organizaçõesFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)

As ameaças podem ser defi nidas como sendo agentes ou condições incidentes que comprometem as informações e seus ativos, por meio da exploração de vulnerabilidades.

F


30


O que caracteriza as vulnerabilidades?

As vulnerabilidades podem ser conceituadas como sendo fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações, que podem ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: caráter confi dencial, integridade e disponibilidade.

As vulnerabilidades por si só não provocam incidentes de segurança, porque são elementos passivos. Porém, quando possuem um agente causador, como ameaças, esta condição favorável causa danos ao ambiente.

As vulnerabilidades podem ser:

Físicas

instalações prediais fora do padrão;

salas de CPD mal planejadas;

a falta de extintores, detectores de fumaça e outros para combate a incêndio em sala com armários e fi chários estratégicos;

risco de explosões, vazamentos ou incêndio.

Naturais os computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e

outros, como falta de energia, o acúmulo de poeira, o aumento de umidade e de temperatura, etc.

Hardware falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.

Software erros na aquisição de softwares sem proteção ou na confi guração podem ter como conseqüência uma maior quantidade de acessos indevidos, vazamentos de informações, perda de dados ou indisponibilidade do recurso quando necessário.

Mídias discos, fi tas, relatórios e impressos podem ser perdidos ou danifi cados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.

Comunicação acessos de intrusos ou perda de comunicação.

Humanas

rotatividade de pessoal,

falta de treinamento,

compartilhamento de informações confi denciais na execução de rotinas de segurança,

erros ou omissões;

ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismos, roubos, destruição da propriedade ou dados, invasões ou guerras.


31


Unidade 1

O que é ser Hacker?

O termo genérico para identifi car quem realiza ataques em um sistema de computadores é hacker. Porém, esta generalização possui diversas ramifi cações, pois cada ataque apresenta um objetivo diferente.

Por defi nição, hacker são aqueles que utilizam seus conhecimentos para invadir sistemas, sem a intenção de causar danos às vítimas, mas como um desafi o às suas habilidades.

Os hackers possuem grande conhecimento de sistemas operacionais e linguagens de programação. Constantemente buscam mais conhecimento, compartilham o que descobrem e jamais corrompem dados intencionalmente.

O termo hacker também é defi nido pela RFC-2828 (2000) como sendo alguma pessoa com um grande interesse e conhecimento em tecnologia, não utilizando eventuais falhas de seguranças descobertas em benefício próprio.

Como se tornou um termo genérico para invasores de redes, o termo hacker freqüentemente é usado para designar os elementos que invadem sistemas para roubar informações e causar danos.

O termo correto para este tipo de invasor seria cracker ou intruder, que também é utilizado para designar àqueles que decifram códigos e destroem proteções de softwares.

O termo cracker ou intruder é defi nido pela RFC-2828 como sendo alguém que tenta quebrar a segurança ou ganhar acesso a sistemas de outras pessoas sem ser convidado, não sendo, obrigatoriamente, uma pessoa com grande conhecimento de tecnologia como o hacker.


32


O termo hacker existe desde o ano de 1960. A palavra começou a ser usada pelos membros do Tech Model Rail Club, do Instituto de Tecnologia de Massachusetts (MIT), e indicava pessoas com capacidades técnicas para proezas que ninguém mais conseguia. Na área de informática, este termo foi usado para designar programadores prodigiosos, de técnica apurada, visivelmente superior.

Podemos classifi car essas pessoas em várias categorias:

Carders – Aqueles que fazem compras com cartão de crédito alheio ou gerado, ou seja, os carders têm grande facilidade em fazer compras via internet ou em outro meio.

Hackers – Pessoas com um grande interesse e conhecimento em tecnologia, não utilizando eventuais falhas de seguranças em benefício próprio. Porém, não destroem dados.

Crackers – Os crackers são como os hackers, porém gostam de ver a destruição. Eles invadem e destroem só para ver o caos formado. Eles apagam todo o sistema sempre deixando a sua marca registrada.

Phreacking – São os piratas da telefonia. Eles fazem tudo o que é relativo aos telefones, convencionais ou celulares. (SPYMAN, 2002).

Existem muitas maneiras de se atacar os sistemas de informação de uma organização. Na fi gura 3 está disponibilizada uma pesquisa mostrando um balanço dos tipos de ataques mais usados nos cinco últimos anos. Esta pesquisa foi realizada pelo departamento de crimes de computador do FBI.


33


Unidade 1

Figura 3 – Tipos de ataques mais utilizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)

As mais famosas técnicas de ataques às redes corporativas são:

Quebra de Senha – O quebrador de senha, ou cracker, é um programa usado pelo hacker para descobrir uma senha do sistema. Uma das formas de quebra são os testes de exaustão de palavras, a decodifi cação criptográfi ca, etc.

Denial of Service – Também conhecido como DoS, estes ataques de negação de serviço são aborrecimentos semelhantes aos mails bomba, porém muito mais ameaçadores porque eles podem incapacitar temporariamente uma rede corporativa ou um provedor de acesso. É um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Sua fi nalidade não é o roubo de dados, mas a indisponibilidade de serviço. Existem variantes deste ataque, como o DoS distribuído, chamado DDoS, ou seja, a tentativa de sobrecarregar o I/O de algum serviço é feita de vários locais ao mesmo tempo.


34


Cavalo de tróia – É um programa disfarçado que executa alguma tarefa maligna. Um exemplo, o usuário roda um jogo qualquer que foi pego na internet. O jogo instala o cavalo-de-tróia, que abre uma porta TCP (Transmission Control Protocol) no micro para a invasão. Este software não propaga a si mesmo de um computador para outro. Há também o cavalo-de-tróia dedicado a roubar senhas e outros dados.

Mail Bomb – É considerado como dispositivo destrutivo. Utiliza a técnica de inundar um computador com mensagens eletrônicas. Em geral, o agressor usa um script para gerar um fl uxo contínuo de mensagens e abarrotar a caixa postal de alguém. A sobrecarga tende a provocar uma negação de serviço, ou um DoS no servidor de correio eletrônico. Não há perda de dados na maioria dos casos.

Phreacking – é o uso indevido das linhas telefônicas, fi xas e celulares. No passado, os phreackers empregavam gravadores de fi ta e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefônicas foram reforçando a segurança, as técnicas foram fi cando cada vez mais difíceis. Hoje em dia é uma atividade muito elaborada, que poucos conhecem.

Scanners de Porta – São programas que buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias, em horários aleatórios.

Smurf – É outro tipo de ataque de negação de serviço. O agressor envia uma rápida seqüência de solicitações de ping (um teste para verifi car se um servidor está acessível) para um endereço de brodcast. Usando spoofi ng, o cracker faz com que o servidor de broadcast encaminhe as respostas não para o seu endereço, mas para o da vítima. Assim o computador alvo é inundado pelo Ping.


35


Unidade 1

Spoofi ng – É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. Há muitas variantes, como o spoofi ng de IP. Para executá-lo, o invasor altera o cabeçalho dos pacotes IP, de modo que pareça estar vindo de uma outra máquina, possivelmente, uma que tenha cesso liberado.

Sniff er – É um programa ou dispositivo que analisa o tráfego na rede. Sniff ers são úteis e usados normalmente para o gerenciamento de redes. Porém nas mãos erradas, é uma ferramenta poderosa no roubo de informações sigilosas.

Vírus – São programas desenvolvidos para alterar softwares instalados em um computador, ou mesmo apagar todas as informações existentes no computador. Possuem comportamento semelhante ao vírus biológico, multiplicam-se, precisam de hospedeiros, esperam o momento certo para o ataque e tentam se esconder para não serem exterminados. A internet e o correio eletrônico são hoje os principais meios de propagação de vírus. A RFC-2828 defi ne vírus como sendo um software com a capacidade de se duplicar, infectando outros programas. Um vírus não pode se auto-executar, requer que o programa hospedeiro seja executado para ativá-lo.

Worm – São programas auto-replicantes que não alteram arquivos, mas residem na memória ativa e se duplicam por meio de redes de computador. Os worms utilizam recursos do sistema operacional para ganhar acesso ao computador e, ao se replicarem, usam recursos do sistema, tornando as máquinas lentas e interrompendo outras funções. Um worm é um programa de computador que pode se auto-executar, propagar-se pelos computadores de uma rede, podendo consumir os recursos do computador destrutivamente (RFC-2828, 2000).


36


Após ter acompanhado esta série de possíveis vulnerabilidades, acreditamos que você esteja convencido de que auditar é preciso, não é mesmo?

Auditar é preciso porque o uso inadequado dos sistemas informatizados pode impactar uma sociedade. Informação com pouca precisão pode causar a alocação precipitada de recursos dentro das corporações e as fraudes podem ocorrer devido à falta de sistemas de controle.

Então, para garantir que os investimentos feitos em tecnologia da informação retornem para a empresa na forma de lucros, custos menores e um menor custo total de propriedade é que o auditor de sistemas informatizados irá atuar. De posse dos objetivos, normas ou padrões da corporação o auditor irá verifi car se tudo está funcionando como deveria.

Ainda para ilustrar a importância da atuação do auditor, acompanhe, na seqüência, algumas estatísticas sobre os ataques aos sistemas de informação.

A Tabela 2 mostra quais são as medidas tomadas pelas organizações no que diz respeito à segurança no ano de 2003.

Tabela 2 – As medidas de segurança mais utilizadas pelas empresas brasileiras no ano de 2003.

“TOP 10” MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADAS

Ranking 2003 Medidas de Segurança %

1º Antivírus 90

2º Sistema de backup 76,5

3º Firewall 75,5

4º Política de segurança 72,5

5º Capacitação técnica 70

6º Software de controle de acesso 64

7º Segurança física na sala de servidores 63

8º Proxy server 62

9º Criptografi a 57

10º Análise de riscos 56

Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)


37


Unidade 1

O maior investimento em TI por profi ssionais da área foi em antivirus, já que uma grande quantidade de empresas tem sofrido ataques ou até mesmo deixou de fi car com seus serviços disponíveis. Logo em seguida, a maior preocupação são os sistemas de backup. E veja que a política de segurança está em quarto lugar.

Nota-se pela pesquisa da fi gura 5 que o roubo de informações e a negação de serviço, ou seja, parar de disponibilizar dados, informações e aplicações são os ataques que mais dão prejuízos para as organizações.

Figura 5 – Perdas fi nanceiras relacionadas com os tipos de ataques realizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)


38


Apesar das vulnerabilidades, não são todas as empresas que prontamente investem em sistemas de segurança de informações, porque os responsáveis por manter o ambiente funcionando enfrentam algumas difi culdades para conseguir estes recursos.

Figura 6 – Principais obstáculos para a implementação da SegurançaFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)

Falta de consciência dos executivos (23%), difi culdade em demonstrar o retorno (18%) e custo de implementação (16%) foram considerados os três principais obstáculos para implementação da segurança nas empresas, como ilustrado na fi gura 7. (MÓDULO, 2003)

Quando questionados sobre a fonte de informações para se obter discernimento a respeito do que fazer quando se trata de segurança, os entrevistados se mostraram bastante informados a respeito, e apontaram as referências, normas e legislações que falam sobre o assunto.


39


Unidade 1

Figura 7 – Adequação a legislação / Normas e RegulamentaçãoFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)

Sobre as legislações, normas e regulamentações de segurança que norteiam suas organizações, 63,5% dos entrevistados apontaram a ISO 17799; 37% as publicações do Governo Federal (decreto 4553 e outros); 30% as publicações do Banco Central (resolução 2554 e outras); 27% a Regulamentação da ICP-Brasil; 20% o COBIT e 20% as Publicações da CVM (Resolução 358 e outras).

Você compreendeu a importância de realizar auditoria de sistemas informatizados, conheceu as principais vulnerabilidades que ameaçam estes sistemas, bem como entendeu as funções de um auditor. A seção seguinte propõe que você estude e refl ita sobre os desafi os éticos da auditoria de sistemas informatizados.


40


Seção 5 – Quais são os desafi os éticos da auditoria de sistemas informatizados?

Esta seção, convida você a realizar uma leitura e uma refl exão sobre assuntos que lhe farão entender melhor os desafi os éticos do auditor de sistemas informatizados. Para iniciar, realize uma breve refl exão sobre o dito por Aristóteles e a questão dos atos justos:

“Sendo os atos justos e injustos tais como os descrevemos, um homem age de maneira justa ou injusta sempre que pratica tais atos voluntariamente. Quando os pratica involuntariamente, seus atos não são justos nem injustos, salvo por acidente, isto é, porque ele fez muitas coisas que redundam em justiças ou injustiças. É o caráter voluntário ou involuntário do ato que determina se ele é justo ou injusto, pois, quando é voluntário, é censurado, e pela mesma razão torna-se um ato de injustiça; de forma que existem coisas que são injustas, sem que, no entanto sejam atos de injustiça, se não estiver presente também a voluntariedade”.

Pois é, dentro das corporações, questões éticas estão envolvidas em muitas decisões estratégicas, como por exemplo, no desenvolvimento de novos produtos, em questões ambientais ou até mesmo no salário de seus funcionários. Essas decisões podem, em alguns casos, afetar diretamente o desempenho da empresa. Por conseqüência, essas oportunidades podem envolver um verdadeiro desafi o à ética, não é mesmo?

Só para direcioná-lo mais no assunto em questão, considere que estamos no meio de uma revolução da informação, onde nossa capacidade de adquirir, manipular, armazenar e transmitir informações foi fortemente ampliada. Com a tecnologia da internet, atualmente é possível conseguir várias informações dos mais variados cantos do mundo em uma fração de segundos. Em contrapartida, graças a esta mesma tecnologia, várias oportunidades de práticas éticas ou não vieram à tona, não concorda? oportuno voltarmos nossa atenção para os


41


Unidade 1

fundamentos fi losófi cos das questões éticas. Segundo O’Brien (2002), quatro fi losofi as éticas são básicas:

Egoísmo – o que é melhor para um determinado indivíduo é o correto.

Lei natural – os homens devem promover sua própria vida, propagar-se, buscar conhecimento do mundo, buscar relações íntimas com outras pessoas e submeter-se à autoridade legítima.

Utilitarismo – são corretas as ações que produzem o bem máximo para o maior número de pessoas.

Respeito pelas pessoas – as pessoas devem ser tratadas como fi m e não como meio para um fi m; e as ações são corretas se todos adotarem a regra moral pressuposta pela ação.

Afi nal o que é Ética?

A ética é uma característica inerente a toda ação humana e, por esta razão, é um elemento vital na produção da realidade social. Todo homem possui um senso ético, uma espécie de “consciência moral”, estando constantemente avaliando e julgando suas ações para saber se são boas ou más, certas ou erradas, justas ou injustas.

A ética está relacionada à opção, ao desejo de realizar a vida, mantendo com os outros relações justas e aceitáveis. Normalmente, está fundamentada nos ideais de bem e virtude, que são valores perseguidos por todo ser humano e cujo alcance se traduz numa existência plena e feliz.

Hoje, mais do nunca, a atitude dos profi ssionais em relação às questões éticas pode ser a diferença entre o seu sucesso ou fracasso. Ser ético nada mais é do que agir direito, proceder bem, sem prejudicar os outros. Ser ético é, também, agir de acordo com os valores morais de uma determinada sociedade. Essas regras morais são o resultado da própria cultura de


42


uma comunidade. Elas variam de acordo com o tempo e sua localização no mapa.

A regra ética é uma questão de atitude, de escolha. Já a regra jurídica não prescinde de convicção íntima - as leis têm que ser cumpridas independentemente da vontade das pessoas. A ética não é algo superposto à conduta humana, pois todas as nossas atividades envolvem uma carga moral. A pessoa e a organização são mais efi cientes quando há congruência entre valores e as crenças a respeito de como o trabalho deve ser feito e as expectativas e exigências da organização em relação ao sucesso. (JACOMINO, 2000)

A empresa que almeje ser ética deve divulgar declarações precisas, defi nindo as regras e deve criar procedimentos de verifi cação para assegurar que todos na organização as estão cumprindo.

Por que é importante saber a importância das dimensões éticas na utilização da tecnologia da informação?

Um ponto de vista é quando você percebe, por exemplo, que o impacto causado pela tecnologia da informação sobre o emprego é uma preocupação ética muito importante e está diretamente relacionada ao uso dos computadores para se conseguir um determinado grau de automação. Não há dúvidas que ao advento dos sistemas informatizados veio aumentar a produtividade, ao mesmo tempo em que diminuiu a oferta de determinadas oportunidades de trabalho. Aplicações, computadores e máquinas automatizadas realizam tarefas que antes eram realizadas por vários trabalhadores.

O que existe hoje é uma procura por habilidades diferentes, formando o grupo de usuários de computadores e o grupo de administradores de computadores, de forma que, se você não tem uma ou outra habilidade, as chances de conseguir uma oportunidade de trabalho diminuem bastante.

Esta questão é um problema a ser superado no Brasil, onde 50% das vagas na área de tecnologia da informação não são preenchidas por falta de mão-de-obra qualifi cada. Apenas 11% dos jovens na faixa etária entre 18 e 24 anos cursam o ensino


43


Unidade 1

superior e 64% da população empregada nem sequer completou o primeiro grau. Se o panorama nacional nos faz crer que a demanda por recursos humanos não será preenchida a curto prazo, está mais do que na hora das empresas baseadas no Brasil proporem soluções que visem minimizar este cenário e sejam capazes de transformar bits e bytes em poderosa vantagem competitiva para todos.

Nesta perspectiva, em contrapartida, surge a possibilidade da gestão do conhecimento, a qual, com uma coleção de processos, governa a criação, disseminação e utilização do conhecimento para atingir plenamente os objetivos da organização. A gestão do conhecimento lida principalmente com os aspectos que são críticos para a adaptação e sobrevivência da empresa diante de um ambiente de mudança crescente e descontínua.

O conhecimento é a chave para o poder nos negócios e as empresas que se voltam para a gestão do conhecimento, necessitam de uma abordagem que veja a organização como uma comunidade humana, cujo conhecimento coletivo representa um diferencial competitivo em relação à concorrência.

É no conhecimento coletivo que se baseiam as competências competitivas essenciais.

A Tecnologia da Informação tem um papel fundamental que muitas vezes tem sido negligenciado ou até mesmo tem passado despercebido na maioria das empresas e órgãos de informática.

As competências essenciais e o conhecimento coletivo baseiam-se em informações de negócio: conhecimento e experiência. O papel a ser desempenhado pela TI é estratégico: ajudar o desenvolvimento coletivo e o aprendizado contínuo, tornando mais fácil para as pessoas na organização compartilharem problemas, expectativas, idéias e soluções. E em meio a este ambiente competitivo do mundo contemporâneo, o principal desafi o das organizações está em estabelecer os padrões éticos nas relações entre pessoas e empresas.


44


Como aplicar a ética no campo de novas tecnologias?

Não podemos ser inocentes e pensar que empresas são apenas entidades jurídicas. Empresas são formadas por pessoas e só existem por causa delas. Por trás de qualquer decisão, de qualquer erro ou imprudência estão seres de carne e osso. E são eles que vão viver a glória ou o fracasso da organização. Por isso, quando falamos de empresa ética, estamos falando de pessoas éticas. Uma política interna mal defi nida por um funcionário de qualquer nível pode denegrir dois dos maiores patrimônios de uma empresa: a marca e a imagem.

Além de ser individual, qualquer decisão ética tem por trás um conjunto de valores fundamentais. Muitas dessas virtudes nasceram no mundo antigo e continuam válidas até hoje. Eis algumas das principais: ser honesto em qualquer situação, ter coragem para assumir as decisões, ser tolerante e fl exível, ser íntegro e ser humilde.

A internet tem modifi cado o comportamento humano, incentivando a paixão pelo conhecimento, educação e cultura.

A sociedade contemporânea valoriza comportamentos que praticamente excluem qualquer possibilidade de cultivo de relações éticas. É fácil verifi car que o desejo obsessivo na obtenção, possessão e consumo da maior quantidade possível de bens materiais é o valor central na nova ordem estabelecida no mundo e que o prestígio social é concedido para quem consegue esses bens. Esse desejo se tornou mais voluptuoso e de acesso mais fácil depois da ascensão do comércio eletrônico na internet.

A pessoa que antes devia fazer um mínimo esforço para uma compra ou aquisição, hoje se vê diante de um mar de ofertas da tela do seu computador. O sucesso material passou a ser sinônimo de sucesso social e o êxito pessoal deve ser adquirido a qualquer custo.


45


Unidade 1

Um dos campos mais carentes, no que diz respeito à aplicação da ética, é o das novas tecnologias e nisto inclui-se a internet.

Não existe uma legislação prevendo condutas ou regras e com isso fi ca muito perto o limite da ética no trabalho e exercício profi ssional. Uma das principais e mais evidentes realidades da internet é o individualismo extremo. Este fator, muitas vezes associado à falta de ética pessoal, tem levado alguns profi ssionais a defender seus interesses particulares acima dos interesses das empresas em que trabalham, colocando-as em risco.

Este quadro nos remete diretamente à questão da formação de recursos humanos, pois as pessoas são a base de qualquer tentativa de iniciar o resgate da ética nas empresas e nas relações de trabalho e gestão do conhecimento.

Ética, além de ser a ciência que estuda o comportamento moral das pessoas na sociedade, é um investimento. Um investimento que traz bons frutos a longo prazo. É importante entender que o conceito de que estender benefícios à sociedade é um meio concreto de abraçar a ética e criar uma boa imagem para a empresa. Na internet, por exemplo, é extremamente necessário se ter credibilidade para que a empresa possa sobreviver no comércio eletrônico. (SROUR, R. H., 1998)

O ambiente organizacional sob a ótica da ética na gestão do conhecimento

O conhecimento antropológico nos ensina que não se deve confundir normas morais, socialmente praticadas, com pautas abstratas, universais e anistóricas, pois elas são padrões sociais convencionados que espelham condições históricas bem determinadas.

Você deve distinguir, entretanto, normas jurídicas (leis, regulamentos) e normas morais.


46


Ambas as normas regulamentam as relações sociais, postulam condutas obrigatórias, assumem a forma de imperativos e visam a garantir a coesão social.

A moral é um discurso de justifi cação e se encontra no coração da ideologia. É um dos mais poderosos mecanismos de reprodução social, porque defi ne o que é permitido e proibido, justo e injusto, lícito e ilícito, certo e errado.

Há inúmeras situações carentes de normalização que não remetem às confortáveis dicotomias do tipo branco e preto. Diante delas, as opiniões se dividem, exacerbadas porque os interesses subjacentes convivem em frontal oposição.

Quem será benefi ciado e quem sairá prejudicado?

Eis a justifi cativa de uma competente refl exão ética. Vale a pena distinguir entre: racionalizações, que são situações em que o agente sabe o que é certo fazer, mas deixa de fazer mediante justifi cações e dilemas, que são situações em que o agente não sabe o que é certo fazer e patina na incerteza moral.

Como ser ético num mundo em que se confrontam valores e fi ns que, por sua própria pluralidade, sustentam a irracionalidade ética do mundo?

Toda tomada de decisão processa-se num contexto em que interesses contraditórios se movimentam, tenham ou não consciência os agentes envolvidos. Tal ou qual curso de ação benefi cia quem? Quais interesses estão em jogo? Os interesses gerais, nacionais, públicos ou comunitários? Os interesses universais, coletivos, sociais ou os interesses paroquiais, familiares e pessoais?

Qualquer sistema de normas morais põe em cena crenças e valores, fi ns e meios, a partir de um conjunto de informações que procuram descrever uma situação.


47


Unidade 1

Ele supõe também as conseqüências prováveis das ações que poderão vir a ser adotadas e ainda sugere os interesses que sustentam o edifício todo. Ora, toda moral palpita no coração de uma ideologia e, de maneira aparentemente paradoxal, reivindica um caráter universalista.

A chave da discussão contemporânea gira em torno do egoísmo ético em choque com as morais socialmente orientadas. Assim é que nos países latinos e, em particular no Brasil, rastreia-se uma dupla moral social: uma moral da integridade, que é a moralidade ofi cial, edifi cante e convencional, compondo uma retórica pública que se difunde nas escolas, nas igrejas, nos tribunais e na mídia; e uma moral do oportunismo, que é a moral ofi ciosa, pragmática e dissimulada, furtivamente praticada como ação entre amigos e muitas vezes celebrada pela “esperteza” de seus procedimentos.

