Professional Documents
Culture Documents
Auditoria de Sistemas
Informatizados
Disciplina na modalidade a distância
Palhoça
UnisulVirtual
2007
O livro didático;
O EVA (Espaço UnisulVirtual de Aprendizagem);
Atividades de avaliação (complementares, a distância
e presenciais).
Os materiais didáticos foram construídos especialmente para
este curso, levando em consideração o seu perfil e as
necessidades da sua formação. Como os materiais estarão, a
cada nova
versão, recebendo melhorias, pedimos que você encaminhe suas
sugestões, sempre que achar oportuno, via professor tutor ou
monitor.
Equipe UnisulVirtual
Auditoria de Sistemas
Informatizados
Livro didático
Design instrucional
Dênia Falcão de
Bittencourt
Viviane Bastos
3ª edição
Palhoça
UnisulVirtual
2007
005.8
B94 Bueno Neto, Abílio
Auditoria de sistemas informatizados : livro didático / Abílio Bueno
Neto, Davi Solonca ; design instrucional Dênia Falcão de Bittencourt,
Viviane Bastos. – 3. ed. rev. e atual. Palhoça : UnisulVirtual, 2007.
190 p. : il. ; 28 cm.
Inclui bibliografia.
Créditos
Unisul - Universidade do Sul de Santa
Catarina UnisulVirtual - Educação Superior
a Distância
Coordenação dos Carolina Hoeller da Silva Boeing Dênia Falcão de Bittencourt Enzo
Campus UnisulVirtual Cursos Adriano Sérgio Cristina Klipp de Oliveira de Oliveira Moreira Flávia Lumi
Rua João Pereira dos Santos, 303 da Cunha Ana Luisa Daniela Erani Monteiro Will Matuzawa Karla Leonora Dahse
Palhoça - SC - 88130-475 Mülbert Nunes Leandro Kingeski Pacheco
Fone/fax: (48) 3279-1541 e Ana Paula Reusing Pacheco Ligia Maria Soufen Tumolo Márcia
3279-1542 Cátia Melissa S. Rodrigues Loch
E-mail: cursovirtual@unisul.br (Auxiliar) Charles Cesconetto Patrícia Meneghel Silvana
Site: www.virtual.unisul.br Diva Marília Flemming Denise Guimarães Tade-Ane de
Itamar Pedro Bevilaqua Amorim
Reitor Unisul Janete Elza Felisbino Vanessa de Andrade Manuel
Gerson Luiz Joner da Silveira Jucimara Roesler Vanessa Francine Corrêa Viviane
Lilian Cristina Pettres (Auxiliar) Bastos
Vice-Reitor e Pró-Reitor Lauro José Ballock Viviani Poyer
Acadêmico Luiz Guilherme
Sebastião Salésio Heerdt Buchmann Figueiredo Logística de Encontros
Luiz Otávio Botelho Presenciais
Chefe de gabinete da Lento Marcelo Marcia Luz de Oliveira
Reitoria Cavalcanti (Coordenadora) Aracelli
Fabian Martins de Castro Mauri Luiz Heerdt Araldi
Mauro Faccioni Filho Graciele Marinês Lindenmayr
Pró-Reitor Administrativo Michelle Denise Durieux Lopes Guilherme M. B. Pereira
Marcus Vinícius Anátoles da Silva Destri Moacir Heerdt José Carlos Teixeira Letícia
Ferreira Nélio Herzmann Cristina Barbosa
Onei Tadeu Dutra Kênia Alexandra Costa Hermann Priscila
Campus Sul Patrícia Alberton Santos Alves
Diretor: Valter Alves Schmitz Patrícia Pozza
Neto Diretora adjunta: Alexandra Raulino Jacó Logística de Materiais
Orsoni Brüning Rose Clér Jeferson Cassiano Almeida da Costa
E. Beche (coordenador)
Campus Norte Eduardo Kraus
Diretor: Ailton Nazareno Soares Design Gráfico
Diretora adjunta: Cibele Schuelter Cristiano Neri Gonçalves Ribeiro Monitoria e Suporte
(coordenador) Rafael da Cunha Lara (coordenador)
Campus UnisulVirtual Adriana Ferreira dos Adriana Silveira
Diretor: João Vianney Santos Alex Sandro Caroline Mendonça Dyego
Diretora adjunta: Jucimara Roesler Xavier Rachadel Edison Rodrigo
Evandro Guedes Machado Valim Francielle Arruda
Fernando Roberto Dias Gabriela Malinverni Barbieri Josiane
Equipe UnisulVirtual Zimmermann Higor Ghisi Conceição Leal
Luciano Maria Eugênia Ferreira Celeghin Rachel
Administração Pedro Paulo Alves Lopes C. Pinto
Renato André Luz Teixeira Rafael Pessi Simone Andréa de Castilho Tatiane
Valmir Venício Inácio Vilson Martins Filho Silva
Vinícius Maycot Serafim
Bibliotecária Equipe Didático-
Soraya Arruda Waltrick Pedagógica
Angelita Marçal Flores
Cerimonial de Formatura Carmen Maria Cipriani
Jackson Schuelter Wiggers Pandini Caroline Batista
Ementa da disciplina
Fundamentos. Responsabilidades legais. Classificação
de serviços. Procedimentos genéricos e específicos
para exames e seus respectivos relatórios e
certificados. Aspectos de auditoria de controle geral,
segurança, aplicações, desempenho, fraude, uso do
sistema e
equipamentos. Pontos de controle e trilhas de auditoria.
