S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 2 – Conceitos.
37
SEGURANÇA, CONTROLE E AUDITORIA DE DADOS 2 – Conceitos
Transcript of S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 2 – Conceitos.
SEGURANÇA, CONTROLE E AUDITORIA DE DADOS2 – Conceitos
CONCEITOS
Campo: Objeto a ser fiscalizado;
Entidade completa (pública ou privada); Uma parte selecionada da entidade; Uma função da entidade
Período de fiscalização, Mês, ano... A gestão de algum administrador.
Natureza da auditoria Operacional; Financeira; Legalidade; etc.
CONCEITOS
Âmbito: Amplitude e exaustão dos processos de
auditoria; Limitação racional dos trabalhos executados; Definirá:
Aprofundamento das tarefas de auditoria; Grau de abrangência.
CONCEITOS
Área de Verificação: Formado pelo campo e âmbito da auditoria; Delimita de forma precisa os temas da auditoria.
Campo
Objeto
Natureza
Período
Área de verificação
Sub 1
Sub 2
Sub 3
Campo
Âmbito
CONCEITOS
Controle: Fiscalização exercida sobre as:
Atividades; Órgãos; Departamentos; Produtos.
O objetivo é que estes não se desviem das normas;
Três tipos de controle: Preventivo; Detectivo; Corretivo.
CONCEITOS
Controle Preventivo: Prevenção de erros, omissões ou atos
fraudulentos.
Controle Detectivo: Detectar os erros, omissões ou atos fraudulentos; Relatar sua ocorrência.
Controle Corretivo: Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS
Controle Preventivo: Prevenção de erros, omissões ou atos
fraudulentos.
Controle Detectivo: Detectar os erros, omissões ou atos fraudulentos; Relatar sua ocorrência.
Controle Corretivo: Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS
Objetivos de Controle: Metas de controle a serem alcançadas; Efeitos negativos a serem evitados em:
Transações; Atividades; Funções.
Para serem alcançados, são traduzidos em diversos procedimentos de auditoria.
CONCEITOS
Procedimentos de Auditoria: Formam um conjunto de verificações que
permitem obter e analisar as informações necessárias à formulação de opiniões no auditor;
É necessário estabelecer estes procedimentos antes da auditoria iniciar, pois aumenta a produtividade e a qualidade do trabalho do auditor;
Alguns órgãos têm manuais contendo os procedimentos padrões utilizados para as auditorias.
CONCEITOS
Achados de Auditoria: Fatos observados pelo auditor; Não necessariamente são falhas e/ou
irregularidades, podem também ser pontos fortes da organização;
Somente deve constar no relatório se for, de fato, algo relevante, e se for baseado em fatos e evidências irrefutáveis.
CONCEITOS
Papéis de Trabalho: Registros dos atos e fatos observados pelo
auditor; Podem ser documentos, planilhas, tabelas, listas
de verificações, arquivos informatizados, imagens, etc;
Dão suporte ao relatório de auditoria; Contém o registro de metodologia adotada,
procedimentos, verificações, fontes de informação, testes, entre outras informações relacionadas ao trabalho de auditoria.
CONCEITOS
Recomendações de Auditoria: Realizada na fase final da auditoria; Medidas corretivas possíveis, sugeridas pela
instituição fiscalizadora, por meio do auditor; Podem ser (mas não necessariamente serão)
transformadas em determinações a serem cumpridas.
CONCEITOS
Natureza da Auditoria: Não existe classificação padrão; As classificações mais comuns são:
Quanto ao órgão fiscalizador, Quanto à forma de abordagem do tema; Quanto ao tipo ou área envolvida.
CONCEITOS
Quanto ao órgão fiscalizador: Auditoria Interna:
Realizada por um setor ou departamento interno da organização avaliada;
Esse setor/departamento deve ser um específico, encarregado de avaliar e verificar os sistemas e procedimentos internos;
Tem como objetivo reduzir as probabilidades de: Erros, Fraudes, Práticas ineficientes ou ineficazes;
Deve ser independente e prestar contas diretamente à direção da organização.
CONCEITOS
Quanto ao órgão fiscalizador: Auditoria Externa:
Realizada por uma instituição externa e independente da organização avaliada;
Emite pareceres sobre: Gestão de recursos; Situação financeira; Legalidade e regularidade das operações.
CONCEITOS
Quanto ao órgão fiscalizador: Auditoria Articulada:
Utiliza ambos modos de auditoria: interna e externa; Beneficiada pela superposição de tarefas e
responsabilidades; Caracteriza-se pelo:
Uso comum de recursos; Comunicação recíproca dos resultados.
Custo mais alto; Falhas na comunicação afetariam o processo e, como
conseqüência, o resultado.