Os valores da moral da integridade são a honestidade, a lealdade, a idoneidade, o respeito à verdade e à legalidade, o compromisso com a retidão. Tais virtudes desenham o perfi l do homem de caráter, confi ável, decente e digno, cumpridor de suas obrigações e fi el à palavra empenhada, sujeito eminentemente virtuoso e infl exível na preservação dos valores consagrados. Quaisquer decisões e ações deveriam orientar-se por princípios que, por defi nição, valem para todos os homens. Em contrapartida, a moral do oportunismo funciona com base em procedimentos cínicos como o jeitinho, o calote, a falta de escrúpulo, o desprezo irresponsável pelas conseqüências dos atos praticados, o vale-tudo, o engodo, a trapaça, a exaltação da malandragem, o fi siologismo e a bajulice. Esta moral valoriza o enriquecimento rápido e o egoísmo, consagra a esperteza e acredita que o proveito pessoal move o mundo. Assim, desde que a fi nalidade seja alcançada, a ação se justifi ca, não importam os meios, lícitos ou não.

Ora, queiram ou não, as empresas convivem com os padrões morais que suas contrapartes partilham. Ferir tais padrões signifi ca estimular a deslealdade individual aos interesses da empresa. Em razão disto, é preciso convencionar um código de honra que ligue as organizações a seus funcionários. Ademais, as empresas têm uma imagem a resguardar, patrimônio essencial para a continuidade do próprio negócio. A imagem da empresa


48


não pode ser desprezada impunemente, nem pode ser reduzida à mera moeda publicitária, porque ela representa um ativo econômico sensível à credibilidade que inspira.

A ética está amplamente constituída de regras de sobrevivência, regras de comportamento associadas à profi ssão, regras de relacionamento que possibilitem harmonia na convivência social e assim por diante.

As atitudes devem ser rápidas e certeiras, mas sempre seguindo estratégias globais; estas sim, capazes de diferenciar as empresas e garantir resultados consistentes no que diz respeito à sobrevivência das organizações. As empresas hoje buscam profi ssionais com um perfi l diferenciado.

A era da informação é implacável: joga para escanteio quem não têm instrução adequada e coloca no ápice os mais preparados.

Os sistemas formais da organização correspondem aos métodos, às políticas e aos procedimentos que claramente identifi cam qual o negócio, quando, como, onde e por que ele se realiza.

Quando os sistemas formais contêm um direcionamento ético claro, os funcionários têm uma compreensão correta das expectativas e exigências. Quando estes sistemas não são claros ou quando a mensagem ética varia entre os sistemas, os indivíduos buscam outro ponto de referência para uma orientação defi nitiva, uma dimensão tipicamente de liderança.

Quando os sistemas não se referem à questão ética, a mensagem transmitida é de que não existe um padrão ético. Isto deixa os funcionários totalmente dependentes de seus

valores pessoais e do comportamento observável dos outros.


49


Unidade 1

Falhas éticas “arranham” a imagem da empresa e as levam a perder clientes e fornecedores importantes, difi cultando o estabelecimento de parcerias, pois na hora de se dar as mãos, além de levantar as afi nidades culturais e comerciais, as empresas também verifi cam se existe compatibilidade ética entre elas.

É fundamental criar relacionamentos mais éticos no mundo dos negócios para poder sobreviver e, obviamente, obter vantagens competitivas.

E assim, com as ferramentas e o saber a postos, o quadro não é tão ruim assim, pois sem sombra de dúvida, a tecnologia criou um verdadeiro mundo de oportunidades de emprego, para a fabricação de computadores e periféricos, desenvolvimento de softwares e outros sistemas de informação. E junto com isto, criou uma gama maior ainda de serviços para quem trabalha com tecnologia.

Uma vez que você fi nalizou a leitura criteriosa desta unidade, realize, a seguir, as atividades propostas e pratique os novos conhecimentos.

O que fazer para andar com um pouco mais de segurança nesse terreno nebuloso?

saiba exatamente quais são os seus limites éticos; avalie detalhadamente os valores da sua empresa; trabalhe sempre com base em fatos; avalie os riscos de cada decisão que tomar saiba que, mesmo ao optar pela solução mais ética, poderá se envolver em situações delicadas; ser ético signifi ca, muitas vezes, perder dinheiro, status e benefícios.


50


Atividades de auto-avaliação

Efetue as atividades de auto-avaliação e acompanhe as respostas e comentários a respeito no fi nal do livro didático. Para melhor aproveitamento do seu estudo, realize a conferência de suas respostas somente depois de fazer as atividades propostas.

Leia com atenção os enunciados e realize, a seguir, as atividades:

1) Basicamente, descreva quais ao os riscos que as informações em meio digital ou não correm dentro das empresas?

2) Por que auditar? Explique.


51


Unidade 1

3) Considerando os aspectos fi nanceiros, sociais e tecnológicos envolvidos na gestão de TI, descreva a seguir qual o maior desafi o ético na área de tecnologia?

Síntese

Com o estudo desta primeira unidade, você conferiu os conceitos que permeiam o assunto de auditoria de sistemas informatizados.

Constatou que o crescente uso de soluções informatizadas dentro das empresas cresceu muito nos últimos anos. Um novo mundo de oportunidades surgiu com o uso descontrolado dos sistemas de informação, havendo a necessidade iminente de controle e as empresas optaram por um plano de auditoria.

Esta auditoria tem como objetivo a manutenção do investimento feito sobre as soluções de tecnologia da informação, fazendo com que o custo total de propriedade da solução se mantenha baixo.

Deste modo, você entendeu os motivos pelos quais a auditoria em sistemas informatizados se faz necessária dentro das corporações.

Por fi m, estudou também que essas lacunas abertas nos levam a verdadeiros desafi os em nossa profi ssão, pois tendo em mãos informações, programas e dados de maneira tão fácil e tão rápida, um verdadeiro desafi o à ética surge e nos coloca em “cheque” na hora de decidir como agir.


52


Saiba mais

Para aprofundar as questões abordadas nesta unidade, você poderá pesquisar os seguintes materiais:

http://www.gocsi.com – CSI/FBI – 2003. Pesquisa do FBI a respeito de crimes de internet.

http://www.modulo.com.br – site da empresa Módulo, empresa líder de mercado em soluções de segurança.

http://www.bsibrasil.com.br/ - site da organização que gerencia a norma BS 7799.


UNIDADE 2

Organização da auditoria


Ao fi nal desta unidade, você terá subsídios para:

compreender os atributos mais comuns das atividades dos auditores e os aspectos relacionados as suas responsabilidades;

conhecer os principais componentes de um planejamento de auditoria;

conhecer o que é uma conclusão de auditoria.

Seções de estudo

A seguir, apresentamos as seções para você estudar:

Seção 1 A origem da auditoria

Seção 2 O auditor e os sistemas informatizados

Seção 3 Quais são as responsabilidades do auditor?

Seção 4 Como ocorre o planejamento da auditoria?

Seção 5 ocorre a conclusão da auditoria?


2


54



A auditoria é de suma importância para os negócios, independente de sua origem, seja ela contábil ou de tecnologia de informação. O termo auditoria é relacionado com diversas áreas de nossa sociedade.

Nesta unidade, você vai estudar a organização da auditoria em seu âmbito geral e resgatar a relação dela com as diversas áreas dos negócios. Bom estudo!

Seção 1 – A origem da auditoria

A auditoria sempre foi muito relacionada com a contabilidade e também surgiu numa época bem remota. Este fato difi culta a pesquisa de matérias para estudos acadêmicos que falam com propriedade a respeito do assunto, já que a literatura disponível, em sua grande maioria, trata de eventos de auditorias fi nanceiras. Porém, muitos dos conceitos utilizados são muito bem-vindos pelo fato de que somente o objeto de auditoria está sendo mudado.

No Egito antigo, autoridades providenciavam verifi cações independentes nos registros de arrecadações de impostos. Na Grécia, eram realizadas inspeções nas contas de funcionários públicos através da comparação de gastos com autorizações de pagamentos. Já os nobres castelos medievais ingleses indicavam auditores que revisavam os registros contábeis e relatórios preparados pelos criados.

Como surgiu a auditoria de empresas?

A auditoria de empresas começou com a legislação britânica promulgada durante a revolução industrial, em meados do século XIX. Avanços na tecnologia industrial e de transporte provocaram novas economias de escala, empresas maiores, o advento de administradores profi ssionais e o crescimento


55


Unidade 2

da incidência de situações em que os donos de empresas não estavam presentes nas ações diárias da corporação. No advento da auditoria, este serviço tinha que ser feito por acionistas que não eram administradores das empresas e que recebiam a delegação dos demais acionistas. (PURPURA, 1998)

Você sabia?

Na Inglaterra encontram-se as empresas de auditorias mais bem conceituadas, tais como: Deloitte & Co., Peat Marwick & Mitchell e Price Waterhouse & Co. Tanto eles são pioneiros na área, que foi de lá, de estudos acadêmicos, que surgiu o padrão de segurança de informações que os auditores de sistemas informatizados utilizam: o padrão BS 7799 que tem suas variações na ISO (ISO 27001) e na ABNT, onde se encontra a NBR ISO/IEC 17799:1 (2005).

A infl uência britânica foi essencial para os Estados Unidos, no fi nal do século XIX, na mesma proporção em que investidores escoceses e ingleses enviavam seus próprios auditores para a verifi cação na contas das empresas norte-americanas, nas quais tinham investido muito dinheiro.

No fi nal do século XIX, Nova Iorque tornou-se o primeiro estado norte-americano a aprovar uma legislação sobre a profi ssão de auditor. Vinte anos mais tarde, todos os Estados Americanos já tinham aprovado lei semelhante.

No início do século XX, a demanda de serviços na área aumentou exponencialmente, em razão, a princípio, da venda de títulos ao público. Esta situação deixou clara a necessidade de uma maior linearidade na apresentação de demonstrações contábeis.

Você sabia?

Para se ter uma noção do crescimento da profi ssão de auditor, observe que em 1900 eram apenas 250 auditores autorizados a exercer a profi ssão nos Estados Unidos e hoje são mais de 500.000. (Fonte: Wise, 2002).


56


Continuando a trajetória histórica, você vai perceber que a complexidade dos negócios foi aumentando. Na década de 40, já eram observadas três importantes mudanças na prática da auditoria:

a verifi cação contábil passou a ser realizada por amostragem, em sua maioria;

foi desenvolvida a prática de vincular os testes realizados à avaliação dos controles internos da entidade auditada; e, por fi m,

a ênfase na detecção de fraudes com o objetivo de uma auditoria foi reduzida. Esta última alteração gera controvérsia até hoje, pois no âmbito contábil é de interesse público que os auditores detectem fraudes e não apenas não-conformidades. Esta alteração está prestes a ser mudada.

Durante a década de 80 e 90, a tônica nos campos profi ssionais era o conhecimento exigido e, assim, a profi ssão de auditor deu um outro passo no sentido de assegurar a prestação de serviços de qualidade. Cursos de capacitação e reciclagem começaram a ser exigidos, bem como a certifi cação, pois profi ssionais certifi cados eram mais bem conceituados.

Seção 2 – O auditor e os sistemas informatizados

Quando os sistemas de computadores surgiram, muitos auditores estavam preocupados com a essência da auditoria que poderia mudar para poder lidar com a nova tecnologia. Agora está claro que não é este o caso. Os auditores devem prover uma avaliação competente e independente indicando se um conjunto de atividades econômicas tem sido registrado de acordo com os padrões e critérios estabelecidos.

Os sistemas informatizados têm afetado duas funções básicas dos auditores: coleta e avaliação das evidências.


57


Unidade 2

Coletar evidências sobre a segurança em um sistema informatizado é muito mais complexo do que em um sistema manual, sem automação, justamente devido à diversidade e complexidade da tecnologia de controle interno. Os auditores devem entender estes controles e ter know-how para coletar evidências corretamente.

Tecnologias como hardware ou software evoluem muito rapidamente, o que torna o entendimento sobre o controle muito complicado e difícil, pois existem intervalos de surgimento de tecnologias e entendimento da mesma.

Por exemplo, num equipamento de hardware, os famosos “appliances” que fazem o papel de Firewall são considerados somente bloqueadores de portas lógicas. Uma nova versão deste equipamento possui um software que permite, além de bloquear portas lógicas, fazer o serviço de detecção de intrusos, o que o torna mais efi caz no momento de avaliar a segurança de dispositivos de rede que fazem este papel.

Em alguns casos, não é possível detectar evidências de forma manual. Nesse caso, o auditor terá que recorrer outros recursos como, por exemplo, sistemas informatizados que possibilitem a coleta das evidências necessárias. Novas ferramentas de auditoria podem ser requeridas devido à evolução da tecnologia, e infelizmente aqui também ocorre um intervalo entre as necessidades da auditoria e as implantações das mesmas.

Devido à crescente complexidade dos sistemas informatizados, também é mais difícil avaliar as conseqüências das vulnerabilidades existentes. Primeiramente, os auditores devem entender quando um controle está agindo de forma segura ou não.

Erros em programas de computador tendem a ser deterministas: um programa errado sempre executará incorretamente. Além disto, erros são gerados em grande velocidade e corrigi-los pode custar caro. Assim, controles internos que garantam que sistemas de computadores de alta qualidade sejam projetados, implementados, operados e mantidos são críticos.


58


O ônus sobre os auditores é garantir que estes controles sejam sufi cientes para manter a proteção dos ativos de informação da corporação, integridade dos dados, efetividade e efi ciência dos sistemas, além de disponibilizá-los para que eles sejam operados de forma segura.

Os sistemas de informação passaram a disponibilizar mais informações para os que detêm o poder decisório das empresas. Os auditores desenvolveram uma fama de entenderem tanto de contabilidade quanto dos fatores que afetam a competitividade de um negócio ou setor de atuação. Contudo, esta profi ssão tem sido alvo de críticas por não utilizar o know-how adquirido para agregar valor a seu serviço. Pode-se, inclusive, comparar com a área de sistemas informatizados, pois um auditor pode, além de detectar uma não-conformidade, dar alguma sugestão imediata para resolver esta não-conformidade.

Esta situação permite uma discussão bastante interessante:

Primeiro refl ita sobre a questão, após escreva suas conclusões:

O auditor deve simplesmente detectar as não-conformidades e dar a “nota” ao objeto auditado ou, além disso, ele pode ajudar a corporação a aumentar o nível de segurança dos seus sistemas de informação?

Utilize o espaço, a seguir, para registrar suas refl exões.


59


Unidade 2

Deste modo, serviços de auditoria deslocam-se na cadeia de valores na mesma proporção que o auditor traduz as informações obtidas com seu trabalho para informações críticas à camada executiva da empresa.

Por exemplo, com seu conhecimento do negócio, o auditor pode reconhecer que uma companhia não está utilizando adequadamente os seus ativos de informação e pode fazer recomendações sobre como outras empresas o fazem ou, até mesmo, como as normas e padrões de segurança mais conceituados no mercado o fariam.

O auditor ocupa posição privilegiada em nossa sociedade por entender o funcionamento de várias organizações e saber de que forma elas utilizam os recursos de tecnologia para atingir seus objetivos.

O desafi o desta profi ssão está em compartilhar o conhecimento de maneira que ajude o cliente a atingir seus objetivos além de manter a independência. É interessante que este profi ssional saiba a grande diferença entre fazer recomendações e implantar decisões, respeitando a ética profi ssional.

Quais são os principais valores de um auditor?

É possível resumir, em três características, os principais valores de um auditor:

manter princípios éticos;

possuir integridade;

possuir objetividade.

Apesar de simples, encontra-se no mercado de auditoria, apesar de vasto, poucas empresas prestadoras de serviço de auditoria que respeitam estas propriedades.


60


É importante, na hora de contratar tais serviços, procurar por empresas com tenham sua reputação baseada nas características acima mencionadas.

A incessante procura por atualizações das normas e métodos de auditoria devem também fazer parte do dia-a-dia da profi ssão de auditor, pois vulnerabilidades e ameaças são lançadas todos os dias.

Nosso cenário é de muita crítica aos auditores pelo fato de que esta profi ssão é muitas vezes vista como a de relatores de problemas e não como a de solucionadores de situações de não-conformidade.

Quais são as necessidades para ser um profi ssional auditor?

Auditores necessitam de grande capacidade de comunicação, pois o serviço pede que ao levantar-se questões relacionadas com o objeto auditado, a discussão seja levada para a camada executiva da empresa e os resultados deste trabalho também. Como a tecnologia infl uencia diretamente a forma como os auditores se comunicam, deve-se recorrer a modelos padronizados que possam passar a extensão, conclusão e observações do trabalho realizado. A capacidade de pensar crítica e estrategicamente é essencial ao auditor.

Por exemplo, o auditor deve ser capaz de analisar e avaliar o P.D.I. (Plano Diretor de Informática) de um cliente e avaliar se os recursos de TI que existem na corporação manipulam as informações de forma concisa e coerente e atendem aos objetivos previamente defi nidos para estes sistemas.

O auditor deve procurar fazer com que suas competências não somente sejam ditadas por normas, mas decorram de foco no cliente e no mercado.


61


Unidade 2

Quais são os serviços prestados pelo auditor?

Os principais serviços prestados por auditores são:

assurance;

consultoria gerencial;

planejamento;

certifi cação de normas.

Assim, os serviços de assurance são as traduções de informações provindas dos recursos encontrados no objeto auditado, melhorando o contexto e a qualidade para que a camada executiva possa tomar suas decisões.

Os serviços de consultoria gerencial abrangem as recomendações sobre como utilizar os sistemas de informação do cliente de uma forma mais proveitosa e que atenda aos objetivos de negócio da empresa auditada.

Os serviços de certifi cação de normas são aqueles em que o auditor irá prover um check-list apontando conformidades e não-conformidades segundo determinada norma e irá emitir uma parecer sobre a emissão ou não para uma empresa daquele certifi cado. (CARUSO, 1999)

Com esta seção, você conheceu um pouco mais sobre a história desta profi ssão e a interação do auditor com os recursos informatizados, que será melhor apresentado nas próximas unidades. Continue seu estudo e conheça quais são as responsabilidades de um auditor.


62


Seção 3 – Quais são as responsabilidades do auditor?

O auditor é, na maioria das vezes, visto como um detetive justiceiro, que se insere no âmago da organização para

apontar erros, defeitos, problemas, sem a contrapartida de contribuir para uma solução. Isto torna complicado o trabalho do auditor, pois sua presença pode incomodar os administradores da informação da empresa.

Um auditor pode incorrer em responsabilidade legal ao prestar qualquer serviço profi ssional. Se você analisar o passado desta profi ssão, o auditor tem tido um percentual extremamente baixo de acusações de falhas ou fraudes em seu serviço, em relação à quantidade de auditorias realizadas.

Apesar de serem raros, os erros em serviços de auditoria acontecem, e quando ocorrem, tem conseqüências grandes. E essa falha tem o seu respectivo lado jurídico.

Um exemplo disto é que um erro de pouco menos de um grau na programação de um vôo de longa distância, apesar de raramente acontecer, suas conseqüências são muito grandes, como a falta de combustível para o pouso do avião com segurança.

Quais são as responsabilidades do auditor em relação aos seus clientes?

Um auditor tem uma relação contratual direta com seus clientes. Quando concorda em prestar serviços, algumas coisas devem ser lembradas pela empresa contratante para que o processo de auditoria, já aprovado pela camada executiva, siga de acordo com os objetivos esperados.

Auditor: vilão incompreendido ou recurso indispensável para as corporações.


63


Unidade 2

Quais cuidados tomar durante o processo de fechamento de contrato?

Assim, alguns cuidados são importantes no processo de fechamento do contrato:

Antes da assinatura do contrato, uma proposta comercial deve ser apresentada à empresa contratante, a fi m de se conhecer o escopo de trabalho, ou seja, todas as responsabilidades da empresa contratada e da contratante. Isto é favorável para que, no fi nal dos serviços, possa-se fazer um processo de Quality Assurance da auditoria em si, isto é, uma medição do que foi proposto e do que foi realizado.

A empresa que contratar os serviços de auditoria de terceiros deve ter o cuidado de escolher a empresa contratada seguindo algumas características como: tempo que a empresa está no mercado, se a empresa possui um plano de atualização permanente dos auditores, se a empresa não possui muitas queixas ou processos de clientes, verifi car a carteira de clientes da empresa, entre outras características.

Na hora da assinatura do contrato, é importante observar a parte sobre o sigilo de contrato, que é imprescindível para um contrato de serviços de auditoria. Se a empresa contratada não for de boa índole, pode acontecer de o auditor repassar informações para concorrentes, já que ele também presta serviço para outras empresas.

Verifi car se a norma ou padrão adotado pela empresa contratada tem grande aceitação no mercado; verifi car se a mesma está atualizada quanto às últimas mudanças do mundo contábil, fi nanceiro ou tecnológico.


64


Que situações o auditor pode ser responsabilizado por quebra de contrato?

Há três situações típicas onde o auditor pode ser responsabilizado por quebra de contrato, a considerar:

na emissão de um parecer-padrão de auditoria sem ter aplicado as normas de auditoria geralmente aceitas;

na entrega do relatório fora do prazo estipulado;

na violação da relação confi dencial acordada no contrato.

É importante ressaltar que na quebra de um contrato pelas situações anteriormente citadas ou outras, o queixoso geralmente busca uma ou mais das seguintes alternativas: prestação dos serviços pelo réu; indenização monetária por prejuízos ocorridos durante a quebra de contrato; ou uma indenização por prejuízos indiretos causados pela não realização dos serviços contratados.

1136 Tenants’Corp versus Max Rothenberg & Co. (1971)Responsabilidade por negligência

O queixoso, uma corporação que possui um conjunto de apartamentos, acionou o réu, uma fi rma de auditores contábeis, pleiteando indenização porque réu não descobriu um desfalque de quantia superior a US$ 110.000,00 (cento e dez mil dólares), que Riker, o administrador do queixoso, tinha realizado. Riker tinha contratado Rothenberg verbalmente por honorários anuais de US$ 600,00 (Seiscentos dólares).

O queixoso argumentou que Rothenberg tinha sido contratado para realizar todos os serviços de contabilidade e auditoria. O réu, por sua vez, rebateu que tinha sido contratado para realizar apenas serviços de escrituração e preparação das demonstrações contábeis e da declaração de imposto de renda. Como evidência de seus argumentos, o queixoso mostrou que contabilizou os honorários do réu como despesa de auditoria, e o réu mostrou que, em todas folhas das demonstrações, tinha registrado que elas não tinham sido auditadas.


65


Unidade 2

Além disso, em uma carta de encaminhamento das demonstrações contábeis, o contabilista afi rmou que as demonstrações tinham sido preparadas com base nos livros e registros da empresa e não tinham sido objeto de verifi cação independente.

O tribunal decidiu que acusado tinha sido contratado para realizar uma auditoria porque Rothenberg admitiu que havia realizado alguns procedimentos, como exame de extratos bancários, faturas e contas. Na realidade, os papéis de trabalho do auditor continham um mapa intitulado “”Faturas não encontradas”, que mostrava que não havia comprovantes para pagamentos da ordem de US$ 40.000,00(quarenta mil dólares). O contabilista não informou ao queixoso sobre a falta desses comprovantes e não se empenhou em encontrá-los. O tribunal decidiu que o auditor contábil foi negligente e determinou que ele pagasse indenizações que totalizaram US$ 237.000 (duzentos e trinta e sete mil dólares) afi rmando que:

Independente de o Auditor contábil ter sido contratado para realizar uma auditoria ou simplesmente preparar demonstrações contábeis, ele tinha o dever de informar o cliente qualquer conduta errada ou suspeita de seus empregados, da qual chegasse a ter conhecimento.

Papéis de trabalho do réu indicavam que ele tinha realizado alguns procedimentos de auditoria contábil.

Os registros mostravam que o réu tinha sido contratado para realizar uma auditoria dos livros e registros do cliente e que os procedimentos utilizados pelo réu tinham sido “incompletos, inadequados e realizados de forma não apropriada”.

1136 Tenants’Corp vs Max Rothenberg & Co. (1971)

(36 A2d 30 NY2d 804), 319 NYS2d 1007 (1971).


66


Por que é importante documentar por escrito a execução dos trabalhos?

Para obter tal resposta, acompanhe a seguir, a descrição de um caso interessante. Ele fi cou conhecido como o Caso 1136 Tenants e é utilizado, freqüentemente, para demonstrar a importância do processo de execução dos trabalhos ser documentado por escrito.

A existência de um contrato por escrito foi boa, porém não foi a única questão que o caso levantou. A questão crítica aqui é que o auditor contábil não informou ao cliente que um empregado seu estava cometendo atos errados, independente do tipo de serviço que estava sendo prestado.

Apesar de antigo, esse caso acontece muito em nosso país: contratos são assinados e muitas informações são acertadas verbalmente. Por isto, muita atenção!