Controle pré-operacional, operacional, de processamento
e documental. Relatório de auditoria de sistemas.
Auditoria computadorizada: validação de valores,
programas específicos de auditoria, verificação lógica
dos programas, monitoria on-line do sistema.
Créditos: 4
Objetivo(s)
Geral
Desenvolver habilidades para realização de auditoria de
sistemas nos diversos campos de atuação.
Específicos
Estudar os conceitos que envolvem a auditoria.
Conhecer a organização de um trabalho de
auditoria.
22/12/2006 12:17:06
auditoria_de_sistemas_informatiz11 11
Conhecer os diversos componentes de uma política
de segurança.
Identificar a necessidade e as características de um
plano de continuidade de negócios.
Identificar os passos necessários de um trabalho
de auditoria de sistemas de informação.
Agenda de atividades
Verifique com atenção o cronograma no “EVA” e organize-se
para acessar periodicamente o espaço das disciplinas cursadas.
Lembre-se que o sucesso nos seus estudos depende da
priorização do tempo para a leitura, da realização de análises e
sínteses do conteúdo e da interação com os seus colegas e
professor tutor.
12
13
Introdução à auditoria de
sistemas informatizados
Objetivos de aprendizagem
Ao final desta unidade, você terá subsídios para:
contextualizar
a evolução dos sistemas
computacionais e da necessidade da segurança da
informação.
entender o conceito de auditoria e, mais
especificamente, da auditoria de sistemas
informatizados.
compreender a importância da auditoria de sistemas
informatizados.
conheceros desafios éticos e sociais da tecnologia
da informação.
Seções de estudo
Apresentamos, a seguir, as seções para você estudar.
22/12/2006 12:17:06
auditoria_de_sistemas_informatiz1 1
Universidade do Sul de Santa Catarina
Bom estudo!
16
Unidade 1 17
18
auditoria_de_sistemas_informatiz4 4 22/12/2006 12:17:07
Auditoria de Sistemas Informatizados
usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos
Detectivos de tentativas de acesso a um determinado recurso informatizado)
usados para corrigir erros ou reduzir impactos causados por algum sinistro
Corretivos (planos de contingência, por exemplo)
20
Unidade 1 21
Unidade 1 23
24
Unidade 1 25
26
auditoria_de_sistemas_informatiz12 12 22/12/2006 12:17:09
Auditoria de Sistemas Informatizados
Unidade 1 27
28
Unidade 1 29
30
Unidade 1 31
32
34
auditoria_de_sistemas_informatiz20 20 22/12/2006 12:17:11
Auditoria de Sistemas Informatizados
1º Antivírus 90
3º Firewall 75,5
5º Capacitação técnica 70
8º Proxy server 62
9º Criptografia 57
Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)
36
Unidade 1 37
38
40
Unidade 1 41
Unidade 1 43
44
46
48
Atividades de auto-avaliação
50
Síntese
Por fim, estudou também que essas lacunas abertas nos levam
a verdadeiros desafios em nossa profissão, pois tendo em
mãos
informações, programas e dados de maneira tão fácil e tão rápida,
um verdadeiro desafio à ética surge e nos coloca em “cheque” na
hora de decidir como agir.