CONCEITOS
Quanto à Forma de Abordagem do Tema: Auditoria Horizontal:
Um único tema; Avalia-se várias entidades ou serviços paralelamente.
Auditoria Orientada: Auditoria focada em uma atividade; Esta atividade pode ser uma qualquer, como também
pode ser (mais provável e recomendável) uma com fortes indícios de erros ou fraudes.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria de Programas de Governo:
Acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos;
Preocupa-se também com a efetividade das medidas governamentais.
Auditoria Administrativa: Engloba o plano da organização:
Procedimentos; Documentos.
Avalia os elementos que dão suporte à tomada de decisão.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria do Planejamento Estratégico:
Verifica se: Os principais objetivos da organização são atingidos; As políticas e estratégias de aquisição, utilização e
alienação de recursos são respeitadas. Auditoria Contábil:
Relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição;
Fornece certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações;
Realizada em intervalos razoáveis de tempo; Exige medidas corretivas adequadas, caso sejam
detectadas falhas.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria Financeira (ou de Contas):
Analisa as contas, a situação financeira, legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais;
Verifica se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas;
Averigua se foram tomadas as medidas necessárias para registrar com exatidão e proteger todos os ativos;
Confere se todas as operações registradas (assim como o próprio registro) estão em conformidade com a legislação em vigor.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria Operacional:
Incide em todos os níveis de gestão; Atua nas fases de programação, execução e
supervisão; Tem como ponto de vista a economia, eficiência e
eficácia; Pode ser conhecida também como “de Eficiência”, “de
Gestão”, “de Resultados”, “de Práticas de Gestão”; Audita todos os sistemas e métodos utilizados pelo
gestor para tomar decisões; Analisa a execução das decisões tomadas e aprecia
até que ponto os resultados pretendidos foram atingidos.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria de integrada:
Inclui, simultaneamente, a auditoria financeira e a operacional.
Auditoria de Legalidade: Também conhecida como “de Regularidade” ou “de
Conformidade”; Analisa a legalidade e regularidade das atividades,
funções, operações ou gestão de recursos; Verifica se todos esses elementos estão em
conformidade com a legislação vigente.
CONCEITOS
Quanto ao Tipo ou Área Envolvida: Auditoria de Tecnologia da Informação:
Auditoria essencialmente operacional; Analisa os sistemas de informática, o ambiente
computacional, a segurança de informações, e o controle interno da entidade fiscalizada;
Identifica os pontos fortes e fracos da organização; Pode ser conhecida também como Auditoria
“Informática”, “Computacional” ou “de Sistemas”.
CONCEITOS
Auditoria de Tecnologia da Informação: Analisa a gestão de recursos, com foco na
eficiência, eficácia, economia e efetividade; Pode abranger diversos aspectos, dependendo
do enfoque do auditor: O ambiente de informática como todo: analisando
aspectos que influencias a segurança dos outros controles, como segurança física e lógica, planejamento de contingencias...
A organização do departamento como um todo, analisando: aspectos administrativos, como políticas, padrões e procedimentos organizacionais, gerencia de pessoal e planejamento de capacidades .
CONCEITOS
Auditoria de Tecnologia da Informação: Pode envolver controles sobre banco de dados,
redes de comunicação e de microcomputadores e controles sobre os aplicativos;
Não exige uma classificação padronizada de sub-áreas;
Aqui usaremos as seguintes: Auditoria de Segurança de Informações; Auditoria de Tecnologia da Informação; Auditoria de Aplicativos.
CONCEITOS
Auditoria de Tecnologia da Informação: Auditoria de Segurança de Informações;
Determina a postura da organização em relação à segurança;
Avalia a política de segurança e os controles a ela relacionados, principalmente de modo global;
Envolve: Avaliação da política de segurança; Controles de acesso lógico; Controles de acesso físico; Controles ambientais; Plano de contingências e continuidade de serviços.
CONCEITOS
Auditoria de Tecnologia da Informação: Auditoria de Tecnologia da Informação;
Abrange aspectos da Auditoria de Segurança de Informações;
Além deles, têm também outros controles, que podem também influenciar a segurança, estes controles são: Organizacionais; De mudanças; De operação dos sistemas; Sobre banco de dados; Sobre microcomputadores; Sobre ambientes cliente-servidor.
CONCEITOS
Auditoria de Tecnologia da Informação: Auditoria de Aplicativos:
Está voltada para a segurança de aplicações específicas, incluindo elementos intrinsecos da área que o aplicativo atende, como orçamento, contabilidade, estoque, venda, pessoal etc.