Até aqui, você estudou sobre as responsabilidades do auditor no que diz respeito aos procedimentos a serem adotados com os clientes e, com isso, a importância do contrato de trabalho.

Veja, a seguir então, quais são as responsabilidades quando o trabalho é feito sem a existência de um contrato, ou seja, com terceiros.

Um terceiro pode ser defi nido como um indivíduo que não tem relação contratual com as partes de um contrato.

De acordo com a lei de perdas e danos, o auditor tem responsabilidade para com todos os terceiros, por negligência grave e fraude. Por negligência normal, contudo, sua responsabilidade para com as duas classes de terceiros tem sido diferente.


67


Unidade 2

O conceito de responsabilidade evoluiu signifi cativamente, passando a abranger proteção ao consumidor contra atos errados, tanto para fabricantes como para os prestadores de serviços.

O tamanho das empresas, de uma maneira geral, aumentou, para suportar novos níveis de responsabilidade perante o cliente. Pode-se dizer que hoje em dia as empresas, tecnicamente falando, além de procurarem um bom profi ssional para prestar serviços, procuram também àquelas empresas em que possam confi ar. Afi nal, o auditor de sistemas de informação irá lidar com dados e informações que são, em sua grande maioria, sigilosos.

Seção 4 – Como ocorre o planejamento da auditoria?

A atividade de auditoria pode ser dividida em três fases: planejamento, execução (supervisão) e relatório.

O que ocorre na fase de planejamento?

Uma fase vital para qualquer contrato de auditoria é o seu planejamento. Ele desempenha o mesmo papel que em outras áreas, na vida pessoal, no desenvolvimento de um novo produto, entre outros. Dele resulta um arranjo ordenado dos passos necessários à condução de determinado objetivo. Tudo que é feito de forma organizada está fadado ao sucesso.

Planejamento da auditoria envolve vários passos importantes. Obtenção de conhecimento do negócio e da organização representa a etapa crítica neste processo, pois estabelece a base para a realização de muitos outros procedimentos de auditoria. Ao planejar o seu trabalho, o auditor toma importantes decisões sobre a relevância e risco de auditoria. Um produto importante do planejamento envolve a tomada de decisões preliminares sobre a estratégia a ser seguida.


68


Por exemplo, num parecer técnico de um auditor de sistemas de informação, uma constatação de que determinado sistema não é de missão crítica infl uencia e muito na decisão do auditor de recomendar alguma mudança. Isso na relação com a conformidade ou não-conformidade, mas com trabalho próativo do auditor em dizer que, apesar da não-conformidade, esta vulnerabilidade não causará muitos danos, pois o sistema não é de missão crítica.

Um aspecto muito importante na obtenção das informações relacionadas com o negócio do cliente é o ciclo de vida das informações. É baseado nestes fl uxos que se avalia a segurança envolvida.

Sendo mais específi co, deve ser feito um inventário do ambiente computacional do cliente, com informações sobre hardware, sistemas operacionais, arquitetura computacional, metodologia usada no desenvolvimento de software, quais são ou não os sistemas críticos.

Com estas informações, o auditor irá traçar o seu plano de auditoria e defi nir o escopo do serviço.

Um dos motivos do auditor defi nir o escopo após o inventário é a necessidade de se saber dos recursos técnicos a serem alocados. No caso de auditoria de software, por exemplo, é necessário um auditor que conheça as normas e procedimentos para a fabricação de alguma aplicação, já que elas diferem das que aplicam diretrizes e procedimentos, para garantir a alta disponibilidade de um ambiente computacional.

Saber previamente a complexidade do ambiente de tecnologia que será auditado é uma grande vantagem, pois a empresa terá mais tempo na hora de procurar algum recurso humano em especial.

Estes conceitos já foram explorados na unidade anterior.


69


Unidade 2

Lembre-se sempre que as informações que são anexadas ao processo de auditoria devem ser coletadas em primeira mão, ou seja, com a certeza de que o dado coletado é de fonte segura. Considerar o pessoal que administra o ambiente pode ser uma boa estratégia e é lógico, que como prestador de serviço, uma certa política e jogo de cintura são importantes nestes casos.

Tendo em mãos as informações pertinentes ao ambiente computacional do cliente, a equipe de auditores pode, neste momento, defi nir o campo, o âmbito e as sub áreas a serem auditadas. A defi nição do escopo, ou seja, o campo, o âmbito e as sub áreas é um passo importante no planejamento da auditoria porque é desta forma que o cliente fi ca sabendo até aonde vai o trabalho realizado pelo auditor, ou seja, evita falsas expectativas, até no que diz respeito ao prazo. Existe uma tendência muito forte da classe executiva em pensar que auditoria é uma simples análise superfi cial e leva-se pouco tempo para executá-la. Este aspecto deve ser discutido ainda na fase de contratação dos serviços para evitar problemas futuros.

Uma das situações mais corriqueiras durante o planejamento é sem dúvida a que diz respeito ao conhecimento técnico necessário para a realização do serviço. Isto implicará difi culdades para formar a equipe de auditoria e causará problemas como: alocar um recurso muito especializado para uma auditoria simples ou perceber, em cima da hora, que se precisa de um suporte muito especializado e, este recurso não estar disponível no momento desejado.

Tais como os recursos humanos, as previsões fi nanceiras devem estar na lista das verifi cações, pois podem ocorrer situações como uma viagem às redes remotas do cliente, envolvendo custos com hotel, despesas de alimentação e deslocamento. Outro caso é a contratação de um recurso técnico para compor a equipe de auditoria, se este recurso não existir no quadro atual de funcionários da empresa. (DIAS, 2000).

Tão importante como a equipe de auditoria e suas previsões fi nanceiras, são os recursos técnicos, ou seja, as ferramentas de trabalho do auditor. São elas: manuais de sistemas operacionais, laptops, computadores, software especialista em auditoria, entre outros.


70


Este planejamento envolve o desenvolvimento de uma estratégia global para a condução da auditoria, dada a sua extensão. O auditor deve planejá-la considerando a ética profi ssional sobre questões como: integridade da administração, erros e irregularidades e atos ilegais. O volume de planejamento exigido em um contrato varia de acordo com o tamanho e complexidade do cliente, se ele já é conhecido do auditor e em experiências passadas que tenha tido com ele. Como se esperaria, o planejamento de uma auditoria inicial requer esforço consideravelmente maior que o de uma auditoria recorrente.

Um dos principais motivos dessa preocupação, a princípio aparentemente exagerada, é a de que na maioria das organizações dedicadas à auditoria, controle e segurança, os auditores de sistemas são recursos humanos escassos e, com isso, o seu tempo deve ser administrado com muito critério. Sua presença para execução de alguma tarefa só é defi nida nos casos em que sua atuação seja realmente necessária.

O que ocorre após o planejamento?

Após a etapa do planejamento, vem a supervisão. Esta envolve o direcionamento dos trabalhos dos assistentes para atingir os objetivos de auditoria e verifi car se os objetivos foram de fato atingidos.

A extensão da supervisão necessária em um contrato depende da qualifi cação das pessoas que realizam os trabalhos, entre outros fatores. Com isto, ao planejar uma auditoria e sua supervisão, também deve ser previsto quantos membros da equipe são inexperientes e quantos são experientes.


71


Unidade 2

Seção 5 – Como ocorre a conclusão da auditoria?

Na fase de conclusão da auditoria, o auditor freqüentemente irá trabalhar sob rígidas condições de prazo, pois os clientes querem obter o parecer o mais cedo possível. Nada mais justo, porém é importante lembrar que não se pode sucumbir às pressões decorrentes do trabalho sob pena de emitir um relatório simples demais, de pouca qualidade ou até mesmo com poucos detalhes.

Quais são as responsabilidades do auditor na conclusão dos trabalhos?

As responsabilidades do auditor na conclusão dos trabalhos podem ser divididas em três categorias: conclusão do trabalho de campo; avaliação das descobertas; comunicação com o cliente. A seguir acompanhe em detalhes, as características de cada responsabilidade referente às fases do processo de conclusão da auditoria.

a) Conclusão do trabalho de campo

Na conclusão do trabalho de campo, o auditor deve ter certeza de que já fez todas as entrevistas necessárias, coletou todos os dados necessários para analisar as evidências e tecer um parecer correto, que auxilie o cliente a melhorar o seu ambiente de TI aumentando a sua disponibilidade, o seu caráter confi dencial e a sua integridade de dados.

Uma boa estratégia é revisar as entrevistas com as pessoas envolvidas na administração da informática, relendo-as e confi rmando os dados com as pessoas envolvidas para garantir a integridade de tais informações. Também e importante revisar atas de possíveis reuniões passadas, a fi m de se fazer a mesma confi rmação.

A conclusão da auditoria deve conter as difi culdades para a obtenção de informações, que possam ter atrapalhado o trabalho.


72


Este é um fator importante, pois um parecer pouco detalhado deve ter como justifi cativa a escassez de informações ou difi culdades em obtê-las.

Outro ponto a ser lembrado é a revisão dos históricos de eventos, os “logs”, para garantir a integridade dos mesmos, analisar a procura de falhas nas seqüências de datas, que demonstra algum tipo de fraude.

b) Avaliação das descobertas

Ao avaliar o que foi verifi cado na auditoria, o auditor tem por objetivos determinar o tipo de parecer a ser emitido e determinar se a auditoria seguiu as normas geralmente aceitas.

Para formar opinião sobre as demonstrações contábeis, o auditor deve assimilar todas as evidências que constatou durante a auditoria, da mesma forma que o auditor de sistemas informatizados deve reunir todo tipo de informação coletada do ambiente de TI do cliente. O primeiro passo é identifi car as distorções que foram encontradas e não foram corrigidas pelo administrador de TI Em casos de pouca severidade, o auditor pode ressaltar o fato de que a alteração pode ser feita mais tarde. Porém, em casos graves, ele também pode pedir que a alteração seja feita imediatamente.

Como exemplo temos: a correção de algum sistema operacional que infl uencie diretamente na vulnerabilidade do sistema, deve ser feita o quanto antes, sob pena de perda de disponibilidade da máquina.

Durante a realização de uma auditoria, vários testes são realizados. Muitas vezes, estes testes são executados por auditores cuja participação na auditoria pode limitar-se a poucas áreas. À medida em que os testes correspondentes em cada área (por exemplo: redes, sistemas operacionais, softwares) vão sendo concluídos, um auditor sênior vai resumindo o que neles foi constatado.


73


Unidade 2

Na conclusão da auditoria, é necessário que todas as constatações sejam resumidas e avaliadas. Aqui também é constatada a não-conformidade com a norma aceita pelo cliente como sendo padrão de segurança de informação.

Antes da decisão fi nal sobre a opinião a ser emitida, geralmente o cliente é chamado para uma reunião, na qual a empresa responsável pela auditoria relata as descobertas, inicialmente de forma oral, e justifi ca, conceitualmente, eventuais ajustes e mudanças que esteja recomendando. (SEGURANÇA, 2000)

A administração do ambiente de informática, por sua vez, pode tentar defender a sua posição, porém isto não deve interferir na avaliação de conformidade da norma de segurança, caso contrário, incorrerá no erro de ser complacente com muitas inconformidades e acabará sem ajudar o cliente como proposto. Nesta situação é imprescindível que haja uma formalização para não haver dúvidas sobre o caso. Isto gera segurança para todos os envolvidos, tanto no lado do cliente quanto no lado do auditor.

No fi nal, geralmente se chega a um acordo a respeito das alterações que devem ser feitas e o auditor pode então ter que emitir um parecer explicando a situação. A comunicação da opinião do auditor é feita por meio de seu parecer.

c) Comunicação com o cliente

Durante uma auditoria, o auditor pode vir a tomar conhecimento de questões relacionadas com controles internos, que sejam de interesse do comitê corporativo de segurança ou de outros envolvidos dentro da corporação - que tenham autoridade e responsabilidade equivalente e que normalmente é a classe executiva da empresa.


74


Figura 2.1 – Diagrama do modelo de implementação e gestão de segurançaFonte: Elaborado pelo autor

Na fi gura 2.1 você pode perceber a posição do comitê corporativo de segurança dentro de um diagrama. Nela, você pode visualizar o ambiente de segurança de informação de uma organização.

O comitê é um grupo formado por vários gerentes de diversas áreas da empresa e que tem infl uência e responsabilidade sobre os ativos de informação da corporação.


75


Unidade 2

A comunicação em qualquer período da auditoria, seja durante ou na conclusão dos trabalhos, deve ser feita por um canal escolhido pelas partes envolvidas, ou seja, tanto pelo cliente, quanto pela empresa de auditoria. Tal prática evita distorções de fatos e atos, pois deve ser feita formalmente por escrito, com cópia para todas as pessoas envolvidas no trabalho dos dois lados e com cópia para o comitê de segurança da empresa, se for o caso.

No caso de apresentar o parecer de maneira formal, a fi m de encerrar os trabalhos de auditorias, é interessante marcar com antecedência uma reunião para que todas as pessoas envolvidas estejam presentes, porque é nesta reunião que será confi rmada a auditoria.

As normas de auditorias geralmente aceitas não exigem que vulnerabilidades relevantes sejam identifi cadas separadamente. Porém é muito interessante, para um maior entendimento e até programação de investimentos por parte do cliente, que as vulnerabilidades sejam divididas em níveis de severidade, acusando suas conseqüências caso não sejam remediadas e a medida do risco das mesmas, para se prever em que momento esta fraqueza pode ser explorada por uma ameaça.

É importante ter cuidado na hora de comunicar toda e qualquer difi culdade em obter informações, ou barreiras encontradas para se chegar ao relatório de conclusão da auditoria.

Normalmente, o parecer de auditoria aponta alguma falha humana, ou seja, você estará apontando alguém e para que isto não vire motivo de uma guerra, é necessário ter cautela na forma de passar estas informações para o cliente.

Aqui é bom lembrar que, em muitos casos, o auditor de sistemas de informação é visto como “dedo-duro” e é bom acostumar-se com isto e saber agir de acordo com esta fama.

À medida que a auditoria progride, o auditor deve registrar em seus papéis de trabalho questões que pretenda incluir no seu relatório fi nal para posterior entrega à classe executiva da empresa.


76


Resumindo: O relatório entregue à administração da empresa deve ser cuidadosamente elaborado, bem organizado e escrito em tom de “críticas construtivas”. A entrega rápida deste relatório pode ter uma reação imediata e positiva.

Uma vez que você fi nalizou a leitura da unidade 2, para praticar seus novos conhecimentos, realize as atividades propostas a seguir.


Leia com atenção os enunciados e realize as atividades.

1) A profi ssão de auditor mudou muito nos últimos anos, porém eles têm uma tendência que já existe a algum tempo, qual é?


77


Unidade 2

2) Quando falamos das responsabilidades da profi ssão de auditor, quais são elas perante os clientes?


78


3) Cite um dos principais motivos de se dar importância ao planejamento da auditoria?


79


Unidade 2

Realize também as atividades propostas no EVA. Interaja com a sua comunidade de aprendizagem e amplie seu ponto de vista.

Síntese

Nesta unidade, você estudou que uma auditoria tradicional envolve a revisão do histórico fi nanceiro da empresa com o intuito de validar a exatidão e a integridade das declarações fi nanceiras. O controle interno representa uma metodologia primária usada pela classe executiva da organização para assegurar a proteção dos ativos e a disponibilidade da informação.

No advento dos sistemas de informação, o computador já demonstrou impacto em muitas áreas distintas dos negócios e de várias profi ssões. Com esta nova tecnologia, os processos de revisões destes controles ou o processo de auditoria mudaram e os auditores atualmente, também devem saber a respeito da tecnologia do processamento eletrônico de dados.

Como você pôde perceber, vários desafi os devem ser vencidos na profi ssão de auditor, pois ela envolve muitas responsabilidades além de muita organização.

Muitos sistemas não foram projetados para serem seguros. A segurança que pode ser alcançada por meios técnicos é limitada e convém ser apoiada por gestão e procedimentos apropriados.

Na próxima unidade você irá estudar maneiras, métodos e procedimentos que podem ser utilizados para suprir a defi ciência tecnológica encontrada nos sistemas de segurança. Até lá!


Saiba mais

Para aprofundar as questões abordadas nesta unidade, realize pesquisa nos seguintes livros:

PINKERTON CONSULTING and INVESTIGATIONS. Top Security Th reatsand Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies, Pinkerton Service Corporation, 2002.

PURPURA, Philiph. Security and Loss Prevention : An Introduction. Boston: Butterworth – Heinemann, 3ª edição, 1998.

SENNEWALD, Charles A. Eff ective Security Management. Boston: Butterworth – Heinemann. 3. edição, 1998.

ROPER, Carl A. Risk Management for Security Professionals.Boston: Butterworth – Heinemann, 1999.


UNIDADE 3

Política de segurança de informações


Ao fi nal desta unidade você terá subsídios para:

conhecer o impacto de ataques externos ao ambiente corporativo da tecnologia da informação.

compreender a importância do inventário de recursos para uma entidade.

conhecer e diferenciar os tipos de controles de acesso lógico. conhecer e diferenciar os tipos de controles de acesso físico. conhecer e diferenciar os tipos de controles ambientais.

Seções de estudo


Seção 1 Qual é o papel da política de segurança da informação?

Seção 2 Como realizar a análise de riscos?

Seção 3 Inventário e recursos

Seção 4 Como efetuar os controles de acesso lógico?

Seção 5 Como executar os controles de acesso físico?

Seção 6 Como realizar os controles ambientais?


3


82



Na vida das pessoas dentro das organizações, tudo gira em torno de decisões políticas, não importando quem as tome e que nome elas tenham. Qualquer organização sempre estabelece diretrizes políticas para serem seguidas pelas pessoas que fazem parte direta ou indiretamente da corporação. Com o propósito de fornecer orientação e apoio às ações de gestão de segurança, a política de segurança da informação tem um papel fundamental e, guardadas as devidas proporções, tem importância similar à constituição federal para um país.

Após o entendimento inicial da relevância deste conteúdo, siga em frente! Bom estudo!

Seção 1 – Qual é o papel da política de segurança da informação?

Tendo como propósito fornecer orientação e apoio às ações de gestão de segurança, a política de segurança da informação assume uma grande abrangência e, por conta disto, é subdividida em três blocos: procedimentos/instruções, diretrizes e normas, que são destinados, respectivamente, às camadas operacional, tática e estratégica.

a) Procedimentos/instruções: estabelecem padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações dentro do nível de segurança estabelecido sob medida pela e para a empresa. Portanto, a política das empresas deve ser sempre personalizada.

b) Diretrizes: por si só tem papel estratégico, pois precisam expressar a importância que a empresa dá à informação, além de comunicar aos funcionários seus valores e seu comprometimento em incrementar a segurança a sua cultura organizacional.

c) Normas: é notória a necessidade do envolvimento da alta direção, que terá a responsabilidade de fazer refl etir o caráter ofi cial da política da empresa através de comunicação e compartilhamento com seus funcionários.


83


Unidade 3

Este instrumento deve expressar as preocupações dos executivos e defi nir as linhas de ação que orientarão as atividades táticas e operacionais.

Responsabilidades dos proprietários e custodiantes das informações, métricas, índices e indicadores do nível de segurança, controles de conformidade legal, requisitos de educação e capacitação de usuários, mecanismos de controle de acesso físico e lógico, responsabilizações, auditoria do uso de recursos, registros de incidentes e gestão da continuidade do negócio são algumas das dimensões a serem tratadas pela política de segurança.

Critérios normatizados para admissão e demissão de funcionários; criação e manutenção de senhas; descarte de informação em mídia magnética; desenvolvimento e manutenção de sistemas; uso da internet; acesso remoto; uso de notebook; contratação de serviços de terceirizados; e classifi cações da informação são bons exemplos de normas de uma típica política de segurança.

Em especial, a norma de classifi cação da informação é fator crítico de sucesso, pois descreve os critérios necessários para sinalizar a importância e o valor das informações, premissa importante para a elaboração de praticamente todas as demais normas. Não há regra preconcebida para estabelecer esta classifi cação; mas é preciso entender o perfi l do negócio e as características das informações que alimentam os processos e circulam no ambiente corporativo para que os critérios sejam personalizados. Esta relação entre a classifi cação e o tratamento está ilustrada na fi gura 3.1.


84


Figura 3.1 – Relação entre a classifi cação e o tratamento da informação.Fonte: Sêmola (2003).

Por seu perfi l operacional, procedimentos e instruções deverão estar presentes na política da empresa em maior quantidade. É necessário descrever meticulosamente cada ação e atividade associada a cada situação distinta de uso das informações.

Por exemplo: enquanto a diretriz orienta estrategicamente para a necessidade de salvaguardar as informações classifi cadas como confi denciais e a norma defi ne que estas deverão ser criptografadas em tempo e enviadas por e-mail, o procedimento e a instrução específi ca para esta ação têm de descrever os passos necessários para executar a criptografi a e enviar o e-mail. A natureza detalhista deste componente da política pressupõe a necessidade de manutenção ainda mais freqüente.

Diante disso, você já pode perceber o quão complexo é desenvolver e, principalmente, manter atualizada a política de segurança da informação com todos os seus componentes.


85


Unidade 3

Esta percepção torna-se ainda mais latente ao considerarmos o dinamismo do parque tecnológico de uma empresa e, ainda, as mudanças previsíveis e imprevisíveis que o negócio poderá sofrer. Desta forma, o importante é começar e formar um grupo de trabalho com representantes das áreas e departamentos mais representativos, integrando visões, percepções e necessidades múltiplas que tenderão a convergir e gerar os instrumentos da política. A conformidade com requisitos legais, envolvendo obrigações contratuais, direitos de propriedade intelectual, direitos autorais de software e todas as possíveis regulamentações que incidam no negócio da empresa, deve ser respeitada e ser a linha de conduta da construção da política de segurança.

Qual é o objetivo da política de segurança?

A política de segurança tem como objetivo prover à direção da organização orientação e apoio para a segurança da informação, preservando:

Caráter confi dencial – Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

Integridade – salvaguardar a exatidão e completeza da informação e dos métodos de processamento.

Disponibilidade – Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Como efetivar o documento da política da segurança da informação?

É conveniente que este documento expresse as preocupações da direção e estabeleça as linhas-mestras para a gestão de segurança da informação.

É aconselhável, segundo a ABNT (NBR ISO/IEC 17799:1), que o documento da política seja aprovado pela classe executiva da empresa, publicado e comunicado de forma adequada para todos os funcionários.


86


No mínimo, é interessante que as seguintes orientações sejam incluídas:

Defi nição de segurança da informação – resumo das metas e escopo, e a importância da segurança como um mecanismo, habilitam o compartilhamento da informação;

Declaração do comprometimento – feita pela alta direção, apoiando as metas e princípios da segurança da informação;

Explanação – breve explanação das políticas, princípio, padrões e requisitos de conformidade com a importância específi ca para a organização.

Por exemplo:

Conformidade com a legislação e cláusulas contratuais.Requisitos na educação de segurança.Prevenção e detecção de vírus e softwares maliciosos.Gestão de continuidade do negócio.Conseqüências das violações na política de segurança da informação.Defi nição das responsabilidades – defi nição em linhas gerais e especifi cas à gestão da segurança da informação, incluindo o registro dos incidentes de segurança.Documentação – referências à documentações que possam apoiar a política da empresa. Por exemplo, políticas e procedimentos de segurança com detalhes dos sistemas de informação específi cos ou regras de segurança a serem seguidas.

Em qualquer atividade organizacional, a primeira tarefa a ser realizada é a defi nição do que se deseja, fi xando-se os objetivos a serem atendidos, defi nindo-se os meios e recursos necessários, estabelecendo-se as etapas a cumprir e os prazos das mesmas.


87


Unidade 3

Somente após uma análise do que se que deseja é que se inicia a execução do plano de ação para a implantação da política de segurança. Este plano não é fi xo. Ele deve ser maleável o sufi ciente para permitir que algumas modifi cações inesperadas ocorram.

Que diretrizes se inserem na política de segurança?

Uma típica política de segurança ou uma política de uso aceitável de recursos computacionais deve abranger diretrizes claras a respeito, pelo menos, dos seguintes aspectos:

Aspecto Características

Objetivo da segurança Deve explicar de forma rápida e sucinta a fi nalidade da política de segurança

Alvo Deve defi nir em quais estruturas organizacionais elas serão aplicadas.

Propriedades dos recursos Devem explicar e defi nir as regras que irão contemplar a política no que diz respeito à propriedade de ativos de informações.

ResponsabilidadesDevem defi nir de forma detalhada qual o tipo de responsabilidades envolvidas com a manipulação de ativos de informações, a quem devem ser atribuídas e os mecanismos de transferência.