Unidade 1 51
Saiba mais
52
Organização da auditoria
Objetivos de aprendizagem
Ao final desta unidade, você terá subsídios para:
Seções de estudo
A seguir, apresentamos as seções para você estudar:
22/12/2006 12:17:50
auditoria_de_sistemas_informatiz1 1
Universidade do Sul de Santa Catarina
54
Você sabia?
Na Inglaterra encontram-se as empresas de auditorias
mais bem conceituadas, tais como: Deloitte & Co.,
Peat Marwick & Mitchell e Price Waterhouse & Co.
Tanto eles são pioneiros na área, que foi de lá, de
estudos acadêmicos, que surgiu o padrão de
segurança
de informações que os auditores de sistemas
informatizados utilizam: o padrão BS 7799 que tem
suas variações na ISO (ISO 27001) e na ABNT, onde se
encontra a NBR ISO/IEC 17799:1 (2005).
Você sabia?
Para se ter uma noção do crescimento da profissão
de auditor, observe que em 1900 eram apenas 250
auditores autorizados a exercer a profissão nos
Estados Unidos e hoje são mais de 500.000. (Fonte:
Wise, 2002).
Unidade 2 55
56
Unidade 2 57
58
Unidade 2 59
60
assurance;
consultoria gerencial;
planejamento;
certificação de normas.
Unidade 2 61
62
Unidade 2 63
auditoria_de_sistemas_informatiz11 11 22/12/2006 12:17:52
auditoria_de_sistemas_informatiz11 11 22/12/2006 12:17:52
Universidade do Sul de Santa Catarina
64
Unidade 2 65
66
Unidade 2 67
68
auditoria_de_sistemas_informatiz16 16 22/12/2006 12:17:53
Auditoria de Sistemas Informatizados
Unidade 2 69
70
Unidade 2 71
72
Unidade 2 73
74
Unidade 2 75
auditoria_de_sistemas_informatiz23 23 22/12/2006 12:17:54
Universidade do Sul de Santa Catarina
Atividades de auto-avaliação
76
Unidade 2 77
78
Síntese
Unidade 2 79
Política de segurança
de informações
Objetivos de aprendizagem
Ao final desta unidade você terá subsídios para:
Seções de estudo
A seguir, apresentamos as seções para você estudar:
22/12/2006 12:17:54
auditoria_de_sistemas_informatiz1 1
Universidade do Sul de Santa Catarina
82
auditoria_de_sistemas_informatiz2 2 22/12/2006 12:17:55
Auditoria de Sistemas Informatizados
Unidade 3 83
84
Por exemplo:
Conformidade com a legislação e cláusulas
contratuais.
Requisitos na educação de segurança.
Prevenção e detecção de vírus e softwares
maliciosos.
Gestão de continuidade do negócio.
Conseqüências das violações na política
de segurança da informação.
Definição das responsabilidades – definição em
linhas gerais e especificas à gestão da segurança
da informação, incluindo o registro dos incidentes
de segurança.
Documentação – referências à documentações
que possam apoiar a política da empresa. Por
exemplo, políticas e procedimentos de segurança
com detalhes dos sistemas de informação
específicos ou regras de segurança a serem
seguidas.
86
Aspecto Características
Unidade 3 87
Figura 3.2 – Diagrama que representa uma política de segurança de informação agindo
sobre o principal ativo de uma empresa, a informação.
Fonte: Sêmola (2003)
90
Unidade 3 91
92
auditoria_de_sistemas_informatiz12 12 22/12/2006 12:17:57
Auditoria de Sistemas Informatizados
Unidade 3 93
94
Unidade 3 95
auditoria_de_sistemas_informatiz15 15 22/12/2006 12:17:57
Universidade do Sul de Santa Catarina
96
Unidade 3 97
O acesso não-autorizado ao código fonte dos aplicativos pode ser usado para alterar suas
Aplicativos funções e lógica do programa, como por exemplo, em um aplicativo bancário, pode-se zerar
(Programas fonte os centavos de todas as contas correntes e transferir o total dos centavos para uma
objeto) determinada conta, beneficiando ilegalmente este correntista.