Esta auditoria compreende: Controle sobre o desenvolvimento de sistemas
aplicativos; Controles de entrada, processamento e saída de
dados; Controles sobre o conteúdo e funcionamento do
aplicativo, em relação à área por ele atendida.
CONCEITOS
Acesso Lógico Está relacionado com o acesso ao conteúdo da
informação. Abrange aspectos como:
acesso de pessoas a terminais e outros equipamentos de computação,
manuseio de listagens (uma questão também de acesso físico),
funções autorizadas dentro do ambiente informatizado (transações e programas que pode executar),
arquivos aos quais tenham acesso, etc. Mesmo que as informações não estejam
armazenadas em computadores, valem os mesmos conceitos de segurança de acesso lógico.
CONCEITOS
Propriedade da Informação O conceito deriva do direito de posse direta ou
delegada sobre os ativos de informações, exercido em nome da organização.
Em princípio, a propriedade de um ativo pertence a quem dele faz uso em função de uma necessidade funcional.
Normalmente, quem faz uso de um determinado ativo é o seu criador, a pessoa que recebeu autorização do mesmo.
Também recebe o nome de gestão, sendo o responsável pela administração das informações conhecido também como gestor.
CONCEITOS
Custódia da Informação Refere-se à pessoa ou organização responsável
pela guarda de um ativo de propriedade de terceiros, sendo o conceito estendido ao domínio das informações.
A área de informática, ao contrário da visão clássica ainda bastante aceita, é custodiante dos ativos de informações das áreas usuárias, os legítimos proprietários dos mesmos.
Geralmente, uma vez recebida do proprietário, a custódia não pode ser delegada.
Implica a responsabilidade do receptor quanto à integridade dos ativos custodiados.
CONCEITOS
Controle de Acesso Está relacionado diretamente ao acesso concedido. Sua
função é garantir que o acesso seja feito somente dentro dos limites estabelecidos. Esse controle é exercido por meio de mecanismos como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso, etc.
Senhas Constituem o mecanismo de controle de acesso mais antigo usado
pelo ser humano para impedir acessos não autorizados. Foram e ainda são muito usadas como forma de se controlar o acesso a recursos de informação.
Modernamente, tendem a ser usadas apenas como mecanismo de autenticação de identidade de usuários, através da atribuição de uma senha exclusiva para cada chave de acesso ou identificação de usuários individuais.
Á medida que evolui a tecnologia, as senhas tendem a ser substituídas por alguma característica físico-biométrica do usuário, como a imagem da íris, a impressão digital, a voz, etc.
CONCEITOS
Controle de Acesso Chaves de acesso ou identificações
Códigos de acesso atribuídos a usuários; cada um recebe uma chave de acesso única e individual. A cada chave de acesso é associada uma senha destinada a autenticar a identidade do usuário que possui essa chave.
Listas de acesso Constitui uma espécie de tabela onde constam o tipo e
o nome do recurso, ao qual são associadas as identificações de usuários com os tipos de operações permitidas aos mesmos.
CONCEITOS
Controle de Acesso Operações Determinam o que cada usuário pode fazer em
relação a determinado recurso. Normalmente, consistem no seguinte: Leitura - o usuário pode somente consultar informações; Gravação - o usuário pode incluir informações; Alteração - o usuário pode alterar informações existentes; Exclusão - o usuário pode excluir informações existentes; Eliminação - o usuário pode eliminar o meio físico de
suporte das informações; Execução - em ambientes informatizados, permite que o
usuário possa executar comandos ou programas contidos em arquivos.
CONCEITOS
Acesso Físico Acesso ou posse de um ativo do ponto de vista
físico é o uso que se faz de determinado recurso. No caso de informações, está representado pelo acesso ao meio de registro ou suporte que abriga as informações;
Normalmente, os riscos relacionados com o acesso físico afetam os meios de registro e suporte das informações, ao passo que os riscos relacionados com o acesso lógico afetam o conteúdo.
CONCEITOS
Plano de contingência Um plano global destinado a manter o ambiente de
informações da organização totalmente seguro contra quaisquer ameaças a sua integridade e disponibilidade.
Consiste em procedimentos de recuperação pré-estabelecidos, com a finalidade de minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre que os procedimentos de segurança não conseguiram evitar.
Estatísticas européias demonstram que mais de três quartos das empresas que sofreram um desastre envolvendo a perda de seu ambiente de informações fecham imediatamente ou no máximo em dois anos.
CONCEITOS
Preservação e recuperação de informações O conceito de preservação está ligado à
necessidade de sobrevivência dos acervos de informações, evitando eventos que causem sua destruição.
O conceito de recuperação aplica-se a recursos que tenham sido destruídos ou danificados, permitindo que os mesmos sejam novamente disponibilizados para uso