Requisitos de acesso Conterão a indicação de quais os requisitos a serem atendidos para o acesso a ativos de informações.

Responsabilização Indicarão as medidas a serem tomadas nos casos de infringência às normas.

Generalidades Aqui colocam-se todos os itens e aspectos que não cabem nas demais.

Para fi car mais claro, acompanhe o exemplo de um Modelo de Política de segurança de acesso ao Datacenter da Xpto Corp. por parte de empresas terceirizadas

Objetivo - Assegurar um método seguro de conectividade entre Xpto Corp. e as empresas terceirizadas, bem como prover diretrizes para o uso de recursos computacionais e de rede associados com a conexão feita por essas empresas.


88


Escopo - Esta política se aplica a todas as empresas terceirizadas que acessam o CPD da Xpto Corp. , fi sicamente, ou logicamente, de forma a controlar esse acesso e auditar responsabilidades quando necessário.

Descrição - Convém que seja controlado o acesso de prestadores de serviço aos recursos de processamento da organização.

Onde existir uma necessidade para este acesso de prestadores de serviço, convém que seja feita uma avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários. Convém que os controles sejam acordados e defi nidos através de contrato assinado com os prestadores de serviço.

O acesso de prestadores de serviço pode também envolver outros participantes. Convém que os contratos liberando o acesso de prestadores de serviço incluam a permissão para designação de outros participantes qualifi cados, assim como as condições de seus acessos.

Esta norma pode ser utilizada como base para tais contratos e levada em consideração na terceirização do processamento da informação.

Tipos de Acesso - O tipo de acesso dado a prestadores de serviço é de especial importância. Por exemplo, os riscos no acesso através de uma conexão de rede são diferentes dos riscos resultantes do acesso físico. Convém que os seguintes tipos de acesso sejam considerados:

a)Acesso físico: por exemplo, a escritórios, sala de computadores, gabinetes de cabeamento;

b)Acesso lógico: por exemplo, aos banco de dados da organização, sistemas de informação.

Razões para o acesso - Acessos a prestadores de serviços podem ser concedidos por diversas razões. Por exemplo, existem prestadores de serviços que fornecem serviços para uma organização e não estão localizados no mesmo ambiente, mas necessitam de acessos físicos e lógicos, tais como:

•Equipes de suporte de hardware e software, que necessitam ter acesso em nível de sistema ou acesso às funcionalidades de baixo nível das aplicações;


89


Unidade 3

•Parceiros comerciais ou Joint ventures, que podem trocar informações, acessar sistemas de informação ou compartilhar base de dados.

As informações podem ser colocadas em risco pelo acesso de prestadores de serviços com uma administração inadequada de segurança. Existindo a necessidade de negócios de conexão com prestadores de serviços, convém que uma avaliação de riscos seja feita a fi m de identifi car quaisquer necessidades de implementação de controles de segurança. Convém que sejam levados em conta o tipo de acesso requerido, o valor da informação, os controles empregados por prestadores de serviços e as implicações deste acesso à segurança da informação da organização.

Contratados para serviços internos - Prestadores de serviço que, por contrato, devem permanecer dentro da organização por um período de tempo também podem aumentar a fragilidade na segurança.

Convém que o acesso de prestadores de serviços à informação e aos recursos de processamento da informação não seja permitido, até que os controles apropriados sejam implementados e um contrato defi nindo os termos para a conexão ou acesso seja assinado.

Generalidades - Todo acesso que seja necessário ao CPD da Xpto Corp e não está contemplado neste documento deve ser analisado pelo Departamento de T.I. antes de ser liberado, se for o caso.

Todas as empresas que, por ventura precisarem acessar de qualquer forma o CPD da Xpto, mesmo que por uma única vez, ser faz necessária a assinatura do Contrato de sigilo entre empresas, como segue o anexo 3 desta política.

A fi gura 3.2 mostra um diagrama que apresenta o esquema do desafi o que é a implantação de uma política de segurança de informações, com a informação no centro do diagrama, e, ao redor, todos os aspectos envolvidos. Observe!


90


Figura 3.2 – Diagrama que representa uma política de segurança de informação agindo sobre o principal ativo de uma empresa, a informação.

Fonte: Sêmola (2003)

Você viu que um círculo central está dividido em três partes, representando os três principais aspectos envolvidos na segurança de informações: a disponibilidade, a integridade e o caráter confi dencial. Numa camada mais externa, encontramos os aspectos que estão relacionados com os citados anteriormente, que são a autenticidade e a legalidade.

Na próxima camada, encontra-se o ciclo de vida da informação, que contempla o manuseio, o armazenamento, o transporte e o descarte. Os processos e ativos, que são elementos que manipulam direta ou indiretamente uma informação, estão na camada superior. Todo este aparato é voltado estrategicamente para atender à demanda de negócios da organização.


91


Unidade 3

Como em todo sistema de informações existem vulnerabilidades, podemos citar três grandes áreas que dividem estes tipos: as físicas, as humanas e as tecnológicas.

Na penúltima camada estão ilustradas as medidas de segurança. A solução que uma organização deve adotar para diminuir a possibilidade de eventuais ocorrências, pode ter um princípio de cunho preventivo, visando manter a segurança já implementada por meios de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. É uma atuação nas seguintes áreas: humanas, tecnológicas e físicas.

Essa estrutura montada deve conter agentes ou condições que causam incidentes que comprometam as informações e seus ativos por meio da exploração de vulnerabilidades, que são as ameaças, esboçadas na camada mais externa.

Uma vez que você estudou uma introdução ao estudo da política de segurança de informação, veja a próxima seção.

Seção 2 – Como realizar a análise de riscos?

É bastante interessante que a política de segurança de informações tenha uma pessoa responsável por sua manutenção e análise crítica, e que esteja de acordo com um processo defi nido.

Quando realizar as análises?

Convém que este processo ocorra na decorrência de qualquer mudança que venha a afetar a avaliação de risco original, como, por exemplo, um incidente de segurança signifi cativo, novas vulnerabilidades ou, até mesmo, mudanças organizacionais ou na infra-estrutura técnica.


92


É interessante, também, que sejam agendadas as seguintes análises periódicas:

1. Efetividade da política: demonstrada pelo tipo, volume e impacto dos incidentes de segurança registrados;

2. Custo e impacto dos controles na efi ciência do negócio;

3. Efeitos das mudanças na tecnologia.

A fi nalidade desta análise é obter uma medida da segurança existente em determinado ambiente.

A primeira consideração relacionada com segurança de ativos de informações, como qualquer outra modalidade de segurança, é a relação custo-benefício. Não se gastam recursos em segurança que não tenham retorno à altura, isto é, não se gasta mais dinheiro em proteção do que o valor do ativo a ser protegido.

Outro ponto a ser considerado é que a análise deve contemplar todos os momentos do ciclo de vida da informação:

Qual é o ciclo de vida da informação?

O ciclo de vida da informação pode ser defi nido nas seguintes etapas:

Manuseio - momento em que a informação é criada ou manipulada, seja ao digitar um documento eletrônico, preencher um formulário de colaboração ou ainda, folhear um maço de papéis.

Armazenamento - momento em que a informação gerada ou manipulada é armazenada, seja em um papel post-it ou ainda em mídia eletrônica, como um disquete, CD-ROM ou disco rígido.

Transporte - momento em que a informação é transportada, seja ao mandar uma carta pelo correio, enviar informações via correio eletrônico, falar ao telefone ou, até mesmo, mandar informações via fax.


93


Unidade 3

Descarte - Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico do computador, ou até mesmo ao descartar um CD-ROM usado que apresentou falha na leitura.

Observe que a fi gura 3.3 ilustra o ciclo de vida da informação e destaca que a segurança deve englobar todos os quatro momentos, pois não seria possível alcançar um bom nível de segurança protegendo apenas um ou outro momento da vida da informação. Daí a importância de se avaliar todo o processo.

Em recurso, se o objetivo é dar segurança às informçaões de uma organização, essa segurança deverá abranger todo o ciclo de vida da informação.

Figura 3.3 – Quatro momentos do ciclo de vida da informação.Fonte: Sêmola (2003).


94


Dentro de uma análise de riscos, deve-se ter a noção de dois fatores que infl uenciam na determinação da medida de segurança: o grau de impacto que a ocorrência terá e o nível de exposição causado por este sinistro.

O grau de impacto ocorre quanto cada área ou a empresa inteira sofre as conseqüências da falta de disponibilidade, da integridade ou do caráter confi dencial da informação.

O nível de exposição está relacionado com o grau de risco inerente a cada processo ou produto, ou seja, está diretamente relacionado com a probabilidade de ocorrência de um evento danoso para um determinado ativo.

Nesta análise, também, deve constar uma classifi cação da informação quanto ao sigilo e preservação, para que possa ser planejada uma política de segurança que atenda à demanda crescente de segurança.

Seção 3 – Inventário e recursos

A tarefa mais trabalhosa na implantação de segurança em uma organização é, com certeza, o inventário de usuários e recursos. Empresas com grande preocupação em segurança investem na compra ou no desenvolvimento de ferramentas que auxiliem no inventário de hardware e software. O volume de trabalho envolvido dependerá em grande parte do grau de padronização encontrado na organização e da ordem já existente.

Outro aspecto que infl uirá no trabalho é o grau de dinamismo da organização. Uma empresa com uma estrutura dinâmica terá menos trabalho do que uma organização com baixo grau de dinamismo ao inventariar os seus recursos.

O que se deve levar em conta na hora de realizar um banco de dados de segurança?


95


Unidade 3

Em um banco de dados de segurança, deve-se levar em conta as seguintes premissas básicas:

Dados de usuários – o banco de dados de segurança deve identifi car claramente o usuário, seu código de identifi cação ou chave de acesso, o domínio de usuários a que pertence, o domínio de recursos que ele pode acessar e a área onde está alocado, sua matrícula na organização, ramal de telefone, correio eletrônico da rede interna e as aplicações que está autorizado a acessar.

As funções dos usuários – o banco de dados de segurança deve indicar claramente a função de cada usuário cadastrado. Isto se prende ao fato de se conceder direito de acesso somente em função da necessidade de se executar tarefas que envolvam acesso a determinados recursos.

Por exemplo, a área de produção de um CPD de grande porte ou que cuida dos equipamentos centralizados de uma rede de micros, precisa ter acesso total a ativos de informações, devido à necessidade de processamento destes ativos dos usuários e de garantir a integridade de recursos sobre os quais a mesma tenha custódia. Porém, este acesso deve ser estritamente controlado e, sempre que possível, as tarefas devem ser divididas entre diversas pessoas, de modo que nenhuma delas, isoladamente, acesse mais recursos do que o necessário para a execução de suas tarefas.

Propriedade dos recursos – a administração de segurança de acesso a recursos deve levar em conta o perfi l da propriedade dos recursos. Esta deve fi car bem clara, de modo que não restem dúvidas acerca de quem tem o direito de conceder acesso.


96


Nível de acesso permitido – o banco de dados de segurança também deve indicar de forma clara o nível de acesso que cada usuário pode ter sobre cada recurso para o qual obtenha a permissão de acesso. Isto é importante, para se controlar o acesso dado em função da necessidade de executar operações relacionadas com o recurso acessado. O ideal é que o banco de dados de segurança seja integrado com o sistema de recursos humanos da organização. Desta forma, qualquer mudança feita no RH refl etirá automaticamente no banco de dados de segurança.

Uma vez que você estudou e refl etiu sobre a importância de realizar o inventário de usuários e recursos, na próxima seção verá como se realiza o controle de acesso lógico.

Seção 4 – Como efetuar os controles de acesso lógico?

Os controles de acesso, físicos ou lógicos, têm como objetivo proteger os recursos computacionais (equipamentos, softwares, aplicativos e arquivos de dados) contra perda, danos, modifi cações ou divulgação não-autorizada.

Os sistemas computacionais, bem diferentes de outros tipos de recursos de uma organização, não podem ser facilmente controlados apenas com dispositivos físicos, como cadeado, alarmes, guarda de segurança, etc., principalmente se os computadores estiverem conectados a redes locais ou de maior abrangência.

É preciso controlar o acesso lógico a estes recursos por meio de medidas preventivas e procedimentos adequados a cada tipo de ambiente computacional.


97


Unidade 3

O que é acesso lógico?

O acesso lógico nada mais é do que um processo em que um sujeito ativo deseja acessar um objeto passivo. O sujeito normalmente é um usuário ou um processo e o objeto pode ser um arquivo ou outro recurso como memória ou impressora.

Os controles de acesso lógico são, então, um conjunto de medidas e procedimentos adotados pela organização ou intrínsecos aos softwares utilizados, cujo objetivo é proteger dados, programas e sistemas contra tentativas de acesso não-autorizadas feitas por usuários ou outros programas.

Vale a pena ressaltar que, mesmo que os controles de acesso sejam ultra-sofi sticados seu ponto fraco será sempre o usuário.

O compartilhamento de senhas, o descuido na proteção de informações confi denciais ou a escolha de senhas facilmente descobertas, por exemplo, pode comprometer a segurança de informações.

A conscientização dos usuários é fundamental para que a estratégia de controle de acesso seja efi caz.

O compartilhamento de senhas, o descuido na proteção de informações confi denciais ou a escolha de senhas facilmente descobertas, por exemplo, pode comprometer a segurança de informações.

Devido à variedade e complexidade dos ambientes informatizados hoje em dia, cujo processamento é centralizado ou distribuído em diversas plataformas de hardware e software, a tarefa da equipe de segurança e auditoria não é nada fácil. Nos casos de auditoria, dependendo da complexidade dos controles de acesso lógico implementados pelo sistema operacional ou por outros softwares especializados em segurança, talvez seja necessário suporte adicional de especialistas com o discernimento e experiência prática mais detalhada sobre o ambiente específi co a ser auditado.


98


Como controlar o acesso lógico?

A primeira coisa a fazer quando se trata de controles de acesso, é determinar o que se pretende proteger. A seguir, são apresentados alguns recursos e informações normalmente sujeitas aos controles lógicos:

Recursos e informações Por que controlar?

Aplicativos (Programas fonte objeto)

O acesso não-autorizado ao código fonte dos aplicativos pode ser usado para alterar suas funções e lógica do programa, como por exemplo, em um aplicativo bancário, pode-se zerar os centavos de todas as contas correntes e transferir o total dos centavos para uma determinada conta, benefi ciando ilegalmente este correntista.

Arquivo de dados Base de dados, arquivos ou transações de bancos devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorização adequada, como por exemplo, arquivos contendo confi guração do sistema, dados da folha de pagamento, dados fi nanceiros da empresas, etc.

Utilitários e sistema operacional

O acesso a utilitários, como editores, compiladores, softwares de manutenção, de monitoração e diagnóstico deve ser restrito, já que estas ferramentas podem ser usadas para alterar arquivos de dados, aplicativos e arquivos de confi guração do sistema operacional. Por exemplo: o sistema operacional é sempre um alvo bastante visado, pois a confi guração é o ponto-chave de todo o esquema de segurança. A fragilidade do sistema operacional compromete a segurança de todo o conjunto de aplicativos, utilitários e arquivos.

Arquivos de senha

A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa não-autorizada, ao obter uma userid (identifi cação) e a senha de um usuário privilegiado, pode, intencionalmente, causar danos ao sistema e difi cilmente será barrado por qualquer controle de segurança instalado, já que se faz passar por um usuário autorizado.

Arquivos de log

Os arquivos de log são usados para registrar as ações dos usuários, constituindo-se em ótimas fontes de informação para auditorias futuras e análise de quebras de segurança. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitários, quando foi feito o acesso e que tipo de operações foram efetuadas. Se os arquivos de log não forem devidamente protegidos, um invasor poderá alterar seus registros para encobrir ações por ele executadas, tais como, alteração ou destruição de dados, acesso a aplicativos de alteração da confi guração do sistema operacional para facilitar futuras invasões.


99


Unidade 3

Como visualizar o controle de acesso lógico?

O controle de acesso lógico pode ser visualizado a partir de dois pontos diferentes:

do recurso computacional que se pretende proteger, e,

do usuário a quem se pretende dar certos privilégios e acessos aos recursos.

A proteção aos recursos (arquivos, diretórios, equipamentos, etc.) baseia-se nas necessidades de acesso de cada usuário, enquanto que a identifi cação e autenticação do usuário (confi rmação de que o usuário realmente é quem diz ser) são feitas normalmente por um userid e uma senha durante o processo de logon.

Qual é o objetivo do controle de acesso lógico?

Os controles de acesso lógico têm como objetivo garantir que:

apenas usuários autorizados tenham acesso aos recursos;

os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas;

o acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas;

os usuários sejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades.

O controle de acesso pode ser traduzido, então, em termos de funções de identifi cação e autenticação de usuários; alocação, gerência e monitoramento de privilégios; limitação, monitoramento e cancelamento de acessos; e prevenção de acessos não-autorizados.


100


Ao fi nalizar os estudo de como realizar o controle de acesso lógico, veja na próxima seção como se procede com relação ao controle de acesso físico.

Seção 5 – Como executar os controles de acesso físico?

A segurança física pode ser abordada de duas formas: segurança de acesso, que trata das medidas de proteção contra acesso físico não-autorizado e segurança ambiental, que trata da prevenção de danos por causas naturais.

Os controles de acesso físico têm como objetivo proteger equipamentos e informações contra usuários não-autorizados, prevenindo o acesso a estes recursos.

Apenas as pessoas expressamente autorizadas pela gerência podem ter acesso físico aos sistemas de computadores. A segurança de acesso físico deve basear-se em perímetros predefi nidos na vizinhança dos recursos computacionais, podendo ser explícita, como uma sala-cofre ou implícita, como áreas de acesso restrito de acordo com a função desempenhada na organização.

Quais recursos físicos precisam ser protegidos?

Os recursos a serem protegidos diretamente pelo controle de acesso físico são:

os equipamentos - servidores, estações de trabalho, CPUS, placas, vídeos, mouses, teclados, unidades de disco, impressoras, scanners, modem, linhas de comunicação, roteadores, cabos elétricos, etc;

a documentação - sobre hardware e software, aplicativos, política de segurança;


101


Unidade 3

os suprimentos - disquetes, fi tas, formulários, papel; e

as próprias pessoas.

A proteção física destes recursos constitui-se em uma barreira adicional e anterior às medidas de segurança de acesso lógico. Portanto, pode-se até dizer que, indiretamente, os controles de acesso físico também protegem os recursos lógicos, como programas e dados.

Quais são os controles físicos?

Conheça, a seguir, quais são os controles físicos mais comuns:

Um dos controles administrativos mais comuns são os crachás de identifi cação, que podem distinguir um funcionário de um visitante ou até mesmo categorizar os funcionários a partir de cores ou números diferentes.

O uso de crachás facilita o controle visual de circulação feito pela equipe de vigilância.

Uma outra prática muito usada é a exigência da devolução dos bens de propriedade da instituição quando o funcionário é demitido. Ao serem desligados da organização, os ex-funcionários normalmente devolvem equipamentos, documentos, livros e outros objetos que estavam sob sua guarda, inclusive chaves, crachás e outros meios de acesso físico. É recomendável que existam procedimentos para identifi car os demissionários e garantir a restrição de acesso destes indivíduos ao prédio da organização. A partir da demissão, eles deverão ser tratados como visitantes e não mais como funcionários.


102


A entrada e saída de visitantes devem ser controladas por um documento de identifi cação diferenciado, registros (com data, horários de entrada e de saída) e, dependendo do grau de segurança necessário, acompanhamento até o local de destino da visita.

Outro grupo de pessoas que merece uma atenção especial é a equipe de limpeza, manutenção e vigilância. Como este tipo de funcionário ou prestador de serviço trabalha fora do horário normal de expediente e geralmente tem maior liberdade para transitar pelo prédio, deve haver um controle especial sobre suas atividades ou áreas de acesso permitidas. Há vários casos de pessoas do serviço de limpeza ou vigias atuarem também como espiões ou ladrões.

É aconselhável orientar os funcionários, dependendo do grau de segurança necessário em seu setor de trabalho, a não deixar os computadores sem qualquer supervisão de pessoa autorizada, por exemplo, durante o horário de almoço ou quando se ausentarem de sua sala por tempo prolongado. Deve-se encorajar o bloqueio do teclado de documentos confi denciais, disquetes e laptops em armários com chave, como medida preventiva.

É uma prática instituir o princípio de mesa limpa, isto é, o funcionário é instruído a deixar seu local de trabalho sempre limpo e organizado, guardando os documentos confi denciais tão logo não precise mais deles. Em algumas instituições, há uma equipe encarregada de verifi car, esporadicamente, ao fi nal do expediente, locais de trabalho escolhidos de forma aleatória, em busca de documentos classifi cados como confi denciais. Se encontrados, estes documentos são reunidos e levados ao gerente do funcionário, que tomará medidas, orientando, advertindo ou punindo o funcionário para que essa prática não volte a ocorrer.

Os controles explícitos são geralmente implementados por meio de fechaduras ou cadeados, cujas chaves são criteriosamente controladas. Estas chaves podem ser algo que alguém possui ou sabe, como chaves comuns ou códigos secretos. Os controles explícitos mais encontrados são:


103


Unidade 3

fechaduras mecânicas ou cadeados comuns;

fechaduras codifi cadas acopladas a mecanismo elétrico com teclado para entrada do código secreto;

fechaduras eletrônicas cujas chaves são cartões com tarja magnética contendo o código secreto. Este tipo de fechadura pode ser usado para registrar entrada e saída de pessoas e restringir acesso de acordo com a necessidade do usuário e o grau de segurança do local acessado. Pode ainda ser conectada a alarme silencioso que ativa um outro dispositivo na sala de segurança para indicar acesso indevido;

fechaduras biométricas programadas para reconhecer características físicas dos usuários autorizados. Elas podem ser projetadas para identifi car formatos das mãos, cabeças, impressões digitais, assinatura manual, conformação da retina e voz. Devido ao seu alto custo, são utilizadas somente em sistemas de alta confi dência;

câmeras de vídeo e alarmes, como controles preventivos e de detecção;

guardas de segurança para verifi car a identidade de todos que entram nos locais de acesso controlado ou patrulhar o prédio fora dos horários de expediente normal.

Terminado o estudo a respeito do controle de acesso lógico e físico, veja na próxima seção como se executa os controles ambientais.


104


Seção 6 – Como realizar os controles ambientais?

Você que está estudando auditoria de sistemas de informação, talvez esteja se perguntando se aqui cabe estudar controles ambientais, não é mesmo? Pois saiba que os controles ambientais devem constar da política de segurança da informação, pois estão diretamente relacionados com a disponibilidade e integridade dos sistemas computacionais.

Os controles ambientais visam a proteger os recursos computacionais contra danos provocados por desastres naturais (incêndios, enchentes), por falhas na rede de fornecimento de energia, ou no sistema de ar condicionado, por exemplo.

Os controles associados a incêndios podem ser preventivos ou supressivos, isto é, procedimentos para evitar incêndio ou combatê-lo de forma efi ciente, caso já tenha ocorrido.

As medidas preventivas muitas vezes são implementadas logo na construção do prédio, com o uso de material resistente à ação do fogo, dispositivos de detecção de fumaça ou calor e a instalação de pára-raios. Após a construção, durante o funcionamento normal da organização, é aconselhável adotar políticas contra o fumo e de limpeza e conservação, mantendo as salas limpas, sem acúmulo de papéis ou outros materiais de fácil combustão.

A instituição deve estar preparada para suprimir ou minimizar os efeitos de um incêndio, caso ele aconteça. Para tanto, deve possuir mangueiras e/ou extintores de incêndio em número sufi ciente e do tipo adequado, de acordo com as especifi cações técnicas e instalar sistemas de combate ao fogo, segmentando as suas atuações por área ou zona. É imprescindível o treinamento dos funcionários para utilizarem, de forma adequada, os dispositivos manuais de combate a incêndios e a vistoria freqüente destes dispositivos para garantir seu perfeito funcionamento quando for necessário.

As equipes de bombeiros normalmente promovem treinamentos de combate e prevenção de acidentes, com demonstrações do


105


Unidade 3

uso correto dos dispositivos contra incêndios e simulações com a participação dos treinados.

Os controles associados a incêndios podem ser preventivos ou supressivos, isto é, procedimentos para evitar incêndio ou combatê-lo de forma efi ciente, caso já tenha ocorrido.

Falhas ou fl utuações no fornecimento de energia elétrica podem afetar consideravelmente a disponibilidade e a integridade dos sistemas da organização. É necessário estabelecer controles que minimizem os efeitos de cortes, picos e fl utuações de energia através da instalação de dispositivos, tais como estabilizadores, no-breaks (equipamentos que mantêm as máquinas ligadas até que seja restabelecido o fornecimento normal de energia), geradores alternativos (a diesel ou a gás) ou conexão a mais de uma subestação de distribuição de energia elétrica.