Base de dados, arquivos ou transações de bancos devem ser protegidos para evitar que os dados sejam apagados ou a
Arquivo de dados
A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pe
Os arquivos de log são usados para registrar as ações dos usuários, constituindo-se em
ótimas fontes de informação para auditorias futuras e análise de quebras de
segurança.
Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de
Arquivos de dados e utilitários, quando foi feito o acesso e que tipo de operações foram
log efetuadas.
Se os arquivos de log não forem devidamente protegidos, um invasor poderá alterar seus
registros para encobrir ações por ele executadas, tais como, alteração ou destruição de dados,
acesso a aplicativos de alteração da configuração do sistema operacional para facilitar futuras
invasões.
98
auditoria_de_sistemas_informatiz18 18 22/12/2006 12:17:58
Auditoria de Sistemas Informatizados
Unidade 3 99
100
Unidade 3
Unidade 3 103
104
auditoria_de_sistemas_informatiz24 24 22/12/2006 12:17:59
Auditoria de Sistemas Informatizados
Unidade 3 105
106
Atividades de auto-avaliação
Unidade 3 107
108
Síntese
Até lá!
Saiba mais
110
Plano de contingência e
de continuidade de
negócios
Objetivos de aprendizagem
Ao final desta unidade você terá subsídios para:
Seções de estudo
A seguir, apresentamos as seções para você estudar:
22/12/2006 12:18:00
auditoria_de_sistemas_informatiz1 1
Universidade do Sul de Santa Catarina
112
Unidade 4 113
Você sabia?
O ataque terrorista ao World Trade Center em 11 de
setembro de 2001, teve impacto significativo nos
mercados dos Estados Unidos e mundial. A Bolsa de
Valores de Nova Iorque, o American Stock Exchange
e a NASDAQ não abriram em 11 de Setembro e
permaneceram fechadas até 17 de Setembro. As
instalações e centros de processamento de dados
remotos da Bolsa de Valores de Nova Iorque (NYSE)
mais as empresas participantes, consumidores e
mercados, foram incapazes de se comunicarem
devido aos danos ocorridos à instalação de
chaveamento telefônico próxima ao World Trade
Center. Quando os mercados de ações reabriram em
17 de setembro de 2001, após o maior período de
fechamento desde a Grande Depressão em 1993,
o índice do mercado de ações Dow Jones Industrial
Average (“DJIA”) caiu 684 pontos ou 7,1%, passando
para 8920 pontos, sua maior queda em um único dia.
No fim da semana, o DJIA tinha caído 1369,7 pontos
(14,3%), sua maior queda em uma semana na história.
O mercado de ações americano perdeu 1,2 trilhão de
dólares em valor em uma semana (Fonte: Wikipedia).
114
Unidade 4 115
116
Ameaças Tolerância
PN1 X X X 48h
PN2 X 5h
PN3 X X X X 24h
PN4 15 min
PN5 X X X 0
a)Hot-site
Recebe este nome por ser uma estratégia pronta para entrar em
ação assim que algum sinistro ocorrer. Mais uma vez, o tempo
de operacionalização desta estratégia está diretamente ligado
ao tempo de tolerância às falhas do objeto.
Unidade 4 117
b) Warm-site
Esta estratégia se aplica a objetos com maior tolerância à
paralisação, os quais podem se sujeitar à indisponibilidade por
mais tempo, ou seja, até o retorno operacional da atividade.
Como exemplo, temos o serviço de e-mail dependente de
uma conexão de comunicação. Veja que o processo de
envio e recebimento de mensagens é mais tolerante que o
exemplo usado na primeira estratégia, pois poderia ficar
indisponível
por minutos, sem, no entanto, comprometer o serviço ou gerar
impactos significativos, apesar de que para algumas empresas,
o e-mail é considerado um serviço altamente essencial.
c) Relocação de operação
Esta estratégia objetiva desviar a atividade atingida pelo sinistro
para outro ambiente físico, equipamento ou link, pertencentes a
mesma empresa. Ela só é possível com a existência de “folgas”
de recursos que podem ser alocados em situações de desastre.
