Professional Documents
Culture Documents
Alunas: Francirose
Silvan Edna
Maria Aparecida
Patrícia Miranda
Petrolina/PE
Setembro- 2004
AUDITORIA DE SISTEMAS
1. INTRODUÇÃO
A segurança é, hoje, um dos maiores problemas enfrentados pelas indústrias e redes bancárias.
A solução é assegurar a permanente exatidão e proteção dos bens e serviços existentes em todas as
áreas da empresa. Para tanto, torna-se necessário que as medidas de controle e segurança de
sistemas sejam sistematicamente revisadas e avaliadas por um auditor independente.
A auditoria de sistemas avalia o ambiente de processamento de dados para identificar e avaliar os
possíveis riscos (erros, falhas, irregularidades, ineficiência, etc.) que estejam ocorrendo, ou que
possam ocorrer, e faz recomendações para correção e melhoria dos controles internos para
diminuição dos riscos levantados.
A maioria das atividades nas empresas está vinculada direta ou indiretamente ao processamento
eletrônico de dados. A complexidade das atividades de uma empresa leva à criação de auditorias
especializadas.
2. Análise de risco
A análise de risco tem como base o cuidado que o auditor deve ter ao selecionar e classificar os
projetos de acordo com os critérios de importância para garantir que todos os novos sistemas
críticos e importantes sejam revisados. Compreende também a detecção e aferição das áreas
possíveis de incidência de erro, com base nos controles internos propostos nos projetos.
A identificação das áreas e o dimensionamento do risco envolvido permitirá ao auditor determinar a
amplitude e o aprofundamento dos procedimentos de auditoria a serem aplicados, a delimitação do
escopo e análise da relação custo/benefício da auditoria.
Definidas as áreas em que serão aplicados os procedimentos de auditoria, é necessária a
identificação dos "pontos de controle". A seleção destes pontos compreendem importante fase do
trabalho de auditoria do projeto e pode ser desenvolvida por meio de:
a. levantamento de dados do ambiente computacional:
• fluxo de processamento;
• inventário de equipamentos (hardware);
• inventário de arquivos (software);
• arquivos processados;
• divisão do ambiente;
• hierarquização da divisão do ambiente.
a. Localização do ambiente de PED e CPD;
b. Visitas ao ambiente de PED e CPD;
c. Entrevistas com o pessoal de trabalho da programação, operação, suporte.
As práticas metodológicas recomendadas para a análise dos pontos de controle, aqui listadas,
podem-se valer da utilização de:
• Matrizes
• Questionários
As matrizes identificam os principais pontos de controle que sensibilizam o auditor para elaborar o
planejamento, e também a execução da auditoria de sistemas em desenvolvimento.
Os questionários registram situações que propiciam ao auditor conhecer: plano diretor de
informática; ambiente de banco de dados; segurança lógica.
1. Planejamento da auditoria do projeto
Ao desenvolver o planejamento, é fundamental que o auditor esteja atento às oportunidades de
execução da auditoria, pois a temporariedade é fator de maior relevância e, se não for planejada
com rigor, poderá torná-lo inviável.
O planejamento é feito observando-se a seqüência de atividades: conhecimento do ambiente
computacional; determinação dos pontos de controle; definição dos objetivos de validação dos
pontos de controle; análise de sensibilidade do nível de interesse da validação e avaliação de cada
ponto de controle; hierarquização dos pontos de controle; documentação de todo o processo de
planejamento.
O planejamento objetiva um modelo operacional que seja capaz de refletir a cultura da empresa.
Nessa fase, devem ser definidos: o mix de talentos necessários à equipe; quais papéis de trabalho
serão utilizados; como escolher os projetos para serem revisados.
A metodologia recomendada consiste nas seguintes etapas
1. auditoria da metodologia de desenvolvimento de sistemas: documentação do sistema;
técnicas de análise estruturada;
2. auditoria das especificações do sistema;
3. auditoria da administração do projeto;
4. auditoria de pré – implantação do sistema.
Veja a ilustração desse processo:
7. CONCLUSÃO
A necessidade de implantação de processos auditorial continuo nas organizações para
verificar a segurança do funcionamento de seus sistemas informatizados é de suma
importância, considerando-se que na atualidade, em face do processo de globalização, a
necessidade de diponibilização de dados das mais variadas características é fundamental
para a sobrevivência das empresas em um ambiente econômico de características
plenamente competitivas.
Manter sistemas informatizados em funcionamento sem segurança de uma operação eficaz, é
inscrever a empresa na relação das suicidas, pois não tendo informações auditadas, estará
trabalhando com dados inconsistentes que, naturalmente, poderão causar danos nas suas
operações comerciais.
Por as situações apontadas, não é demais lembrar os já consagrados mandamentos de
segurança para informática, que sempre deverão estar sendo observados por aqueles que têm
a responsabilidade de gerir e utilizar sistemas informatizados em uma empresa:
1. tomar cuidado ao acessar determinados sites;
2. não utilizar programas cuja procedência é duvidosa;
3. não praticar correntes virtuais e não enviar spams;
4. lembrar que todo acesso é monitorável;
5. nunca aceitar instalações e configurações padrões;
6. atualizar os patches e versões de programas;
7. avaliar freqüentemente o LOG do sistema para detecção de intrusos;
8. buscar alternativas complementares de segurança;
9. contratar um serviço para avaliar o quanto está vulnerável a invasões (Teste de
Intrusão);
10. implementar regras, reforçando-as com adoção de termos de compromisso.
BIBLIOGRAFIA