Para evitar danifi cação dos equipamentos e instalações prediais por descargas elétricas naturais, instale pára-raios estabilizadores de energia e tenha como hábito desligar os equipamentos em caso de fortes tempestades.

Como os equipamentos eletrônicos não combinam com água, a primeira medida para prevenir danos é instalá-los em locais pouco suscetíveis e a este tipo de ameaça ambiental ou em locais em que a presença de água seja facilmente detectada e contida.

Para se defenderem contra danos provocados pela água, algumas empresas costumam instalar seus equipamentos nos andares mais altos ou sobre suportes elevados. No entanto, esta medida preventiva não é sufi ciente no caso de goteiras ou estouro do encanamento.


106


A maioria dos computadores necessita de um ambiente controlado em termos de temperatura, umidade e ventilação para que possa operar adequadamente.

Assim como as pessoas, os computadores preferem operar dentro de uma determinada faixa de temperatura (tipicamente entre 10 e 32 °C). Um ambiente seco demais pode gerar eletricidade estática e danifi car os equipamentos. Por outro lado, em um ambiente úmido demais, pode ocorrer condensação nos circuitos dos equipamentos, provocando curtos.

Para promover a ventilação necessária ao funcionamento adequado dos equipamentos, não se deve vedar suas canaletas de ventilação, nem dispô-los em ambientes muito apertados, que difi cultem a circulação de ar. Já existem dispositivos que podem auxiliar no monitoramento do ambiente, registrando níveis de umidade e temperatura.

As salas onde se encontram os computadores devem ser mantidas limpas, livres de poeira ou fumaça e sem acúmulo de matérias de fácil combustão, tais como papéis e copos plásticos.

Agora que você fi nalizou a leitura desta unidade, para praticar os novos conhecimentos, realize as atividades propostas a seguir.


107


Unidade 3


Leia com atenção os enunciados e realize as atividades:

1) Qual é a função de uma análise de riscos?

2) Basicamente, quais são os objetivos de uma política de segurança?


108


3) O que são os controles aplicados em sistemas informatizados? Que tipos de controles podem ser aplicados em um ambiente informatizado? Cite exemplos.

Realize também as atividades propostas no EVA. Interaja com a sua comunidade de aprendizagem e amplie o seu ponto de vista.


109


Unidade 3

Síntese

Você estudou que a informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. O caráter confi dencial, a integridade e a disponibilidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado.

Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças à segurança da informação de uma variedade de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação. Problemas causados por vírus, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofi sticados.

A dependência dos sistemas de informação e serviços signifi ca que as organizações estão mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a difi culdade de se controlar o acesso. A tendência da computação distribuída difi culta a implementação de um controle de acesso centralizado realmente efi ciente.

Muitos sistemas não foram projetados para serem seguros. A segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por gestão e procedimentos apropriados. A identifi cação de controles convenientes para implantação requer planejamento cuidadoso e atenção aos detalhes. A gestão da segurança de informação necessita, pelo menos, da participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de fornecedores, clientes e acionistas, ou uma consultoria externa especializada.

Na próxima unidade você estudará que além de uma política de segurança bem concisa, é necessário também que a corporação possua um meio de garantir a continuidade de processos e informações vitais à sobrevivência da empresa através de um plano de contingência e continuidade de negócios.

Até lá!


110


Saiba mais

Para aprofundar as questões abordadas nesta unidade, realize pesquisa nos seguintes livros:

BOSWORTH, Seymor. E KABAY, M. E. Computer Security Handbook. Wiley. 2002

NBR ISO/IEC 17799. Código de práticas para a gestão da segurança da informação. ABNT, 2005.

ICOVE, David; Seger, Karl; VonStorch, William. Computer Crime. O`Reilly & Associates.


UNIDADE 4

Plano de contingência e de continuidade de negócios



conceituar planos de contingência e de continuidade de serviços.

analisar qual o impacto causado por alguma ocorrência inesperada.

conhecer e escolher corretamente os tipos mais usados de contingência.

desenvolver um plano de contingência.

Seções de estudo


Seção 1 O que é plano de contingência e de continuidade de negócios?

Seção 2 Como realizar a análise de impacto?

Seção 3 Quais são as estratégias de contingência?

Seção 4 Como desenvolver um plano de contingência?


4


112



O ataque ao World Trade Center em Nova Iorque, em setembro de 2001, expôs à críticas uma atividade que pode determinar o futuro de muitas organizações.

Independente das conseqüências locais, a economia mundial foi afetada pelo ataque, determinando uma mudança no comportamento empresarial, destacando a possibilidade de minimizar impactos decorrentes de desastres que impossibilitem suas instalações, afetando suas atividades, seu perfi l econômico e seu mercado de atuação.

A questão conseqüente foi o levantamento/identifi cação de planos, quando existiam, para prevenção e recuperação das atividades, bem como a reavaliação quanto à exposição a riscos e seus impactos.

Em decorrência destes fatos, foi observada uma busca por ferramentas, profi ssionais, instalações, entre outros que, teoricamente, proporcionariam uma “garantia” operacional e a tranqüilidade desejada. Não é tão simples assim, mesmo utilizando o exemplo do World Trade Center, verifi camos que muitas organizações que planejaram mal sofreram conseqüências indesejáveis, permanecendo impossibilitadas de retomar a suas operações.

Da mesma forma que com nossos bens particulares buscamos seguros confi áveis e reconhecidos, torna-se necessário aplicar o mesmo conceito para as organizações. Utilizando metodologia, recursos e instalações adequadas será possível a continuidade operacional em caso de desastre, proporcionando a continuidade dos negócios.

Existem metodologias, ferramentas e procedimentos que devem ser observados nas atividades relativas à recuperação de desastres, onde, entidades e institutos mantêm programas de treinamento, qualifi cação e certifi cação de profi ssionais, com normas técnicas descritas, instalações e equipamentos providos de características técnicas favorecendo a missão de disaster recovery.


113


Unidade 4

Assim, nesta unidade, você vai estudar como são estabelecidas estas atividades, ou seja, como funciona um plano de contingência e de continuidade de negócios.

Seção 1 - O que é plano de contingência e de continuidade de negócios?

Você já sabe que muitas organizações não seriam capazes de sobreviver no atual mercado competitivo sem seus sistemas de informações, que os ajudam a escolher estratégias.

O fato de uma empresa fi car “refém” dos computadores deve ser discutido com a classe executiva da empresa, pois se houver alguma falha destes computadores ou dos dados que estão neles, pode signifi car perdas fi nanceiras ou até mesmo perda de participação de mercado.

Devido às vulnerabilidades existentes no ambiente computacional é imprescindível traçar um plano de recuperação em caso de desastres, como o famoso “quebre o vidro em caso de incêndio!”

Os bancos são as organizações que há tempos se preocupam com o contingenciamento de seu ambiente de TI, o que é facilmente explicado, porque se houver perda de informações de cliente ou até mesmo se o cliente não conseguir fazer uma operação bancária, isto pode signifi car perda de credibilidade e por conseqüência, a perda do cliente.

As empresas européias e americanas, depois de vários incidentes, passaram a olhar com outros olhos a questão de planos de contingência.


114


Você sabia?

O ataque terrorista ao World Trade Center em 11 de setembro de 2001, teve impacto signifi cativo nos mercados dos Estados Unidos e mundial. A Bolsa de Valores de Nova Iorque, o American Stock Exchange e a NASDAQ não abriram em 11 de Setembro e permaneceram fechadas até 17 de Setembro. As instalações e centros de processamento de dados remotos da Bolsa de Valores de Nova Iorque (NYSE) mais as empresas participantes, consumidores e mercados, foram incapazes de se comunicarem devido aos danos ocorridos à instalação de chaveamento telefônico próxima ao World Trade Center. Quando os mercados de ações reabriram em 17 de setembro de 2001, após o maior período de fechamento desde a Grande Depressão em 1993, o índice do mercado de ações Dow Jones Industrial Average (“DJIA”) caiu 684 pontos ou 7,1%, passando para 8920 pontos, sua maior queda em um único dia. No fi m da semana, o DJIA tinha caído 1369,7 pontos (14,3%), sua maior queda em uma semana na história. O mercado de ações americano perdeu 1,2 trilhão de dólares em valor em uma semana (Fonte: Wikipedia).

As organizações brasileiras precisam atentar para esses tipos de situação. Apesar do nosso país não sofrer com atentados terroristas, sofremos com incêndios, falta de luz, enchentes, roubos, sabotagens, sistema de UPS com problemas de fabricação, entre outros.

Por exemplo, numa companhia geradora de energia elétrica, se um tranformador queimar, outro irá assumir o seu papel. Isso na maior parte das vezes é transparente para o usuário fi nal.

Da mesma forma, os sistemas de informações das empresas devem estar preparados para qualquer imprevisto, sem dano ou perda para o usuário fi nal.

Normalmente quando se fala em planos de contingência, o que se encontra é recuperação de desastres para situações drásticas. Outras falhas, como problemas de link, fontes redundantes, etc. são esquecidos.


115


Unidade 4

A organização deve listar todos os recursos de informática existentes, analisar qual será a perda, caso os recursos estejam fora do ar e investir de forma a garantir a disponibilidade dos serviços e a integridade das informações.

Mas antes de você conhecer a concepção do plano de contingência, é importante defi nir alguns aspectos, tais como orçamento, prazos, recursos - sejam eles humanos ou materiais - responsabilidades da equipe e a escolha de alguém para ser o coordenador do planejamento de contingências.

O plano de continuidade de negócios é de responsabilidade da classe executiva da empresa.

Os auditores internos e externos podem auxiliar a escrever o plano, porém cabe à gerência ou diretoria, garantir sua efi ciência para que não haja perdas fi nanceiras ou outras situações constrangedoras para a empresa, como interrupção de transações pela indisponibilidade de serviços.

Antes de tudo, deve existir um estudo prévio onde serão identifi cadas todas as funções críticas do negócio, os sistemas envolvidos, pessoas responsáveis e usuários. O resultado são informações que servem de base para que seja feita a análise de impacto que será estudada na próxima seção.

A partir daí, já se tem uma idéia do que será o plano inicial, contendo a relação de funções, sistemas e recursos críticos, estimativa de custos, prazos e recursos humanos necessários para a realização da análise de impacto.


116


Seção 2 – Como realizar a análise de impacto?

Existe um ditado popular que diz “Não existe almoço grátis!”. E se você parar para pensar nesta frase, irá

perceber que ela tem um fundo de verdade porque sempre tem alguém que pagará a conta. Então, responda a seguinte pergunta: qual é o valor da conta da segurança da sua empresa?

Conheça, então, as etapas de elaboração do plano de continuidade.

Conhecido mundialmente pela sigla BIA – Business Impact Analysis, esta primeira etapa do plano de contingências

é fundamental, pois fornece informações para o perfeito dimensionamento das demais fases de sua construção.

Basicamente, o objetivo desta etapa é levantar o grau de relevância entre os processos ou atividades que são inclusas no escopo da contingência para continuidade do negócio.

Tabela 4.1 – Função entre os processos de negócio versus escala de criticidade

Escala Processo de negócio PN1 PN2 PN3 PN4 PN5

1 Não-considerável x

2 Relevante x

3 Importante x

4 Crítico x

5 Vital x

De posse dos resultados desta análise, já se possui condições de defi nir prioridades no que diz respeito a alocar recursos conforme o orçamento, de saber os níveis de tolerância e a probabilidade de acontecerem algumas falhas , e desta forma, construir uma fotografi a de criticidade dos processos.

Continuando esta análise, considere agora as possíveis ameaças e relacione-as com a tolerância, adquirida através da relação do processo de negócio com o seu senso crítico. Neste processo, você teria:


117


Unidade 4

Tabela 4.2 – Relação entre processos de negócio / ameaças / tolerância

Ameaças Tolerância

Incêndio Greve Falta de luz Ataque de D.O.S. Sabotagem

PN1 X X X 48h

PN2 X 5h

PN3 X X X X 24h

PN4 15 min

PN5 X X X 0

Com a Tabela 4.2, você tem uma noção mais completa da situação, do sinistro que se está esperando, ao passo que se sabe o quanto é preciso investir por causa da sua tolerância.

O relatório da análise de impacto deve identifi car os recursos, sistemas e funções críticas para a organização e classifi cá-los em ordem de importância. Em seguida, deve descrever, em cada um, que tipo de ameaça poderá ocorrer e qual é o dano que ela causa a esta vulnerabilidade.

Seção 3 – Quais são as estratégias de contingência?

Usualmente as organizações para garantir a continuidade dos negócios utilizam as seguintes estratégias de contingência : Hot-site; Warm-site; Relocação de operação; Bureau de serviços; Acordo de reciprocidade; Cold-site; Auto-sufi ciência; Plano de administração de crise; Plano de continuidade operacional. A seguir, veja do que trata cada uma. Acompanhe com atenção.

a) Hot-site

Recebe este nome por ser uma estratégia pronta para entrar em ação assim que algum sinistro ocorrer. Mais uma vez, o tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância às falhas do objeto.


118


Por exemplo: no caso de um banco de dados, consideram-se milésimos de segundos de tolerância para garantir a disponibilidade do serviço mantido pelo equipamento.

b) Warm-site

Esta estratégia se aplica a objetos com maior tolerância à paralisação, os quais podem se sujeitar à indisponibilidade por mais tempo, ou seja, até o retorno operacional da atividade. Como exemplo, temos o serviço de e-mail dependente de uma conexão de comunicação. Veja que o processo de envio e recebimento de mensagens é mais tolerante que o exemplo usado na primeira estratégia, pois poderia fi car indisponível por minutos, sem, no entanto, comprometer o serviço ou gerar impactos signifi cativos, apesar de que para algumas empresas, o e-mail é considerado um serviço altamente essencial.

c) Relocação de operação

Esta estratégia objetiva desviar a atividade atingida pelo sinistro para outro ambiente físico, equipamento ou link, pertencentes a mesma empresa. Ela só é possível com a existência de “folgas” de recursos que podem ser alocados em situações de desastre. Um exemplo disto é o redirecionamento do tráfego de dados de um roteador ou servidor com problemas para outro que possua mais recursos.

d) Bureau de serviços

Nesta estratégia, considera-se a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado, isto é, fora dos domínios da empresa. O seu uso é restrito a poucas situações por requerer um tempo de tolerância maior, em função do tempo de reativação operacional da atividade. Informações manuseadas por terceiros requerem uma atenção redobrada na adoção de procedimentos, critérios e mecanismos de controle que garantam condições de segurança adequadas à relevância e senso crítico da atividade de contingência.


119


Unidade 4

e) Acordo de reciprocidade

Esta estratégia é bastante conveniente quando os investimentos necessários na falta de uma infra-estrutura de segurança adequada, pois nada mais é do que um acordo entre duas empresas que possuem um ambiente de TI que exija a possível relocação de serviços, mas que não disponham de recursos fi nanceiros para contratar uma empresa especializada no assunto. Da mesma forma do bureau de serviços, é preciso ter cuidado na hora de expor as informações da sua empresa para outra, pois o risco existe e é grande. Este tipo de acordo é comum entre empresas de áreas diferentes e não concorrentes.

f) Cold-site

Seguindo os modelos de classifi cação citados anteriormente, Hot-site e Warm-site, o Cold-site propõe uma alternativa de baixo custo para ambientes de TI, ou seja, pouco budget para investimentos na área de continuidade de negócios. No entanto, exige uma tolerância alta, pois o mesmo não suporta alta disponibilidade. Um exemplo deste modelo é um “ghost” de um HD de um servidor de Active Directory. Supondo que o HD do servidor principal queimou, coloca-se o HD cold para funcionar, e ao invés de ler, faz-se a restauração dos dados. Este é um procedimento de resultados duvidosos, porém, de baixo custo.

g) Auto-sufi ciência

Este caso ocorre quando nenhuma outra estratégia é aplicável, pois prevê aproximadamente 100% de disponibilidade, integridade e caráter confi dencial dos dados. Seria o ideal para qualquer empresa, porém é necessário se fazer o cálculo para medir o quanto se perde, caso a informação não esteja disponível.

h) Plano de administração de crise

Este plano é um tutorial que defi ne todos os passos, procedimentos, equipes responsáveis que serão acionadas, como este acionamento é feito, o que se deve fazer para que a situação volte a operação normal.


120


Comunicação impressa para classe operacional da empresa, distribuída entre órgãos e departamentos são aspectos de um típico plano de administração de crise.

i) Plano de continuidade operacional

É neste documento que você irá relatar o passo-a-passo para o contingenciamento das informações com o intuito de reduzir o down-time, isto é, o tempo de parada. Ele deve conter ações a serem executadas no caso de uma queda de energia, por exemplo.

Uma vez conhecidas as estratégias para elaborar um plano de contingência, acompanhe, na próxima seção, o desenvolvimento deste plano.

Seção 4 – Como desenvolver um plano de contingência?

A norma ISO 17799:1- 2005 recomenda que o plano seja desenvolvido e implementado para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

O que é recomendável considerar em um plano de contigência?

É recomendável que o processo de planejamento da continuidade dos negócios considere os seguintes itens:

a) identifi cação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio;

b) identifi cação da perda aceitável de informações e serviços;


121


Unidade 4

c) implementação dos procedimentos que permitam a recuperação e restauração das operações do negócio e da disponibilidade da informação nos prazos necessários. A avaliação de dependências externas ao negócio e de contratos existentes merece atenção especial;

d) procedimentos operacionais para seguir conclusão pendente de recuperação e restauração;

e) documentação dos processos e procedimentos acordados;

f) educação adequada de pessoas quanto aos procedimentos e processos defi nidos, incluindo o gerenciamento de crise;

g) teste e atualização dos planos.

É preciso identifi car os serviços e recursos que facilitam o desenvolvimento do plano, prevendo a contemplação de pessoal, recursos em geral, além da tecnologia de informação, assim como o procedimento de recuperação dos recursos de processamento das informações. Tais procedimentos de recuperação, podem incluir procedimentos com terceiros na forma de um acordo de reciprocidade ou um contrato de prestação de serviços.

Que informações devem ser contempladas no plano de continuidade?

O plano de continuidade do negócio deve tratar das vulnerabilidades da organização, especifi camente das informações sensíveis que necessitem de proteção adequada.

Convém que cópias do plano de continuidade do negócio sejam guardadas em um ambiente remoto, distante sufi cientemente para escapar de qualquer dano no local principal.


122


A administração deve garantir que as cópias dos planos de continuidade do negócio estejam atualizadas e protegidas com o mesmo nível de segurança do ambiente principal.

A direção deve garantir que as cópias dos planos de continuidade do negócio estejam atualizadas e protegidas com o mesmo nível de segurança do ambiente principal.

Outros materiais necessários para a execução do plano de continuidade do negócio também devem ser armazenados em local remoto.

Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que eles sejam consistentes, para contemplar os requisitos de segurança da informação e para identifi car prioridades para testes e manutenção.

Cada plano de continuidade do negócio deve descrever o enfoque para continuidade, por exemplo, assegurar a disponibilidade e segurança do sistema de informação ou da informação.

Cada plano de continuidade do negócio deve especifi car o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma de suas atividades. Quando novos requisitos são identifi cados, é importante que os procedimentos de emergência relacionados sejam ajustados de forma apropriada, por exemplo, o plano de abandono ou o procedimento de recuperação.

Convém que os procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

Cada plano deve possuir uma pessoa responsável em separado. Procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação deve ser de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos. Procedimentos de recuperação para serviços técnicos alternativos, como


123


Unidade 4

processamento de informação e meios de comunicação, normalmente deveriam ser de responsabilidade dos provedores de serviços.

Basicamente, o desenvolvimento de um bom plano de continuidade de negócios consiste em detalhar dez aspectos que são primordiais: administração do projeto, análise de riscos, análise de impacto, estratégia de continuidade de negócios, respostas e operações de emergência, desenvolvimento do plano, treinamento, manutenção, administração da crise e parcerias.

Acompanhe, no decorrer dos seus estudos, detalhes de cada um dos aspectos citados para que fi quem claros todos os componentes de um plano de contingência e continuidade de negócios. Na fi gura 4.1, você encontra um diagrama que ilustra o que foi abordado até aqui.


124


Figura 4.1 – Diagrama de Fluxo de um projeto de plano de Contingência Fonte: Marinho (2003).


125


Unidade 4

Acompanhe agora, as descrições de cada fase da elaboração do plano de contingência e continuidade de negócios.

a) Início e administração do projeto

Nesta primeira fase é defi nido o escopo de atuação do plano de continuidade de negócios. Isto inclui: procurar apoio, se necessário, defi nir o gerenciamento do projeto, e organizar o plano de acordo com os limites de recursos temporais e fi nanceiros.

A pessoa que recebe a incumbência desta tarefa, deve atingir os seguintes objetivos:

auxiliar o patrocinador do projeto, que normalmente é uma pessoa da camada executiva da empresa, na defi nição de objetivos e políticas, analisar os fatores de sucesso, os requisitos, casos que já ocorreram e aderência às normas;

coordenar e gerenciar o projeto do plano de continuidade de negócios, através da convocação de uma equipe operacional, esclarecendo alguns pontos como a diferença entre recuperação de desastres e continuidade de negócios, resposta a crises e o seu gerenciamento, reduzir ao máximo possível a ocorrência de eventos;

supervisionar o projeto por meio de ferramentas de controle e o gerenciamento de mudanças;

apresentar e defender o projeto junto aos funcionários da organização;

desenvolver o plano do projeto e orçar seus custos;

defi nir a equipe de projeto e a delegação de responsabilidades, bem como o gerenciamento do projeto.


126


b) Análise e controle de riscos

As atividades relacionadas com a análise de risco envolvem as possibilidades de ocorrência de qualquer sinistro dentro de uma organização. É através delas que se sabe o quanto estão vulneráveis os ativos de informação da corporação.

Nesta fase, são determinados os possíveis danos relacionados com cada evento e quais as ações a serem tomadas para prevenir e reduzir os efeitos de algum desastre. Aqui, é importante também uma análise sobre o retorno de investimento para ajudar na venda do projeto para a camada executiva.

O responsável por esta fase deve atingir as seguintes metas:

conceber a função da redução, através da organização;

identifi car potenciais riscos para a organização;

identifi car a exigência de suporte técnico;

identifi car vulnerabilidades, ameaças e exposições;

identifi car as alternativas de redução dos riscos;

identifi car a consistência das fontes de informação (trabalhar sempre com os dados mais precisos possíveis);

interagir com a classe executiva da empresa para a defi nição de níveis aceitáveis de risco;

documentar todos os passos.

c) Análise de impacto

Nesta etapa, também conhecida como B.I.A. - Business Impact Analyisis, ou seja, Análise de impacto aos negócios, é onde serão identifi cados, avaliados e relatados os impactos resultantes dos sinistros ocorridos. Além disto, será defi nida o senso crítico dos processos de negócios e as prioridades de recuperação e relacionamento entre elas com a fi nalidade de verifi car a dependência entre um serviço e outro. Com isto, o prazo para restabelecimento dos sistemas de informação se dará de acordo com o planejado.


127


Unidade 4

As principais tarefas desta fase são:

identifi cação de eventos que podem ocasionar a interrupção de serviços;

avaliação de risco para determinação do impacto;

plano estratégico para se determinar a continuidade de negócios.

Para realizar tais tarefas, o responsável por ela deverá atingir os seguintes objetivos específi cos:

identifi car todos os processos de negócios da corporação;

identifi car os responsáveis por cada processo;

defi nir e verifi car os critérios de senso crítico: criticidade;

auxiliar a camada executiva na defi nição de critérios para a análise;

identifi car o relacionamento entre os processos;

defi nir objetivos, janelas para recuperação de desastres, incluindo os tempos de recuperação, as perdas previstas e as prioridades;

identifi car os recursos necessários para a análise;

avaliar junto à classe executiva da empresa os custos de interrupção de negócios;

preparar e apresentar o relatório de análise de impacto.

Durante a etapa de análise de impacto, você precisa ter cuidado na hora de verifi car as vantagens e desvantagens qualitativas e quantitativas.

Uma avaliação quantitativa fornece uma medida da magnitude dos impactos, que poderá ser utilizada para a avaliação do custo-benefício dos controles de segurança.

Lembre-se que, uma medida quantitativa mal formulada resulta na falta de precisão no seu resultado.


128


Por sua vez, a avaliação qualitativa prioriza os riscos e identifi ca áreas para melhorias imediatas. É interessante ressaltar que esta medida não fornece dados para mensurar a magnitude de impactos.