Um exemplo disto é o redirecionamento do tráfego de dados de
um roteador ou servidor com problemas para outro que possua
mais recursos.
d) Bureau de serviços
Nesta estratégia, considera-se a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente
terceirizado, isto é, fora dos domínios da empresa. O seu
uso é restrito a poucas situações por requerer um tempo de
tolerância maior, em função do tempo de reativação operacional
da atividade. Informações manuseadas por terceiros requerem
uma atenção redobrada na adoção de procedimentos, critérios
e mecanismos de controle que garantam condições de
segurança adequadas à relevância e senso crítico da atividade
de contingência.
118
e)Acordo de reciprocidade
Esta estratégia é bastante conveniente quando os investimentos
necessários na falta de uma infra-estrutura de segurança
adequada, pois nada mais é do que um acordo entre duas
empresas que possuem um ambiente de TI que exija a possível
relocação de serviços, mas que não disponham de recursos
financeiros para contratar uma empresa especializada no assunto.
Da mesma forma do bureau de serviços, é preciso ter cuidado na
hora de expor as informações da sua empresa para outra, pois
o risco existe e é grande. Este tipo de acordo é comum entre
empresas de áreas diferentes e não concorrentes.
f) Cold-site
Seguindo os modelos de classificação citados anteriormente,
Hot-site e Warm-site, o Cold-site propõe uma alternativa de
baixo custo para ambientes de TI, ou seja, pouco budget
para investimentos na área de continuidade de negócios. No
entanto, exige uma tolerância alta, pois o mesmo não suporta
alta disponibilidade. Um exemplo deste modelo é um “ghost”
de um HD de um servidor de Active Directory. Supondo que o
HD do servidor principal queimou, coloca-se o HD cold para
funcionar, e ao invés de ler, faz-se a restauração dos dados. Este
é um procedimento de resultados duvidosos, porém, de baixo
custo.
g) Auto-suficiência
Este caso ocorre quando nenhuma outra estratégia é aplicável,
pois prevê aproximadamente 100% de disponibilidade,
integridade e caráter confidencial dos dados. Seria o ideal para
qualquer empresa, porém é necessário se fazer o cálculo para
medir o quanto se perde, caso a informação não esteja disponível.
Unidade 4 119
120
Unidade 4 121
Unidade 4 123
124
Unidade 4 125
c) Análise de impacto
Nesta etapa, também conhecida como B.I.A. - Business Impact
Analyisis, ou seja, Análise de impacto aos negócios, é onde
serão identificados, avaliados e relatados os impactos resultantes
dos sinistros ocorridos. Além disto, será definida o senso crítico
dos processos de negócios e as prioridades de
recuperação e relacionamento entre elas com a finalidade
de verificar a
dependência entre um serviço e outro. Com isto, o prazo para
restabelecimento dos sistemas de informação se dará de acordo
com o planejado.
Unidade 4 127
Baixo •Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e
credibilidade.
Fonte: Ferreira (2003).
128
auditoria_de_sistemas_informatiz18 18 22/12/2006 12:18:02
Auditoria de Sistemas Informatizados
Unidade 4
Unidade 4 131
f)Desenvolvimento do plano
Nesta fase, os componentes, até então elaborados e planejados,
serão integrados em um plano de continuidade de negócios, a
fim de permitir o atendimento às janelas de recuperação dos
componentes e dos processos da corporação.
g) Treinamento
O processo de treinamento das equipes começa com a
distribuição do plano para cada um dos seus componentes,
sendo que cada parte do plano deve ser encaminhada para o
responsável por ela, acompanhada da visão geral do plano e da
visão geral da sua equipe. Telefones de emergência, dos demais
membros da equipe e de fornecedores também devem fazer parte
do conjunto de instruções básicas.
Unidade 4 133
h) Manutenção
Nesta fase, como o próprio nome diz, faz-se um pré-plano para
gerenciar os exercícios do plano de continuidade de negócios,
avaliando os resultados obtidos. Além disso, serão desenvolvidos
processos para a manutenção das variáveis dos planos de acordo
com os objetivos estratégicos da empresa.
134
i)Administração da crise
Este documento tem o propósito de definir detalhadamente o
funcionamento das equipes envolvidas com o acionamento da
contingência antes, durante e depois da ocorrência do incidente.
135
Unidade 4
j)Parcerias
Por fim, esta é a fase onde serão estabelecidos os procedimentos
e respostas necessárias para as atividades de continuidade e
restauração de negócios, com o auxílio de parcerias, sejam elas
públicas ou privadas.
Atividades de auto-avaliação
Leia com atenção os enunciados e realize as atividades:
1) Qual é a função de uma análise de impacto?
Unidade 4 137
138
Síntese
Unidade 4
Saiba mais
140
Auditoria em Sistemas
de Informação
Objetivos de aprendizagem
Ao final desta unidade você terá subsídios para:
Seções de estudo
A seguir, conheça as seções para você estudar:
22/12/2006 12:18:04
auditoria_de_sistemas_informatiz1 1
Universidade do Sul de Santa Catarina
Unidade 5 143
Método Caracterítisticas
consiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testes
Test-deck normais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.
Método que se concentra nos requisitos funcionais dos programas em operação. Os casos de
Teste de caixa preta testes, normalmente derivados de diferentes condições de entrada, avaliam funções, interfaces,
acessos a bancos de dados, inicialização e término do processamento.
Métodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para
depurá- los (debug) após serem executados. São estes:
Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.
Mapping, tracing e
snapshot Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é,
visualizar quais instruções de uma transação foram executadas e em que ordem.
Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução,
de acordo com condições preestabelecidas.
ITF – Integrated Test Consiste na implementação de rotinas de auditoria específicas dentro dos programas de um
Facility sistema em implantação, que poderão ser acionadas com dados de teste, em paralelo com os
dados reais de produção, sem comprometer os dados de saída.
144
Unidade 5 145
auditoria_de_sistemas_informatiz5 5 22/12/2006 12:18:05
Universidade do Sul de Santa Catarina
Unidade 5 147
148
São aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação (entrada, processamento e saída de dados),
Sem um controle de aplicativo apropriado, existe o risco de que características de segurança possam se omitidas ou contornadas, intencio
versão errada de um programa pode ser implementada, causando processamentos errados ou desatualizados; um vírus pode se introduz
Controles de ap
São projetados para garantir que os dados sejam convertidos para um formato
Controles de padrão e inseridos na aplicação de forma precisa, completa e tempestiva.
entrada de dados Os controles de entrada de dados devem detectar transações não-autorizadas,
incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem
corrigidas.
Nem sempre é possível ter procedimentos de autorização antes da entrada de dados. Em sistemas de entrad
A organização deve estabelecer rotinas que impeçam o uso não-autorizado ou indevido de microcomputado
Controles do Os controles de processamento devem assegurar que todos os dados de entrada sejam
processamento de processados e que o aplicativo seja executado com sucesso, usando os arquivos de
dados dados, as rotinas de operação e a lógica de processamento corretos.
Controles da saída são utilizados para garantir a integridade e a correta e tempestiva distribuição dos dados
A principal preocupação com a saída de dados consiste na restrição do acesso adainformações
Controles sigilosas às pes
saída de dados
Unidade 5 149
150
Unidade 5
152
Unidade 5 153
154
auditoria_de_sistemas_informatiz14 14 22/12/2006 12:18:07
Auditoria de Sistemas Informatizados
Unidade 5 155
156
Unidade 5 157
Unidade 5 159
160
161
Unidade 5
162
Unidade 5 163
164
Unidade 5 165
166
Unidade 5 167
168
Unidade 5 169
170
auditoria_de_sistemas_informatiz30 30 22/12/2006 12:18:09
Auditoria de Sistemas Informatizados
Unidade 5 171
Tais como:
172
Unidade 5 173
174
Atividades de auto-avaliação
Unidade 5 175
Síntese
176
Saiba mais
Unidade 5 177
Davi e Abílio
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz1 1
auditoria_de_sistemas_informatiz2 2 22/12/2006 12:18:11
Referências
BOSWORTH, Seymor. E KABAY, M. E. Computer Security
Handbook. Wiley, 2002
182
TOP 10: Os vírus que mais atacaram. Security Magazine. São Paulo.
n. 25, Julho de 2004. Disponível em http://www.securitymagazine.
com.br.
183
22/12/2006 12:18:11
auditoria_de_sistemas_informatiz7 7
recursos através das Subvenções e Auxílios a Entidades Civis e
Órgãos Estaduais. Professor da Unisul desde 1998, do curso de
Ciência da Computação e de Sistemas de Informação, ministra as
disciplinas de Auditoria de Sistemas e Administração e Sistemas,
respectivamente; na Pós-graduação curso de Especialização
de Auditoria Governamental e Responsabilidade Fiscal e nas
Faculdades Energia: Finanças Públicas e Orçamento Público e
matérias afins de Administração.
auditoria_de_sistemas_informatiz8 8 22/12/2006 12:18:12
Respostas e comentários das atividades
de auto-avaliação
Unidade 1
Respostas:
1) Basicamente, problemas com a integridade, o caráter
confidencial e a disponibilidade das informações.