A tabela 4.3 apresenta as categorias de impactos que podem ser utilizadas para a medição quantitativa deles.

Tabela 4.3 - Níveis de impacto e sua descrição

Nível Descrição

Alto • Perda signifi cante dos principais ativos e recursos • Perda da reputação, imagem e credibilidade • Impossibilidade de continuar com as atividades de negócio.

Médio • Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.

Baixo • Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.

Fonte: Ferreira (2003).

d) Estratégias de continuidade de negócios

Esta é a fase onde são defi nidas as estratégias operacionais para a recuperação dos processos e dos componentes de negócios dentro do prazo de recuperação estipulado.

Para que estas estratégias sejam realmente efetivas, uma boa política é dividi-las em dois planos distintos:

um plano de recuperação de desastres, que seria o responsável pelas atividades relacionadas à recuperação ou substituição de componentes que falharam; e,

um plano de contingência, que seria o responsável pelas atividades dos processos de negócios.

A pessoa responsável por estas atividades deverá atingir os seguintes objetivos específi cos:


129


Unidade 4

identifi car e analisar as possíveis alternativas para a continuidade de negócios disponíveis - esta análise deve conter vantagens e desvantagens, custos e recursos para auxiliar na tomada de decisão;

identifi car estratégias de recuperação compatíveis com as áreas funcionais do negócio porque cada processo de negócios possui suas peculiaridades. Portanto, o plano deverá contemplar estas personalizações;

consolidar estratégias, reduzindo o risco de congelar o processo, pois na ocorrência de um sinistro a agilidade é uma característica a ser lembrada; e,

obter o comprometimento da classe executiva da empresa.

Agora conheça um pouco mais cada um dos dois planos.

Plano de recuperação de desastres – fornece maneiras de restaurar de forma rápida os sistemas de informação, nas situações de interrupções não-programadas. Além disso, deve contemplar os impactos de uma paralisação e o tempo máximo aceitável de parada. Como exemplos, você pode considerar: backup, localidades alternativas, a reposição de equipamentos e regras e responsabilidades a serem seguidas pela equipe em situações de emergência.

Plano de contingência – consiste em procedimentos de recuperação preestabelecidos para minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre e que os procedimentos de segurança não conseguiram evitar. Para que o plano seja realmente efetivo, é imprescindível que as regras e responsabilidades estejam bem explícitas e detalhadas para as equipes, assim como os procedimentos relacionados com a recuperação de um ambiente informatizado vítima de um sinistro.


130


e) Respostas e operações de emergência

Nesta etapa, são desenvolvidos e implementados procedimentos de resposta e estabilização de situações atingidas por um incidente ou evento, incluindo a criação e a especifi cação de normas para o gerenciamento de um centro operacional de emergência utilizado como central de comando durante uma crise.

O profi ssional responsável por esta etapa deverá atingir os seguintes objetivos específi cos:

identifi car os tipos potenciais de emergências e as respostas necessárias (por exemplo: incêndio, inundação, greves etc.);

verifi car a existência de procedimentos de resposta apropriados às emergências;

recomendar o desenvolvimento de procedimentos de emergência quando não existam;

identifi car os requisitos de comando e controle para gerenciamento de emergências;

sugerir a elaboração de procedimentos de comando e controle para defi nir o papel das autoridades e os processos de comunicação para o gerenciamento das emergências;

assegurar que os procedimentos de resposta a emergências estejam integrados com os procedimentos de órgãos públicos.

Por exemplo: assegurar que o tempo que você relatou para um link dedicado volte a funcionar possuindo uma determinada proporção com o tempo que a operadora telefônica passa para a resolução desse tipo de problema.

O Plano de resposta emergencial deve ter início no momento T-2 até o momento T+1, ou seja, o tempo disponível para a realização dos procedimentos se dará em função da antecedência do alarme de desastre até a duração do desastre propriamente dito.


131


Unidade 4

A fi gura 4.2, a seguir, ilustra o fl uxograma da estratégia de um plano de resposta emergencial.

Figura 4.2 - Fluxograma da estratégia de um plano de resposta emergencialFonte: Saldanha (2000).


132


f) Desenvolvimento do plano

Nesta fase, os componentes, até então elaborados e planejados, serão integrados em um plano de continuidade de negócios, a fi m de permitir o atendimento às janelas de recuperação dos componentes e dos processos da corporação.

De acordo com a norma ISO 17799:1, o PCN deve ser desenvolvido para a manutenção ou recuperação das operações do negócio, na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos. Para isto, recomenda-se que o processo de planejamento da continuidade do negócio considere os seguintes itens:

identifi cação e concordância de todas as responsabilidades e procedimentos de emergência;

implementação dos procedimentos de emergência que permitam a recuperação e restauração nos prazos necessários. Atenção especial deve ser dada à avaliação de dependências externas ao negócio e de contratos existentes;

documentação dos processos e procedimentos acordados;

treinamento adequado do pessoal nos procedimentos e processos de emergência defi nidos, incluindo o gerenciamento da crise;

teste e atualização dos planos.

O processo de planejamento deve focalizar os objetivos requeridos do negócio, como por exemplo, a recuperação de determinados serviços específi cos para os clientes, em um período de tempo aceitável.

É importante que o plano especifi que claramente as condições de sua ativação, assim como as responsabilidades individuais para a execução de cada uma das atividades.


133


Unidade 4

Quando novos requisitos são identifi cados, é imprescindível que os procedimentos de emergência relacionados sejam atualizados de forma apropriada, permitindo, desta forma, sua execução com sucesso.

O responsável por esta fase deverá atingir os seguintes objetivos específi cos:

identifi car os componentes de planejamento dos processos;

planejar a metodologia;

organizar o plano;

dirigir as responsabilidades;

defi nir as pessoas envolvidas;

controlar o processo de planejamento e produzir o plano;

implementar o plano;

testar o plano;

defi nir a manutenção do plano.

g) Treinamento

O processo de treinamento das equipes começa com a distribuição do plano para cada um dos seus componentes, sendo que cada parte do plano deve ser encaminhada para o responsável por ela, acompanhada da visão geral do plano e da visão geral da sua equipe. Telefones de emergência, dos demais membros da equipe e de fornecedores também devem fazer parte do conjunto de instruções básicas.

Durante a contingência, os membros de cada equipe não estarão necessariamente desempenhando os mesmos papéis de seus cotidianos. Desta forma, é necessário que os membros sejam pessoas aptas e preparadas para desempenhar satisfatoriamente as funções e executar a contento as atividades que lhes couberem. O objetivo do treinamento, por sua vez, é familiarizar os participantes com o plano e suas atribuições.


134


Além do treinamento, é bastante interessante vender a idéia de continuidade de negócios para a equipe e colaboradores da organização, ou seja, a adoção de um programa de conscientização para ressaltar a importância das medidas preventivas e dos procedimentos de garantia de continuidade.

Este programa deve utilizar todas as mídias de comunicação existentes na organização e possuir como meta a manutenção do nível de conscientização permanentemente elevado.

Algumas ações que podem ser utilizadas para manter a conscientização em alta são:

distribuir artigos sobre desastres operacionais, segurança e planos de continuidade;

produzir e divulgar um vídeo apresentando o plano, sua razão de existir e seu escopo;

publicar o material na intranet;

promover palestras;

mandar periodicamente matérias para as listas de e-mail;

incluir os fornecedores entre o público a ser conscientizado;

cobrar dos fornecedores a implementação de um SLA - Service Level Agreements (Acordo de garantia de nível de serviços).

h) Manutenção

Nesta fase, como o próprio nome diz, faz-se um pré-plano para gerenciar os exercícios do plano de continuidade de negócios, avaliando os resultados obtidos. Além disso, serão desenvolvidos processos para a manutenção das variáveis dos planos de acordo com os objetivos estratégicos da empresa.

É importante que o plano de continuidade de negócios seja mantido por meio de análises críticas regulares e atualizações, de forma a assegurar a sua contínua efetividade, pois um plano sem atualização é análogo a um administrador de redes que faz


135


Unidade 4

regularmente o backup de dados, porém não faz periodicamente testes de restauração destes mesmos dados. Segurança não é produto, nem um projeto, é um processo.

Alguns exemplos que podem demandar atualizações no plano incluem a aquisição de um novo equipamento, atualizações dos sistemas operacionais ou ainda alterações de pessoal ou números telefônicos, mudanças na estratégia de negócios, legislação, ou até mesmo mudança de prestadores de serviço.

O responsável por esta fase deverá atingir os seguintes objetivos específi cos:

preparar o planejamento dos exercícios;

gerenciar os exercícios;

implementar o exercício das atividades dos planos;

documentar e avaliar os resultados;

atualizar e adequar os planos;

reportar os resultados e a avaliação dos exercícios aos gestores;

assimilar as diretivas estratégicas do negócio.

i) Administração da crise

Este documento tem o propósito de defi nir detalhadamente o funcionamento das equipes envolvidas com o acionamento da contingência antes, durante e depois da ocorrência do incidente.

Nesta etapa, encontra-se o desenvolvimento, coordenação, avaliação e exercício do manuseio de mídias e documentos durante a ocorrência de um desastre, bem como os possíveis meios de comunicação que minimizem atritos entre a corporação, seus funcionários e suas famílias, clientes-chave, fornecedores, investidores e gestores corporativos.

Através dos procedimentos desta etapa, será possível assegurar o fornecimento de informações para todos os investidores, por meio de uma fonte única e constantemente atualizada.


136


O profi ssional responsável por esta etapa deverá atingir os seguintes objetivos:

estabelecer programas de relações públicas para o gerenciamento proativo de crises;

estabelecer a necessária coordenação de crises com agências externas;

estabelecer a comunicação essencial de crise com grupos de investidores relevantes, colaboradores, fornecedores e clientes, ou seja, o que cada uma destas pessoas deve saber.

j) Parcerias

Por fi m, esta é a fase onde serão estabelecidos os procedimentos e respostas necessárias para as atividades de continuidade e restauração de negócios, com o auxílio de parcerias, sejam elas públicas ou privadas.

Em caso de autoridades públicas estes serão estabelecidos para o atendimento de normas e leis;

no caso de entidades privadas, quando estas compartilham interesses comuns; ou

de terceiros contratados para a execução de tarefas e serviços devido à especialização de sua estrutura e objetivo de negócio para limitação de responsabilidades e funções.

O profi ssional responsável por esta etapa deverá atingir os seguintes objetivos:

coordenar preparativos de emergência, resposta, recuperação, retomada e procedimentos de restauração com o apoio de órgãos públicos;

estabelecer procedimentos de acordos e contratos durante situações de crise, emergência ou desastre;

manter atualizado o conhecimento entre parceiros.


137


Unidade 4

Finalizada a leitura dos conteúdos desta unidade, para praticar os novos conhecimentos, realize as atividades propostas a seguir:



1) Qual é a função de uma análise de impacto?

2) O que leva um C.I.O. a escolher uma estratégia de contingência chamada “Cold Site” ao invés da estratégia “Hot Site”?


138


3) Por que a manutenção de um plano de continuidade de negócios é importante?

Realize também as atividades propostas no EVA - Espaço UnisulVirtual de Aprendizagem. Interaja com a sua comunidade de aprendizagem e amplie seu ponto de vista.


139


Unidade 4

Síntese

O principal objetivo de um plano de continuidade de negócios (BCP – Business Continuity Plan) é garantir a operação da empresa em situações de contingência com o mínimo impacto aos clientes. No atentado de 11 de setembro de 2001 às Torres Gêmeas do World Trade Center de Nova Iorque, as empresas que tinham BCPs bem estruturados reiniciaram suas operações poucas horas depois do atentado terrorista.

Algumas empresas subestimam os riscos de um desastre e não investem em BCPs. Os planos de continuidade de negócios podem ser classifi cados em dois tipos: os planos de continuidade das áreas de negócios e os planos de recuperação de desastres (DRP – Disaster Recovery Plan) do Centro de Processamento de Dados.

Em muitos casos, as áreas de negócios das empresas dependem fortemente do processamento de dados para suas atividades e sua paralisação pára o negócio da empresa. Um exemplo foi a paralisação do serviço de e-mail do provedor de internet Terra por dois dias devido a um problema no subsistema de armazenamento de dados, em abril de 2003. O portal Terra teve que abonar dois dias da mensalidade dos seus 800 mil assinantes com um prejuízo de mais de R$400 mil.

Nesta unidade você viu o que é um plano de negócios, seus componentes e suas características. Viu também, com detalhes, os componentes que formam o desenvolvimento de um plano de continuidade de negócios.

Na próxima unidade, você verá que uma auditoria tradicional envolve a revisão do histórico fi nanceiro da empresa com o intuito de validar a exatidão e a integridade das declarações fi nanceiras. O controle interno representa uma metodologia primária usada pela classe executiva da organização para assegurar a proteção dos ativos e a disponibilidade da informação. A próxima unidade irá abranger aspectos voltados para a verifi cação de controles gerais da organização, sua infra-estrutura de informática e segurança de informações. Até lá!


140


Saiba mais

Para aprofundar as questões abordadas nesta unidade você poderá pesquisar os seguintes livros:

CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurança de Informática e de Informações. Senac. 1999.

SALDANHA, Fernando. Introdução a planos de continuidade e contingência operacional. Rio de Janeiro: Papel Virtual, 2000.

MARINHO, Fernando. Como proteger e manter seus negócios. Rio de Janeiro: Campus, 2003.

FERREIRA, Fernando N. F. Segurança da informação em ambientes informatizados. Rio de Janeiro: Ciência Moderna, 2003.


UNIDADE 5

Auditoria em Sistemas de Informação



conhecer as técnicas de auditoria de sistemas de informação mais usadas;

compreender os controles gerais envolvidos na auditoria;

conhecer os tipos de auditoria de sistemas informatizados;

estabelecer um plano de trabalho das verifi cações que devem ser realizados durante o trabalho de auditoria.

Seções de estudo

A seguir, conheça as seções para você estudar:

Seção 1 Quais são as técnicas de auditoria de SI?

Seção 2 Quais são os controles gerais?

Seção 3 Quais são os tipos de auditoria de SI?

Seção 4 Roteiro para avaliação dos controles internos em auditoria de sistemas

Após a leitura do conteúdo, realize as atividades de auto-avaliação propostas no fi nal da unidade e no EVA.

5


142



Para esta última unidade, você conhecerá detalhadamente a auditoria em sistemas informatizados. Alguns tópicos irão dar a impressão de repetição de conceitos de unidades passadas, e é exatamente isso que é o objetivo. O que vai diferir agora é que estes conceitos serão colocados dentro do contexto da unidade.

Com o objetivo de aperfeiçoar as atividades de auditoria possivelmente desenvolvidas por você aluno, esta unidade tem como característica a praticidade, facilitando assim a assimilação do conhecimento de auditoria em sistemas informatizados.

Cabe aqui relembrar que um sistema de informação pode ser conceituado como um conjunto de partes que se integram entre si para atingir objetivos ou resultados informativos. Um sistema de informação pode ser manual ou informatizado. No caso de sistemas informatizados, as características predominantes são:

Manipulação de grandes volumes de dados e informações;

Complexidade de processamento;

Muitos usuários envolvidos;

Contexto abrangente, mutável e dinâmico;

Interligação de diversas técnicas e tecnologias;

Auxílio à qualidade, produtividade e competitividade organizacional, e suporte à tomada de decisões empresariais.

Uma auditoria de sistemas de informação pode abranger desde o exame de dados registrados em sistemas informatizados, até a avaliação do próprio sistema informático – aplicativos, sistemas operacionais etc.; a avaliação do ambiente de desenvolvimento, do ambiente de operação, do ambiente de gerenciamento da rede e todos os demais elementos associados a um ou mais sistemas de informação corporativos.

Antes de iniciar a auditoria de um sistema de informação, o auditor deve determinar o tipo e o escopo (ou grau de


143


Unidade 5

abrangência) da auditoria a ser realizada e solicitar à unidade a ser auditada os documentos adequados para planejar seu trabalho.

Em ambientes complexos de processamento de dados o auditor terá uma grande variedade de objetos de controle a considerar. Os documentos a serem solicitados e os procedimentos de auditoria a serem aplicados irão variar de acordo com o tipo ou escopo da auditoria.

E a proposta desta unidade e levá-lo a entender como os conceitos apresentados até aqui, acontencem na prática. Siga em frente com determinação!

Seção 1 – Quais são as técnicas de auditoria de SI?

Existem inúmeras técnicas de auditoria de sistemas de informação. É durante a fase de planejamento da auditoria, dependendo dos objetivos, do escopo e das limitações inerentes ao trabalho, que a equipe de auditoria seleciona as técnicas de auditoria mais adequadas para se chegar às conclusões esperadas do trabalho.

Algumas técnicas usadas em auditorias de sistemas são comuns a outros tipos de auditoria, como:

entrevista (reunião realizada com os envolvidos com o ponto auditado, que deve ser documentada);

questionário (conjunto de perguntas que podem ser aplicadas a muitas pessoas simultaneamente, sem a presença do auditor);

verifi cação in loco (observação direta de instalações, atividades ou produtos auditados).

Outras técnicas são específi cas para a avaliação de operações, transações, rotinas e sistemas em operação ou desenvolvimento. A seguir, acompanhe quais são elas:


144


Quadeo 5.1 - Técnicas de auditoria de SI

Método Caracterítisticas

Test-deck consiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testes normais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.

Simulação paralelaconsiste na elaboração de programas de computador para simular as funções da rotina do sistema em operação que está sendo auditado. Utiliza-se os mesmos dados da rotina em produção como input do programa de simulação.

Teste de recuperaçãoavaliação de um sistema em operação quanto aos procedimentos manuais e/ou automáticos para a recuperação e retomada do processamento em situações de falhas. Um exemplo típico é testar para ver se o backup funciona.

Teste de desempenho Verifi cação de um sistema em operação quanto ao consumo de recursos computacionais e ao tempo de resposta de suas operações (exige instrumentos de monitoração para hardware e software).

Teste de estresse Avaliação do comportamento de um sistema em operação quando submetido a condições de funcionamento envolvendo quantidades, volumes e freqüências acima do normal.

Teste de segurança Avaliação dos mecanismos de segurança preventivos, detectáveis e corretivos presentes no sistema.

Teste de caixa pretaMétodo que se concentra nos requisitos funcionais dos programas em operação. Os casos de testes, normalmente derivados de diferentes condições de entrada, avaliam funções, interfaces, acessos a bancos de dados, inicialização e término do processamento.

Mapping, tracing e snapshot

Métodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para depurá-los (debug) após serem executados. São estes:

Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.

Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é, visualizar quais instruções de uma transação foram executadas e em que ordem.

Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução, de acordo com condições preestabelecidas.

Teste de caixa branca Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes avaliam decisões lógicas, loops, estruturas internas de dados e caminhos dentro dos módulos.

ITF – Integrated Test Facility

Consiste na implementação de rotinas de auditoria específi cas dentro dos programas de um sistema em implantação, que poderão ser acionadas com dados de teste, em paralelo com os dados reais de produção, sem comprometer os dados de saída.

Ao auditor é recomendado conhecer todos os métodos para saber fazer uso deles e melhor realizar seu trabalho. Conhecidas as técnicas de auditoria de SI, estude na próxima seção os controles gerais.


145


Unidade 5

Seção 2 – Quais são os controles gerais?

Controles gerais consistem na estrutura, políticas e procedimentos que se aplicam às operações do sistema computacional de uma organização como um todo. Eles criam o ambiente em que os sistemas aplicativos e os controles irão operar.

Durante uma auditoria em que seja necessário avaliar algum sistema informatizado, seja ele fi nanceiro, contábil, de pagamento de pessoal etc., é preciso inicialmente avaliar os controles gerais que atuam sobre o sistema computacional da organização.

Controles gerais defi cientes acarretam uma diminuição da confi abilidade a ser atribuída aos controles das aplicações individuais. Por esta razão, os controles gerais são normalmente avaliados separadamente e antes da avaliação dos controles dos aplicativos que venham a ser examinados em uma auditoria de sistemas informatizados.

Quais são as categorias de controles gerais a serem consideradas em auditoria?

São identifi cadas cinco categorias de controles gerais que podem ser consideradas em auditoria. Acompanhe, a seguir, quais são:

a) Controles organizacionais - políticas, procedimentos e estrutura organizacional estabelecidos para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas à área da informática.

Os elementos críticos para a avaliação dos controles organizacionais são:

unidades organizacionais bem defi nidas, com níveis claros de autoridade, responsabilidades e habilidades técnicas necessárias para exercer os cargos;


146


atividades dos funcionários controladas através de procedimentos documentados de operação e supervisão e políticas claras de seleção, treinamento e avaliação de desempenho;

política de segregação de funções e controles de acesso para garantir na prática a segregação de funções;

recursos computacionais gerenciados para as necessidades de informação de forma efi ciente e econômica.

Figura 5.1 - Exemplo de estrutura organizacional para o departamento de Tecnologia da Informação (organização de tamanho médio).

b) Programa geral de segurança - oferece estrutura para: (1) gerência do risco, (2) desenvolvimento de políticas de segurança, (3) atribuição das responsabilidades de segurança, e (3) supervisão da adequação dos controles gerais da entidade;

c) Plano de continuidade do negócio - controles que garantam que, na ocorrência de eventos inesperados, as operações críticas


147


Unidade 5

não serão interrompidas., Elas devem ser imediatamente retomadas e os dados críticos protegidos.

d) Controle de software de sistema - limita e supervisiona o acesso aos programas e arquivos críticos para o sistema que controla o hardware e protege as aplicações presentes.

São exemplos de software de sistema:

Software de sistema operacional;

Utilitários de sistema;

Sistemas de bibliotecas de programas;

Software de manutenção de arquivos;

Software de segurança;

Sistemas de comunicação de dados;

Sistemas de gerência de base de dados (SGBD).

O controle sobre o acesso e a alteração do software de sistema é essencial para oferecer uma garantia razoável de que os controles de segurança baseados no sistema operacional não estão comprometidos, prejudicando o bom funcionamento do sistema computacional como um todo.

Os controles de software de sistema são avaliados por meio dos seguintes elementos críticos:

acesso limitado ao software de sistema;

acesso e uso supervisionado do software de sistema;

controle das alterações do software de sistema.

e) Controles de acesso - limitam ou detectam o acesso a recursos computacionais (dados, programas, equipamentos e instalações), protegendo estes recursos contra modifi cação não-autorizada, perda e divulgação de informações confi denciais.

Os controles de acesso têm o propósito de oferecer uma garantia razoável de que os recursos computacionais (arquivos de dados, programas aplicativos, instalações e equipamentos relacionados


148


aos computadores) estão protegidos contra modifi cação ou divulgação não-autorizada, perda ou dano. Eles incluem controles físicos, tais como manutenção dos computadores em salas trancadas para limitar o acesso físico, e controles lógicos (softwares de segurança projetados para prevenir ou detectar acesso não autorizado a arquivos críticos).

Os elementos críticos que determinam a adequação dos controles de acesso são:

classifi cação dos principais recursos de informação de acordo com sua importância e vulnerabilidade;

manutenção de lista atualizada de usuários autorizados e seu nível de acesso;

implantação de controles lógicos e físicos para prevenir ou detectar acesso não autorizado;

supervisão do acesso, investigação de indícios de violação da segurança e adoção das medidas corretivas apropriadas.

Uma vez que você conheceu quais são os controles gerais, na próxima seção estude os tipos de auditoria de sistemas informatizados.

Seção 3 – Quais são os tipos de auditoria de SI?

Nesta seção você irá estudar os tipos de auditoria de sistemas de informação, os quais são: auditoria de software aplicativo, auditoria do desenvolvimento de sistemas, auditoria de banco de dados, auditoria de redes e de microcomputador.

3.1. Auditoria de software aplicativo

Software aplicativos são aqueles projetados para executar determinado tipo de operação, a exemplo do cálculo da folha de pagamento ou de controle de estoque.

Veja, a seguir, quais são os controles que podem ser auditados:


149


Unidade 5

Controles de aplicativos

São aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação (entrada, processamento e saída de dados), com o objetivo de garantir um processamento confi ável e acurado.Sem um controle de aplicativo apropriado, existe o risco de que características de segurança possam se omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneos ou códigos fraudulentos sejam introduzidos. Por exemplo: um programador pode modifi car códigos de programas para desviar dos controles e obter acesso a dados confi denciais; a versão errada de um programa pode ser implementada, causando processamentos errados ou desatualizados; um vírus pode se introduzido, prejudicando o processamento.

Controles de entrada de dados

São projetados para garantir que os dados sejam convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e tempestiva.Os controles de entrada de dados devem detectar transações não-autorizadas, incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas.