2) Palavras-chaves para esta resposta são: proteção de
investimento de TI, aumento dos níveis de segurança de
informações, aderência a alguma norma de segurança,
exigência de parceiros de negócio, garantir a continuidade
dos negócios.
3) Palavras-chaves que contém a resposta correta são:
facilidade de acesso a informações confidenciais dentro
de uma corporação, a fraude simples pelo motivo de
dinheiro, a insubordinação perante superiores ditos como
incompetentes, o prazer de ter burlado a segurança de
algum alvo desprotegido, insatisfação com o emprego.
Unidade 2
Respostas:
1) A tendência de sempre se aprimorar, pois com o advento
da informática, coletar dados, mesmo no caso de uma
auditoria de finanças é muito mais complexo do que
antigamente, forçando o auditor a sempre se atualizar no
que diz respeito a softwares financeiros, sistemas
informatizados de auditorias, entre outras tecnologias.
2) Antes da assinatura do contrato, uma proposta comercial
deve ser apresentada à empresa contratante de forma que
se saiba do escopo de trabalho, ou seja, todas as
responsabilidades da
22/12/2006 12:18:12
auditoria_de_sistemas_informatiz9 9
Universidade do Sul de Santa Catarina
Unidade 3
Respostas:
1) A função dessa análise é obter uma medida da segurança existente
em determinado ambiente informatizado. A primeira consideração
relacionada com segurança de ativos de informações, como
qualquer outra modalidade de segurança, é a relação custo-
benefício. Não
se gasta dinheiro em sistemas de segurança ou serviços que não
tenham retorno ou que ao menos não garantam algum retorno de
investimento, isto é, não se gasta mais dinheiro em proteção do que o
valor do ativo a ser protegido.
2) Basicamente, uma política de segurança tem como objetivos
preservar os ativos de informação da corporação, garantindo o
caráter confidencial, integridade e disponibilidade da informação.
O caráter confidencial garante que a informação será acessada
somente pelo grupo de pessoas autorizadas. Integridade para
garantir que a informação estará intacta, sem distorções ou
possíveis corrupções de dados. Disponibilidade para garantir que a
informação estará sempre disponível ao usuário.
188
auditoria_de_sistemas_informatiz10 10 22/12/2006 12:18:12
Auditoria de Sistemas Informatizados
Unidade 4
Respostas:
1) A Análise de Impacto no Negócio permite quantificar o valor das
perdas que podem ser causadas por incidentes de segurança da
informação, considerando os aspectos de caráter confidencial,
integridade e disponibilidade. Os resultados da Análise de Impacto no
Negócio
dão suporte ao planejamento estratégico de segurança, permitindo
priorizar os investimentos nos pontos mais críticos, ou seja, aqueles que
podem gerar as maiores perdas para a empresa.
2) Elas são bem distintas, basicamente a estratégia “Hot Site” é muito
mais eficiente e eficaz, porém muito mais cara. O que vai diferenciar a
escolha basicamente é a análise de impacto e a análise de riscos que
vão apontar a medida de segurança do ambiente e onde se encontra o
“calo” da estrutura.
3) Em um ambiente informatizado, as formas de ameaças mudam
todos os dias, cada vez mais aprimoradas. Da mesma forma, o
plano de continuidade de negócios deve estar sempre atualizado
para ser
útil. Outro fato é que a manutenção do plano pode acusar falha de
processo, que podem ser corrigidas para aumentar a eficácia do plano.
Unidade 5
Respostas:
1) ITF – Integrated Test Facility
2) Essa categoria de controle tem como parâmetro limitar e
supervisionar o acesso aos programas e arquivos críticos do
ambiente computacional do cliente, com o objetivo de proteger as
aplicações presentes.
3) Procedimentos como a devolução de crachás, chaves, exclusão do
login do usuário, definição de período de sigilo que um ex-
funcionário deve cumprir, entre outros.