A autorização para entrada de dados

Nem sempre é possível ter procedimentos de autorização antes da entrada de dados. Em sistemas de entrada de dados on-line, são indispensáveis as rotinas de validação de dados para compensar a ausência da autorização. O sistema deve checar automaticamente se o usuário está cadastrado para usar aquele aplicativo e se os dados por ele preenchidos satisfazem certas condições.A organização deve estabelecer rotinas que impeçam o uso não-autorizado ou indevido de microcomputadores ou terminais durante a entrada de dados.

Controles do processamento de dados

Os controles de processamento devem assegurar que todos os dados de entrada sejam processados e que o aplicativo seja executado com sucesso, usando os arquivos de dados, as rotinas de operação e a lógica de processamento corretos.

Controles da saída de dados

Controles da saída são utilizados para garantir a integridade e a correta e tempestiva distribuição dos dados de saídas.A principal preocupação com a saída de dados consiste na restrição do acesso a informações sigilosas às pessoas autorizadas. Os controles devem proteger cópias em papel ou meio magnético, impressão local e remota, armazenagem, transmissão dos dados.

3.2. Auditoria do desenvolvimento de sistemas

A auditoria do desenvolvimento de sistemas objetiva avaliar a adequação das metodologias e procedimentos de projeto, desenvolvimento, implantação e revisão pós-implantação dos sistemas produzidos dentro da organização auditada.

Esta avaliação pode abranger apenas o ambiente de desenvolvimento da organização ou prever também a análise do processo de desenvolvimento de um sistema específi co, ainda na fase de planejamento, já em andamento ou após sua conclusão.

O desenvolvimento de um sistema de informação representa um investimento que não pode ser assumido sem dados confi áveis


150


e precisos sobre o custo do projeto, seus benefícios e os riscos envolvidos

Todos os projetos de desenvolvimento de sistemas precisam ter sido avaliados em profundidade, devendo ser precedidos de análises de custo/benefício, capacidade de satisfação dos usuários e de atendimento aos objetivos da organização, custos de desenvolvimento, medidas de desempenho, planos de implementação, previsão de recursos humanos, etc. São necessários, também, mecanismos gerenciais que auxiliem a defi nição de prioridade dos projetos e permitam sua avaliação e controle durante todo o processo de desenvolvimento.

3.3. Auditoria de banco de dados

Tradicionalmente, o termo banco de dados foi usado para descrever um arquivo contendo dados acessíveis por um ou mais programas ou usuários. Os arquivos de dados eram designados para aplicações específi cas e o programa era projetado para acessá-los de uma forma predeterminada.

3.4. Auditoria de redes de computadores

Atualmente, é bastante comum que os usuários de um sistema estejam em um local diferente de onde se encontram os recursos computacionais da organização. Isto torna necessário o uso de mecanismos de transporte de informações entre diferentes computadores e entre computadores e seus periféricos.

Para o bom funcionamento da comunicação de dados são usados:

Arquivo log de comunicações, onde fi cam registrados todos os blocos transmitidos correta e incorretamente para efeito estatístico e para tentativas de recuperação de dados transmitidos;

Software de comunicação de dados para verifi cação de protocolo de transmissão, gravação do arquivo log de transações e para codifi cação de sinais de comunicação;

Protocolo de transmissão que garante a recepção correta do bloco de informações transmitidas;


151


Unidade 5

Software ou hardware para a realização de codifi cação e decodifi cação das informações transmitidas.

O principal risco oferecido pelas redes é o de acesso não autorizado a dados e programas da organização, que pode resultar em danos ou prejuízos intencionais ou acidentais.

Existe uma grande variedade de software e hardware especializados em limitar o acesso de indivíduos ou sistemas externos a uma rede de comunicação.

Exemplos de componentes de rede que podem ser usados para limitar o acesso incluem gateways ou fi rewalls (dispositivos que restringem acesso entre redes, importantes para reduzir o risco associado ao uso da internet); monitores de teleprocessamento (programas incorporados ao sistema operacional dos computadores para limitar o acesso) e dispositivos de proteção dos canais de comunicação.

Além dos riscos associados à facilidade de acesso a dados e programas, a auditoria das redes de comunicação de computadores deve contemplar os riscos relativos à operação incorreta do sistema, perda de informações que podem causar dano ou prejuízo à organização em função do ambiente de rede.

Quais os elementos críticos que a auditoria de redes de comunicação deve abranger?

A auditoria de redes de comunicação deve abranger os seguintes elementos críticos:

Gerência de rede - devem existir procedimentos e políticas para auxiliar a gerência do ambiente de rede e padrões defi nidos para controle do hardware envolvidos;

Segurança dos dados e da rede - devem existir mecanismos de controle de hardware e software que garantam a segurança e integridade dos dados mantidos


152


no ambiente de rede e dos recursos físicos que a compõem; bem como limitem e controlem o acesso a programas e dados;

Operação da rede - a organização deve oferecer condições para uma operação efi ciente da rede, incluindo normas e procedimentos de treinamento de pessoal, execução de cópias de segurança, avaliação da efi ciência do serviço e rotinas de recuperação da rede após interrupções inesperadas;

Software de rede - a gerência de rede deve monitorar e controlar o software de comunicação e o sistema operacional instalado.

3.5. Auditoria de microcomputadores

Normalmente são chamados microcomputadores os computadores de mesa que compreendem um processador, disco rígido e fl exível, monitor e teclado. Os microcomputadores podem ser utilizados isoladamente ou estar conectados a uma rede, com o propósito de compartilhar dados ou periféricos.

Exemplos dos riscos específi cos associados aos microcomputadores:

Familiaridade – por causa da aparente simplicidade e facilidade de utilização, existe o risco de que o uso inadequado seja subestimado por usuários e pela gerência;

O custo – ainda que os microcomputadores possam ser considerados de baixo custo, é importante levar em conta gastos com softwares, periféricos e manutenção, que pode elevar signifi cativamente o custo de uma máquina;

Localização – microcomputadores normalmente estão localizados em escritórios comuns, com pouca proteção contra furto, acesso não-autorizado ou dano acidental;

Software proprietário – apesar de ser mais barato adquirir programas do que desenvolvê-los internamente, os softwares oferecidos pelo mercado muitas vezes não apresentam mecanismos de segurança adequados;


153


Unidade 5

Para que possa proteger-se contra estes riscos, a organização precisa adotar políticas e procedimentos específi cos quanto ao uso de microcomputadores pelos seus funcionários, compreendendo padrões de hardware, software, aquisição, treinamento e suporte, além dos controles gerais e de aplicativos.

Os microcomputadores precisam de controles específi cos destinados a protegê-los de furto ou acidente, que podem ocasionar a perda de dados e programas. Isto pode ser evitado através de restrições físicas de acesso às máquinas, controles de software, tais como: senhas de acesso e realização periódica de cópias de segurança. O furto de equipamentos pode ser evitado por meio de mecanismos adequados de segurança no local de trabalho.

Quais são os elementos críticos para auditoria de microcomputadores?

Os elementos críticos para a auditoria dos microcomputadores são:

Controles do software em uso - destinados a garantir consistência da operação dos softwares instalados nos microcomputadores, impedindo a instalação de programas não-autorizados, sua alteração indevida, etc.,

Segurança - controla o acesso a recursos computacionais, dados e programas, protegendo-os contra alterações indevidas, furtos, divulgação de documentos sigilosos, etc.

Controles sobre a operação - protegem os recursos de microinformática contra prejuízos e danos causados por falta de treinamento de pessoal e de manutenção adequada.

Uma vez que você estudou os tipos de auditoria, chega a vez de entender como os conhecimentos estudados até agora nesta disciplina, se aplicam a prática do auditor.


154


Seção 4 – Roteiro para avaliação dos controles internos em auditoria de sistemas

A seguir, é apresentado um roteiro para servir de base à avaliação dos controles internos em auditoria de sistemas. Os tópicos a serem avaliados devem ser escolhidos com base nos objetivos da auditoria. Outros itens de avaliação poderão ser necessários dependendo das circunstâncias.

Avaliação dos controles gerais

O auditor deve avaliar se dentro do departamento de tecnologia da informação (DTI) existem unidades

organizacionais bem defi nidas e com suas funções claras. Como parâmetro para o DTI, foram defi nidas:

Cada Unidade dentro do DTI defi niu seus principais objetivos e padrões de desempenho.

Cada Unidade dentro do DTI defi niu os diversos níveis de autoridade, as responsabilidades de cada cargo e as habilidades técnicas necessárias para exercê-los.

Os funcionários do DTI exercem atividades compatíveis com as estabelecidas formalmente pela organização.

Os funcionários do DTI possuem capacitação técnica compatível com o previsto no respectivo plano de cargos.

Atividades dos funcionários são controladas e a política de seleção clara.

Treinamento e avaliação de desempenho são políticas na área de capacitação.

Existem instruções documentadas para o desempenho das atividades dentro do DTI, que são seguidas pelos funcionários.

Existem manuais de instrução que indicam como operar softwares de sistema e aplicativos.

O pessoal técnico tem supervisão adequada, inclusive nas trocas de turno de operação de computadores.


155


Unidade 5

As atividades dos operadores do sistema computacional são automaticamente armazenadas em registros históricos de operação.

Supervisores revisam periodicamente os registros históricos de operação e investigam qualquer anormalidade.

Há um planejamento das necessidades de pessoal especializado e existem políticas defi nidas, métodos e critérios para o preenchimento de vagas que permitam aferir as reais habilidades técnicas dos pretendentes.

Existe um programa de treinamento de pessoal na área de tecnologia da informação, com recursos sufi cientes para capacitar o pessoal técnico.

Existe um programa de avaliação de desempenho efi caz.

a) Política de segregação de funções e controles de acesso

Funções distintas são desempenhadas por diferentes indivíduos, incluindo as seguintes:

Gerência dos sistemas de informação;

Projetos de sistemas;

Programação de aplicativos;

Programação de sistemas;

Teste e garantia de qualidade;

Gerência de biblioteca/gerência de alteração;

Operação de computador;

Controle de dados;

Segurança de dados;

Administração de dados.


156


b) Controles gerais: programa de segurança

Os riscos são periodicamente avaliados, de acordo com políticas documentadas para esta avaliação.

As avaliações do risco são realizadas por pessoal sufi cientemente independente (não diretamente responsável pelas questões de segurança), sendo revistas toda vez que algum sistema, instalação ou outra condição se altere.

A avaliação do risco leva em conta a vulnerabilidade inerente aos dados e o risco adicional, acrescentado pelos diversos caminhos de acesso passíveis de utilização por usuários e estranhos não-autorizados.

As avaliações gerais de risco mais recentes estão de acordo com as políticas estabelecidas e atendem aos demais requisitos acima indicados.

c) Documentação do programa de segurança

O auditor, neste momento, deve questionar se o plano de segurança:

Foi documentado e aprovado pela alta gerência e pelos setores afetados;

Cobre todas as instalações e operações essenciais;

É mantido atualizado, com revisões periódicas e ajustes que refl itam as mudanças nas condições de operação e nos riscos;

Estabelece uma estrutura de gerência de segurança com independência, autoridade e conhecimento sufi cientes;

Prevê a existência de gerentes de segurança dos sistemas de informação tanto em nível geral quanto nos níveis subordinados;

Identifi ca precisamente o proprietário de cada recurso computacional e os responsáveis pela gerência do acesso a estes recursos;


157


Unidade 5

Defi ne as responsabilidades de segurança nos seguintes níveis: (1) proprietários e usuários dos recursos de informação; (2) pessoal de processamento de dados; (3) alta gerência; e (4) administradores de segurança;

É periodicamente revisto e atualizado, estando em dia com as necessidades da entidade.

d) Política de segurança efi caz

Deve existir um programa de treinamento sobre as políticas de segurança que inclua treinamento inicial de todos os novos funcionários e usuários a respeito das normas de segurança para uso dos recursos computacionais.

Deve existir um treinamento periódico de atualização!

Um treinamento que possa ser realizado, por exemplo, via mensagens de correio eletrônico que alertem os usuários para os procedimentos existentes, como necessidade de troca periódica de senhas e de manutenção do sigilo das mesmas, etc. (Examinar os registros das atividades de treinamento.).

Os processos de transferência e demissão incluem procedimentos de segurança, tais como:

devolução de crachás, chaves, passes de identifi cação, etc.;

notifi cação da gerência de segurança para a pronta desativação de senhas de acesso;

imediata retirada do funcionário do local de trabalho;

defi nição do período em que o funcionário afastado fi cará sujeito à guarda do sigilo das informações confi denciais às quais teve acesso.


158


e) Controles gerais: planejamento da continuidade do negócio

Avaliação da vulnerabilidade das operações computadorizadas e identifi cação dos recursos que as apóiam. A organização preparou uma lista de dados, operações e sistemas críticos que:

informa a prioridade de cada item;

foi aprovada pelos gestores responsáveis;

refl ete a situação atual dos recursos computacionais.

Adoção de medidas devem objetivar a prevenção de interrupções potenciais e minimizar danos causados.

São exemplos de medidas preventivas:

Por exemplo, cópias de segurança dos arquivos e da documentação dos sistemas são providenciadas e deslocadas para um local de armazenamento externo, com freqüência sufi ciente para evitar problemas em caso de perda ou dano dos arquivos em uso.

O local de armazenamento externo está localizado geografi camente distante da sede da organização e é protegido por controles ambientais e controles de acesso físico.Dispositivos de supressão e prevenção de incêndio foram instalados e estão em funcionamento (detectores de fumaça, extintores de incêndio, etc.).Controles físicos foram implementados para evitar outros desastres, tais como inundação, elevação excessiva da temperatura, etc. Os controles físicos são periodicamente testados.Foi providenciada uma fonte substituta de suprimento de energia elétrica que permita, em caso de falha da fonte principal, a conclusão segura das operações em andamento.Os procedimentos de emergência são periodicamente testados junto ao pessoal encarregado de implementá-los.


159


Unidade 5

Os funcionários do departamento de TI receberam treinamento para os casos de emergência, tendo sido informados de suas responsabilidades na ocorrência de eventos do gênero. Verifi car se existem registros de treinamentos periódicos previstos e efetuados para procedimentos de emergência envolvendo fogo, inundação e disparo de alarmes. O pessoal de todos os departamentos tem conhecimento de suas atribuições em caso de emergência (telefone para notifi cação de problemas, procedimentos de emergência na ocorrência de desastres, etc.).Existem políticas e procedimentos atualizados de manutenção de hardware, gerência de problemas e gerência de alteração de programas para prevenir interrupções inesperadas da operação.Existe um hardware de reserva que garanta, em casos de problemas com o equipamento principal, a disponibilidade do sistema para aplicações críticas e vulneráveis.

O que o auditor precisa documentar?

No caso do desenvolvimento e documentação do plano de contingência, o auditor tem que verifi car se existe um plano de contingência devidamente documentado que:

refl ete as condições atuais da organização;

foi aprovado pelos grupos mais afetados, incluindo a alta administração, DTI e gerentes proprietários dos sistemas;

atribui as responsabilidades de recuperação de forma clara;

inclui instruções detalhadas para restaurar a operação, tanto do sistema operacional quanto das aplicações críticas;

identifi ca a instalação alternativa de processamento e o local externo de armazenamento de cópias de segurança;


160


inclui procedimentos a serem seguidos quando o centro de processamento de dados estiver impossibilitado de receber ou transmitir dados;

identifi ca os sistemas e os arquivos de dados críticos;

é detalhado o sufi ciente para ser compreendido por todos os gerentes da organização;

foi distribuído para todas as pessoas apropriadas;

o plano de contingência foi testado em condições que simulem um desastre.

Examinar as políticas de teste e os relatórios da sua execução;

os resultados dos testes foram documentados e um relatório com as “lições aprendidas” foi providenciado e encaminhado para a alta administração;

o plano de contingência e os acordos relacionados foram ajustados para corrigir quaisquer defi ciências constatadas durante o teste.

f) Controles gerais: controle de acesso

Existem políticas e procedimentos documentados para a classifi cação dos principais recursos de informação pelos critérios de importância e vulnerabilidade dos dados.

As autorizações de acesso são:

documentadas e mantidas em arquivo organizado;

aprovadas pelo proprietário do recurso computacional;

transmitidas para os gerentes de segurança de uma forma protegida.

As autorizações de acesso temporárias são:

documentadas e mantidas em arquivo;

aprovadas pela gerência encarregada;


161


Unidade 5

comunicadas de uma forma protegida para o serviço de segurança;

automaticamente desativadas após um período determinado.

g) Controles lógicos sobre arquivos de dados e programas de software

Aqui o auditor tem que verifi car se:

softwares de segurança são usados para restringir o acesso aos arquivos de dados e programas;

o acesso ao software de segurança é restrito aos administradores de segurança;

as sessões de acesso a sistemas, via terminais de computadores, são terminadas automaticamente após um período de inatividade do operador;

os responsáveis pela administração da segurança confi guram o software de segurança para restringir o acesso não-autorizado a arquivos de dados, bibliotecas de dados, procedimentos de operação em lote (batch), bibliotecas de códigos fonte, arquivos de segurança e arquivos de sistema operacional. Testar os controles tentando obter acesso a arquivos restritos.

h) Controles lógicos sobre a base de dados

Controles sobre os gerenciadores de banco de dados (SGBD ou DBMS) e dicionários de dados foram implementados para:

restringir o acesso a arquivos de dados nos níveis de leitura de dados, campos, etc.;

controlar o acesso ao dicionário de dados usando perfi s de segurança e senhas;

manter trilhas de auditoria que permitam supervisionar mudanças nos dicionários de dados;


162


prever formas de pesquisa e atualização de funções de aplicativos, funções de SGBD e dicionário de dados.

i) Controles lógicos sobre acesso remoto

Um software de comunicação foi implementado para:

identifi car o terminal/ponto de acesso que está em uso pelo usuário;

checar IDs (códigos de identifi cação do usuário) e senhas para acesso a aplicativos específi cos;

controlar o acesso através de conexões entre sistemas e terminais;

restringir o uso de facilidades de rede em aplicações específi cas;

interromper automaticamente a conexão ao fi nal de uma sessão;

manter registros da atividade na rede;

restringir o acesso a tabelas que defi nem opções de rede, recursos e perfi s de operador;

permitir que somente usuários autorizados desconectem componentes da rede;

supervisionar o acesso discado, através do controle da fonte de chamadas ou pela interrupção da chamada e retorno da ligação para números de telefone previamente autorizados;

restringir o acesso interno aos softwares de telecomunicações;

controlar mudanças nesses softwares;

garantir que dados não sejam acessados ou modifi cados por usuários não-autorizados durante sua transmissão ou enquanto temporariamente armazenados;

restringir e supervisionar o acesso ao hardware de telecomunicações ou instalações.


163


Unidade 5

j) Controles gerais: software de sistema

Quanto a restrição de acesso:

Existem políticas e procedimentos atualizados para a restrição do acesso ao software de sistema?

O auditor tem que prestar atenção nestes aspectos:

o acesso ao software de sistema é restrito a um número limitado de pessoas, cujas responsabilidades exijam este acesso. (programadores de aplicativos e usuários em geral não devem possuir autorização de acesso ao software de sistema);

os documentos com justifi cativa e aprovação da gerência para o acesso ao software de sistema são mantidos em arquivo;

o nível de acesso permitido aos programadores de sistema é periodicamente reavaliado pelos gerentes para ver se a permissão de acesso corresponde às necessidades de serviço. Verifi car a última vez que o nível de acesso foi revisto.

Existem políticas e procedimentos documentados e atualizados para o uso de utilitários do software de sistema?

Dentro do serviço de auditoria, o auditor deve prestar atenção nos seguintes pontos:

as responsabilidades no uso de utilitários de sistema foram claramente defi nidas e compreendidas pelos programadores de sistema;

as responsabilidades pela supervisão do uso de utilitários de sistema estão defi nidas e são exercidas pela gerência de informática;


164


o uso de utilitários de sistema é registrado em relatórios produzidos pelo software de controle de acesso ou outro mecanismo de registro de acesso;

os registros de acesso ao software de sistema e aos seus utilitários são periodicamente examinados pela gerência de informática e atividades suspeitas ou não usuais são investigadas;

revisões gerenciais são efetuadas para determinar se as técnicas de supervisão do uso do software de sistemas estão funcionando como previsto e mantendo os riscos dentro de níveis aceitáveis (avaliações periódicas dos riscos).

Existem políticas e procedimentos atualizados para identifi car, selecionar, instalar e modifi car o software de sistema, bem como identifi car, documentar e solucionar problemas com este software?

A implantação de novas versões do software de sistema ou seus utilitários segue procedimentos de segurança, que incluem:

justifi cativa documentada para a alteração;

realização de testes conduzidos num ambiente próprio e não no ambiente de operação normal;

parecer técnico sobre os resultados do teste;

revisão dos resultados dos testes e das opiniões documentadas, pólo gerente de TI;

autorização do gerente de TI para colocar a nova versão do software de sistema em uso.

Como realizar controles de aplicativos?


165


Unidade 5

Acompanhe a lista de verifi cações do auditor:

existem procedimentos documentados para a inserção de dados na aplicação;

os documentos ou telas de entrada garantem a entrada de dados de maneira exata e consistente;

os campos de dados de preenchimento obrigatório são facilmente identifi cáveis na tela;

existem padrões para as telas de entrada, quando a sua apresentação, disposição dos campos e acionamento de teclas.

rotinas de preparação dos dados (batch)

existem rotinas para a preparação dos dados a serem preenchidos em cada documento;

há pessoas claramente identifi cadas como responsáveis pela preparação, revisão e autorização da entrada de dado;

existem rotinas escritas para cada atividade do processo de preparação de dados, com instruções claras e adequadas;

no caso de aplicativos em que a entrada de dados ocorre em terminais ou microcomputadores, há procedimentos de segurança para o uso, manutenção e controle de códigos de identifi cação do operador e do terminal ou estação de trabalho;

os códigos de identifi cação do operador e do terminal são checados no processo de autorização de entrada de dados;

existem procedimentos documentados para que, em caso de transmissão eletrônica de documentos, a rota utilizada e os procedimentos de autorização sejam registrados;

os microcomputadores e terminais usados pela organização para entrada de dados estão localizados em salas fi sicamente seguras;


166


as rotinas de entrada de dados da organização asseguram que esta atividade só pode ser executada por funcionários com determinado nível de acesso.

Como realizar verifi cações para aplicações com entrada de dados batch?

Verifi cações para aplicações com entrada de dados batch:

a aprovação da entrada de dados está limitada aos indivíduos especifi cados pela organização em documento escrito;

pessoal responsável pela autorização da entrada de dados não executa outras tarefas incompatíveis pelo princípio da segregação de funções (v. Segregação de Funções nos Controles Gerais).

Como realizar verifi cações na entrada de dadoson-line?

Na entrada de dados on-line deve-se verifi car se:

existem controles lógicos e físicos nos pontos de acesso (terminais ou microcomputadores) para prevenção e detecção de entrada de dados não-autorizados;

foram instalados mecanismos de segurança para gerenciar a autorização de acesso às transações on-line e aos registros históricos associados;

os mecanismos de segurança da organização garantem que todas as tentativas de acesso, com ou sem sucesso, são gravadas em logs que registram data e hora do evento de acesso e identifi cam o usuário e o ponto de acesso.


167


Unidade 5

Na retenção de documentos de entrada (sistema batch) deve ser verifi cado se:

os documentos originais são retidos pela organização por um determinado período de tempo com intuito de facilitar a recuperação ou reconstrução de dados;

existem procedimentos documentados para retenção de documentos na organização;

os documentos fi cam retidos por tempo sufi ciente para permitir a reconstrução de dados, caso sejam perdidos durante a fase de processamento;

os documentos são mantidos em arquivos organizados, para fácil recuperação;

o departamento que originou os documentos mantém cópias dos mesmos;

somente as pessoas devidamente autorizadas têm acesso aos documentos arquivados;

existem procedimentos documentados para remover e destruir os documentos quando expirado o tempo de tensão e se estes são obedecidos.

A organização deve estabelecer rotinas que assegurem que os dados de entrada são validados e editados de forma a espelharem corretamente os documentos originais.

Nesse interim, verifi car se:

existem procedimentos documentados que defi nem o formato dos dados para assegurar a entrada deles no campo correto e com o formato adequado;

nas rotinas de entrada de dados existem informações de ajuda (help) para facilitar a entrada de dados e reduzir o numero de erros;


168


existem mecanismos para a validação, edição e controle da entrada de dados (terminais inteligentes ou software dedicado a esta função);

os campos essenciais para o correto processamento posterior dos dados são de preenchimento obrigatório;

existem rotinas para detectar, rejeitar e impedir a entrada de dados incorretos no sistema;

a validação dos dados é executada em todos os campos relevantes do registro ou tela de entrada;

As rotinas de validação de dados testam a presença de:

Código de aprovação e autorização;

Dígitos de verifi cação em todas as chaves de identifi cação;

Dígitos de verifi cação ao fi nal de uma seqüência (string) de dados numéricos;

Códigos válidos;

Valores alfanuméricos ou numéricos válidos;

Tamanhos válidos de campo;

Campos combinados;

Limites válidos, razoabilidade dos valores ou faixa de valores válidos;

Campos obrigatórios preenchidos;

Símbolos;

Registros de entrada completes;

Campos repetitivos, eliminando a necessidade da entrada dos mesmos dados mais de uma vez.

A organização utiliza totais de controle de processamento em lote (batch), gerados pelos terminais de entrada de dados ou pelo software dos microcomputadores, para assegurar que todos os dados enviados em lote foram recebidos corretamente.


169


Unidade 5

A rotina de entrada de dados da organização estabelece um registro histórico dos dados, proporcionando uma trilha de auditoria.

A organização deve estabelecer rotinas para correção e re-submissão de dados de entrada incorretos.

Para tal é necessário verifi car se:

existem rotinas para identifi cação, correção e re-submissão de dados incorretos.

a rotina de entrada de dados possui procedimentos automáticos ou manuais que permitem que dados errôneos sejam prontamente corrigidos e re-submetidos;

existe controle sobre os erros ocorridos na entrada de dados, sendo possível identifi cá-los justamente com as medidas que foram tomadas para corrigi-los e qual o tempo transcorrido entre a sua ocorrência e sua correção;

as mensagens de erro geradas pela rotina de entrada de dados são sufi cientemente claras e fáceis de serem entendidas pelo usuário do terminal ou microcomputador, facilitando a correção e a submissão dos dados.

A organização possui um grupo de controle responsável pelas seguintes atividades:

investigar e corrigir qualquer problema operacional no terminal, microcomputador ou outro dispositivo de entrada de dados;

assegurar que os procedimentos de reinicializarão são executados de maneira apropriada;

monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar;

investigar qualquer desvio dos procedimentos de entrada de dados preestabelecidos;


170


os recursos computacionais e humanos disponíveis para a entrada de dados garantem que estes sejam inseridos tempestivamente.

Como realizar controle do desenvolvimento de sistemas?

Uma questão importante a auditar é se foi desenvolvida uma metodologia de desenvolvimento de sistemas que:

fornece uma abordagem estruturada de desenvolvimento, compatível com os conceitos e práticas geralmente aceitos, incluindo o envolvimento ativo dos usuários durante o processo;

é sufi cientemente documentada, sendo capaz de oferecer orientação a funcionários com diversos níveis de conhecimento e experiência;

oferece meios de controlar mudanças nos requisitos de projeto que ocorram durante a vida do sistema;

inclui requisitos de documentação;

o pessoal envolvido no desenvolvimento e teste de software foi treinado para utilizar a metodologia de desenvolvimento adotada pela entidade;

solicitações de alteração de sistemas são documentadas e submetidas à aprovação tanto dos usuários do sistema quanto do DTI;

os softwares de domínio público ou de uso pessoal são objetos de políticas restritivas (é importante que a entidade tenha políticas claras com respeito ao uso de softwares de domínio publico ou de propriedade pessoal do funcionário do trabalho). Permitir aos funcionários que utilizem seus próprios softwares ou mesmo disquetes para armazenamento de dados que foram usados em outro lugar, aumenta os riscos de introdução de vírus, de violação de patentes e de processamento errado de dados, causado pela utilização de programas inadequados.


171


Unidade 5

O auditor deve verifi car a existência de procedimentos de alterações de emergência documentados.

As alterações de emergência são:

documentadas e aprovadas pelo supervisor de operação;

formalmente relatadas à gerência de operação para as providências necessárias;

aprovadas, ainda que depois de realizadas pelos gerentes de desenvolvimento proprietário do sistema.

No que diz respeito ao banco de dados, analisar e verifi car se foram claramente defi nidas e documentadas as responsabilidades relacionadas à administração de dados, tais como:

coordenação da manutenção dos dados (defi nição, criação, exclusão e propriedade dos dados);

estabelecimento de políticas de acesso, confi dencialidade e integridade de dados;

manutenção da documentação;

coordenação entre administração de dados, usuários e programação de sistemas;

desenvolvimento e manutenção de padrões.

O pessoal responsável pelas atividades de administração de dados possui as habilidades e conhecimentos técnicos necessários para executá-las.

Verifi car se foram claramente defi nidas e documentadas as responsabilidades relacionadas à administração de banco de dados.


172


Tais como:

projeto e manutenção da estrutura da base de dados;

revisão e avaliação da confi abilidade do sistema gerenciador de banco de dados;

avaliação do pessoal encarregado das funções de banco de dados;

treinamento do pessoal responsável pela administração de banco de dados;

segurança de dados;

o pessoal responsável pelas atividades de administração de banco de dados possui as habilidades e conhecimentos técnicos necessários para executá-las;

as atividades de administração de banco de dados são armazenadas em registros históricos e periodicamente analisadas por um supervisor;

o plano de treinamento em linguagens de acesso a banco de dados é adequado.

Como realizar Controle das redes de computadores?

A escolha da plataforma de rede para a organização foi precedida de uma análise de custo/benefício fundamentada em elementos sufi cientes para justifi car a alternativa adotada. O plano de implantação de processamento em rede contempla:

participação dos usuários;

riscos da conversão dos sistemas;

as diferentes necessidades de processamento dos usuários das diversas localidades;

testes de aceitação a serem executados pelo DTI (Departamento de Tecnologia da Informação), pelo controle de qualidade e por usuários selecionados.


173


Unidade 5

Ao auditor, cabe verifi car se:

os procedimentos de controle do processamento em rede são testados e avaliados periodicamente;

existem procedimentos documentados que defi nem as atividades permitidas no ambiente de rede;

os procedimentos de operação da rede foram distribuídos aos usuários de cada departamento;

foi estabelecido um mecanismo para garantir a compatibilidade de arquivos entre as aplicações, na medida do tamanho e complexidade da rede;

foi estabelecida uma política de auditoria e de backup para a rede.

existem procedimentos documentados e responsabilidades atribuídas para as atividades de inicialização (start-up), supervisão e uso da rede e recuperação de defeitos de funcionamento do hardware.

Verifi car se o DTI possui políticas, procedimentos e padrões documentados, atualizados e divulgados para o pessoal responsável, cobrindo as seguintes áreas:

descrição resumida de cada aplicativo rodando na rede;

procedimentos de operação (tais como startup e shutdown);

gerência de fi tas e discos;

cópias de segurança (backup);

procedimentos de emergência;

planejamento de contingência.

Os departamentos de usuários devem manter um inventário atualizado dos equipamentos de rede que se encontrem em seu local de trabalho e revisar periodicamente a efi cácia das práticas de segurança adotada.


174


Os procedimentos de segurança devem estar adequados para proteger os recursos físicos da rede e a integridade do software do aplicativo e dos dados armazenados, e devem ser periodicamente revisados (v. também Programa Geral de Segurança e Controles Gerais: Controles de Acesso).

O grupo responsável pela segurança da rede confere periodicamente se a documentação de segurança está devidamente atualizada e reavalia, com a freqüência sufi ciente, a adequação dos controles de segurança:

do hardware de comunicação e estações de trabalho;

do sistema operacional;

dos aplicativos relevantes.

Um ponto interessante de se verifi car é se existe segregação de funções adequada entre gerência de funções, entre gerência de rede e gerência de segurança, pois isto denota uma rede organizada e segura.

Na existência da gerência de segurança, verifi car a existência de trilhas de auditoria, informando atividades tais como:

login/out (local, hora e data, identifi cação do usuário);

tipo de acesso (discado, por estação de trabalho, etc.);

tentativas de acesso inválidas (local, hora e data, ID).

E, por fi m, não esqueça que usuários devem conseguir acesso aos discos, volumes, diretórios e arquivos somente para os quais possuem autorização. As tentativas de acesso devem ser contabilizadas de forma que após um determinado número de tentavias falhas, exista o travamento da conta do usuário. Ainda restam a conta de usuário, que deverá ser pessoal e intransferível, e a senha dessa conta.

Uma ótima dica é estabelecer perfi s de acesso para os usuários, que defi nam os recursos, dados, aplicações, transações e


175


Unidade 5

comandos autorizados, de acordo com as responsabilidades dos respectivos cargos.

Uma vez que você fi nalizou a leitura criteriosa desta unidade, realize as atividades propostas e pratique os novos conhecimentos.



1) Das inúmeras técnicas de auditoria, quais delas são utilizadas em ambientes de produção, rodando em paralelo e que não comprometem a saída de dados ou informações?

2) O que determina o controle de sofware de sistemas?


176


3) Que cuidados a organização deve ter no que diz respeito à demissão de um funcionário?

Síntese

Nesta última unidade, você conheceu algumas das mais usadas técnicas de auditorias, como test-deck, ITF, entre outras. Também conheceu os parâmetros necessários para uma rede segura.

Você viu que a utilização da tecnologia da informação para a manipulação e armazenamento de dados introduz novos riscos para o controle, acrescentando outras variáveis às questões relacionadas à segurança e por conseqüência ao trabalho de auditoria.

Muitas vezes, redes corporativas bem estruturadas acabam esbarrando em falhas internas, de usuários não preparados para utilizar os sistemas ali instalados. Um bom começo de estruturação de uma política de segurança é a conscientização dos usuários por parte do pessoal responsável pela segurança de dados. Educar é a melhor política que pode ser aplicada à organização, principalmente se apoiada pela classe executiva da empresa.

A segurança não é um projeto e sim um processo, portanto deve ser revista constantemente. Deve-se ter na equipe pessoas alertas e informadas de falhas de sistemas operacionais, gerenciadores de bancos de dados, dispositivos de redes locais e de longa distância (LAN / WAN) que sejam sempre proativos em possíveis incidentes.


177


Unidade 5

Política de segurança é a linha de defesa contra qualquer ataque, é um documento importantíssimo na organização e deve ser conhecido por todos os funcionários. Utilizando esta mesma analogia, a auditoria será o procedimento para que esta linha de defesa fi que sempre fi rme, sem causar danos ao cliente. E também, por este motivo ela deve ser realizada periodicamente.

Saiba mais

Para aprofundar as questões abordadas nesta unidade você poderá pesquisar os seguintes livros:

MARCIAL, Elaine Coutinho. GRUMBACH, Raul José dos Santos. Cenários Prospectivos: como construir um futuro melhor. Rio de Janeiro: Editora FGV, 2002.

MARCY, José de Campos Verde. Foco na Gestão da Segurança Empresarial. Revista Proteger, S.Paulo, número 31, pg. 41 até 43, 2000.

PINKERTON CONSULTING and INVESTIGATIONS. Top Security Th reats and Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies. Pinkerton Service Corporation, 2002.


Para concluir o estudo

Parabéns! Você acaba de concluir os estudos da disciplina de auditoria em sistemas informatizados.

O conhecimento adquirido por você é de suma importância para sua carreira profi ssional, pois os últimos anos provocaram uma grande mudança no papel do auditor. De mero fi scalizador de processos, ele tornou-se um profi ssional com participação estratégica no desenvolvimento da competitividade da empresa.

Hoje o papel do auditor vai muito além de simplesmente identifi car problemas. Ele tem que conhecer a empresa e atuar, no sentido de corrigir as falhas existentes dentro do processo de gestão da informação. Com isso, ele ajuda no desenvolvimento da organização e contribui para o aperfeiçoamento de sua competitividade.

O Conhecimento de auditoria em sistema de informação garante a qualidade dos serviços prestados pelo DTI, ajuda no aprimoramento dos controles internos, permite a detecção de fraudes, cada vez mais comuns no ambiente corporativo e aprimora o desenvolvimento das pessoas. Enfi m, é um serviço que contribui muito para o desenvolvimento da empresa.

Por fi m, esperamos que o período dedicado a estudar esta disciplina tenha despertado o interesse em prosseguir na busca de novos conhecimentos sobre a auditoria em sistemas de informação. Você verá que novos horizontes se abrirão em seu futuro acadêmico e profi ssional.

Bom estudo e um grande abraço.

Davi e Abílio


Referências

BOSWORTH, Seymor. E KABAY, M. E. Computer Security Handbook. Wiley, 2002

BREHMER, Laércio. Política de Segurança da Informação no CIASC. 2003. Dissertação (Pós-graduação em Ciência da Computação), Universidade do Vale do Itajaí, São José.

CARISSIMI, Leonardo. Segurança da Informação agrega valor? Modulo E-Security Magazine. Agosto 2001.

CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurança de Informática e de Informações. SENAC. 1999.

CRONIN, Mary. Global Advantage on the Internet. New York. Nostrand Reynholdsm, 1996.

CASANAS, Alex D. G. e MACHADO, César de S. O impacto da implementação da Norma NBR ISO/IEC 17799 – Código de prática para a gestão da Segurança da Informação – nas Empresas. UFSC. 2000.

CETEC. Comitê Estadual de Tecnologia da Informação. Disponível em www.cetec.sc.gov.br.

CSI/FBI – 2005. Computer Crime and Security Survey. Disponível em http://www.gocsi.com .

DIAS, Claudia. Segurança e Auditoria da Tecnologia da Informação. Axel Books. 2000.

FERREIRA, Fernando N. F. Segurança da informação em ambientes informatizados. Rio de Janeiro: Ciência Moderna, 2003.

JACOMINO. D. Você é um profi ssional ético? Você S.A., São Paulo, v.3, n.25, p.28-37, jul. 2000.

MARCIAL, Elaine Coutinho e GRUMBACH, Raul José dos Santos. Cenários Prospectivos: Como Construir um Futuro Melhor. Rio de Janeiro: Editora FGV, 2002.


182


MARCY, José de Campos Verde. Foco na Gestão da Segurança Empresarial. Revista Proteger, S.Paulo, número 31, pg. 41 à 43, 2000.

MARTINELLI. Noções de Auditoria de Sistemas. Unicamp. 2002.

MARINHO, Fernando. Como proteger e manter seus negócios. 1. ed. Rio de Janeiro: Campus, 2003.

MÓDULO SECURITY SOLUTIONS. 9ª Pesquisa Nacional sobre Segurança da Informação. Disponível em http://www.modulo.com.br. NAVARRO, P. L. Ética na informática. [on line] Disponível em http://www.pr.gov.br/celepar/celepar/batebyte/edicoes/1996/bb60/etica.htm.

NBR ISO/IEC 17799. Tecnologia da Informação. Código de Prática para a gestão de segurança de informação. ABNT. 2001.

NEUMANN, Seev. Strategic Information Systems: Competition through Information Technologies. New York: Macmillan College Publishing Co., 1994.

O`BRIEN, James A. Sistemas de Informação e as Decisões Gerenciais na era da Internet. Saraiva, 2002.

PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threats and Management Issues Facing Corporate America 2002 Survey of Fortune 1000 Companies, Pinkerton Service Corporation, 2002.

PURPURA, Philiph. Security and Loss Prevention : An Introduction. Boston: Butterworth – Heinemann, 3ª edição, 1998.

RFC-2828. Request for Coment: Internet Security Glossary. Disponível em http://www.ietf.org/rfc/rfc2828.txt.

ROPER, Carl A. Risk Management for Security Professionals. Boston: Butterworth – Heinemann, 1999.

ROSENTAL, M. Pequeno dicionário fi losófi co. São Paulo: Editora Política do Estado,1959. 602p.

SALDANHA, Fernando. Introdução a planos de continuidade e contingência operacional. 1. ed. Rio de Janeiro: Papel Virtual, 2000.

SENNEWALD, Charles A. Eff ective Security Management Boston:


183


Butterworth – Heinemann, 3ª edição, 1998.

SEGURANÇA. Segurança Máxima: O Guia Completo de um Hacker para proteger o seu site na Internet e sua rede. Rio de janeiro. Campus. 2000.

SPYMAN. Manual Completo do Hacker. Book Express. 2000.

SROUR, R. H. Poder, cultura e ética nas organizações. Rio de Janeiro: Campus, 1998. 340p.

TOP 10: Os vírus que mais atacaram. Security Magazine. São Paulo. n. 25, Julho de 2004. Disponível em http://www.securitymagazine.com.br.


Sobre os professores conteudistas

Abilio Bueno de Oliveira Neto é bacharel em Ciência da Computação, formado pela Universidade do Sul de Santa Catarina – UNISUL. Atualmente é mestrando em Engenharia do Conhecimento na Universidade Federal de Santa Catarina – UFSC. É engenheiro de sistemas operacionais certifi cado pela Microsoft e pela IBM. É também certifi cado LPI e Citrix. Possui 12 anos de experiência na área tecnologia, 8 deles dedicados à área de segurança de informação Atualmente, trabalha como Arquiteto de Soluções e Auditor de Sistemas de Informação em uma IBM Business Premier Partner chamada POWERSolutions, em Florianópolis.

Davi Solonca é bacharel em Administração de Empresas pela Universidade Federal de Santa Catarina em 1987. Defendeu sua dissertação de Mestrado em 1994, com o título “Valores e crenças dos dirigentes patrimoniais e profi ssionais que infl uenciam a profi ssionalização de empresas familiares”. Natural de São Paulo – SP, radicado em Santa Catarina desde 1978. Concursado em 1984 no Tribunal de Contas de Santa Catarina. Exerceu Chefi as do Controle Externo no Tribunal de Contas. Fez parte de várias Comissões: Análise das Prestações de Contas do Governo do Estado por mais de 10 anos (1992 a 2004); Comissão que analisou as Letras Financeiras do Tesouro do Estado de SC; Auditoria da Dívida Pública de 1992 a 2002; Realizou diversas auditorias externas nos órgãos públicos como Secretaria de Estado da Fazenda, Procuradoria Geral do Estado, Secretaria de Estado da Administração referente ao controle e cobrança da Dívida Ativa do Estado; Auditorias de Gestão; Auditoria no orçamento público estadual, fi nanças públicas, LRF. Auditoria dos Convênios efetuados pelo Estado com Prefeituras Municipais; Analisou a antecipação de


recursos através das Subvenções e Auxílios a Entidades Civis e Órgãos Estaduais. Professor da Unisul desde 1998, do curso de Ciência da Computação e de Sistemas de Informação, ministra as disciplinas de Auditoria de Sistemas e Administração e Sistemas, respectivamente; na Pós-graduação curso de Especialização de Auditoria Governamental e Responsabilidade Fiscal e nas Faculdades Energia: Finanças Públicas e Orçamento Público e matérias afi ns de Administração.


Respostas e comentários das atividades de auto-avaliação

A seguir, acompanhe as respostas sobre as atividades de auto-avaliação apresentadas ao longo de cada uma das unidades desta disciplina. Para o melhor aproveitamento do seu estudo, confi ra suas respostas somente depois de realizar as atividades propostas.

Unidade 1

Respostas:

1) Basicamente, problemas com a integridade, o caráter confi dencial e a disponibilidade das informações.

2) Palavras-chaves para esta resposta são: proteção de investimento de TI, aumento dos níveis de segurança de informações, aderência a alguma norma de segurança, exigência de parceiros de negócio, garantir a continuidade dos negócios.

3) Palavras-chaves que contém a resposta correta são: facilidade de acesso a informações confi denciais dentro de uma corporação, a fraude simples pelo motivo de dinheiro, a insubordinação perante superiores ditos como incompetentes, o prazer de ter burlado a segurança de algum alvo desprotegido, insatisfação com o emprego.

Unidade 2

Respostas:

1) A tendência de sempre se aprimorar, pois com o advento da informática, coletar dados, mesmo no caso de uma auditoria de fi nanças é muito mais complexo do que antigamente, forçando o auditor a sempre se atualizar no que diz respeito a softwares fi nanceiros, sistemas informatizados de auditorias, entre outras tecnologias.

2) Antes da assinatura do contrato, uma proposta comercial deve ser apresentada à empresa contratante de forma que se saiba do escopo de trabalho, ou seja, todas as responsabilidades da


188


empresa contratada e da contratante, para que, no fi nal dos serviços, possa se fazer um processo de Quality Assurance da auditoria em si, ou seja, uma medição do que foi proposto e do que foi realizado.

A empresa que contratar os serviços de auditoria de terceiros deve ter o cuidado de escolher a empresa contratada seguindo algumas características como: tempo que a empresa está no mercado, se a empresa possui um plano de atualização permanente dos auditores, se a empresa não possui muitas queixas ou processos de clientes, verifi car a carteira de clientes da empresa, entre outras características. Na hora da assinatura do contrato, lembrar de ler a parte que fala sobre o sigilo de contrato, que é imprescindível para um contrato de serviços de auditoria, pois se a empresa contratada não for de boa índole, o auditor pode vazar informações para concorrentes, especialmente se ele presta serviços para ambas as empresas. Verifi car se a norma ou padrão adotado pela empresa é uma norma de grande aceitação no mercado. Verifi car se a empresa está atualizada no que concerne às últimas mudanças do mundo contábil, fi nanceiro ou tecnológico. OBS: São 4 itens que devem ser cuidados no que se refere ao cliente, porém se você se lembrar de pelo menos três, já está valendo!

3) Um dos principais motivos de se dar importância à organização desse projeto, é que as empresas de auditorias possuem recursos humanos escassos o que faz com que seu tempo seja gerenciado com muito critério. Sua presença para execução de alguma tarefa só é defi nida nos caso em que sua atuação seja realmente necessária

Unidade 3

Respostas:

1) A função dessa análise é obter uma medida da segurança existente em determinado ambiente informatizado. A primeira consideração relacionada com segurança de ativos de informações, como qualquer outra modalidade de segurança, é a relação custo-benefício. Não se gasta dinheiro em sistemas de segurança ou serviços que não tenham retorno ou que ao menos não garantam algum retorno de investimento, isto é, não se gasta mais dinheiro em proteção do que o valor do ativo a ser protegido.

2) Basicamente, uma política de segurança tem como objetivos preservar os ativos de informação da corporação, garantindo o caráter confi dencial, integridade e disponibilidade da informação. O caráter confi dencial garante que a informação será acessada somente pelo grupo de pessoas autorizadas. Integridade para garantir que a informação estará intacta, sem distorções ou possíveis corrupções de dados. Disponibilidade para garantir que a informação estará sempre disponível ao usuário.


189


3) Os controles são formas de proteger a informação contra desastres, sinistros ou até mesmo ataques externos ou internos. Eles podem ser lógicos, físicos ou ambientais. Um bom exemplo de um controle de acesso lógico, são os programas de antivírus. Quanto aos controles de acessos físicos, temos as salas-cofre, autenticação biométrica para acesso ao datacenter, entre outros. Por sua vez, como exemplo de controles ambientais, temos os equipamentos de condicionador de ar, sistemas de prevenção a incêndios, amortecedores contra terremotos, entre outros.

Unidade 4

Respostas:

1) A Análise de Impacto no Negócio permite quantifi car o valor das perdas que podem ser causadas por incidentes de segurança da informação, considerando os aspectos de caráter confi dencial, integridade e disponibilidade. Os resultados da Análise de Impacto no Negócio dão suporte ao planejamento estratégico de segurança, permitindo priorizar os investimentos nos pontos mais críticos, ou seja, aqueles que podem gerar as maiores perdas para a empresa.

2) Elas são bem distintas, basicamente a estratégia “Hot Site” é muito mais efi ciente e efi caz, porém muito mais cara. O que vai diferenciar a escolha basicamente é a análise de impacto e a análise de riscos que vão apontar a medida de segurança do ambiente e onde se encontra o “calo” da estrutura.

3) Em um ambiente informatizado, as formas de ameaças mudam todos os dias, cada vez mais aprimoradas. Da mesma forma, o plano de continuidade de negócios deve estar sempre atualizado para ser útil. Outro fato é que a manutenção do plano pode acusar falha de processo, que podem ser corrigidas para aumentar a efi cácia do plano.

Unidade 5

Respostas:

1) ITF – Integrated Test Facility

2) Essa categoria de controle tem como parâmetro limitar e supervisionar o acesso aos programas e arquivos críticos do ambiente computacional do cliente, com o objetivo de proteger as aplicações presentes.

3) Procedimentos como a devolução de crachás, chaves, exclusão do login do usuário, defi nição de período de sigilo que um ex-funcionário deve cumprir, entre outros.


auditoria de sistemas informatizados - geolan.com.br · Diretor: Ailton Nazareno Soares Diretora...

Documents

Transcript of auditoria de sistemas informatizados - geolan.com.br · Diretor: Ailton Nazareno Soares Diretora...