Introdução
Observamos ao longo dos anos, um amplo crescimento das bases de TI devido a sua importância estratégica, fato propulsor de maiores investimentos em relação ao aumento dos controles sobre os departamentos de processamento de dados, já que estes controlam informações vitais à empresa.
Este controle é feito através de um processo de Auditoria, que visa mitigar os riscos e descobrir possíveis irregularidades. A Auditoria de TI também identifica se a TI está alinhada ao rumo dos negócios, ponto considerado como fundamental para o sucesso de qualquer projeto de TI dentro de uma determinada organização, seja ela pública ou privada.
Como no passado, a base da investigação era restrita ao setor de finanças, as empresas não viam o porquê de manter um departamento somente de auditores, preferindo contratar empresas prestadoras deste serviço.
A prática deste tipo de auditoria iniciou-se nos Estados Unidos e na Europa na década de 80. Como as técnicas de processamentos e as maneiras de burlar os controles veem evoluindo de maneira rápida, os auditores devem estar sempre atentos a tais mudanças.
A Auditoria do Ambiente de TI “atualmente” deve abranger:
. Coordenação de Problemas;
. Coordenação de Mudanças;
. Gestão da TI;
. Recuperação de desastre;
. Capacidade dos Sistemas;
. Desempenho dos Sistemas;
. Desenvolvimento de Sistemas;
. Sistemas terceirizados;
. Integração dos sistemas (ERP, sistemas legados, sistemas específicos);
. Análise dos sistemas, infraestrutura e recursos de TI em Nuvem;
. Políticas de Segurança da informação;
. Análise do datacenter (local, segurança e acessos);
. Análise de contratos junto aos fornecedores da TI;
. Distribuição dos Custos;
. Políticas sobre o uso das redes sociais;
. Políticas sobre o uso dos recursos de TI;
. Políticas sobre o uso da rede lógica;
. Alinhamento TI x Negócio;
. Comitê de gestão da tecnologia da informação – TI;
Perfil do Profissional Auditor em Informática
O auditor de informática é aquele profissional ou empresa, que foi designado pela alta administração da empresa para avaliar, examinar e descobrir os pontos falhos e a devida eficácia dos departamentos por ela vistoriados.
O auditor deve ser um profissional de grande conhecimento da área de processamento de dados e todas as suas especificidades. Deve ter objetividade, discrição, raciocínio lógico e principalmente um sentimento real de independência, ou seja, os seus pareceres intermediários ou finais, devem “possuir uma personalidade própria”.
Posicionamento da Auditoria dentro da organização
Este setor deve ser totalmente independente dos outros setores a fim de que não tenha influências no seu desempenho. Deve estar ligado diretamente à alta administração da empresa. Outro ponto importante é a existência de um planejamento prévio, em nível de datas, de quando e como irão ocorrer as auditorias. O sigilo deste planejamento é importante para que não haja acertos de última hora que irão resultar em relatórios não condizentes com a realidade, prejudicando o desempenho da organização.
Importância da Auditoria e suas fases
Como já foi dito, a auditoria dentro de um departamento, principalmente na área de processamento de dados, é de vital importância para empresa, já que através desta a alta administração deverá ditar os rumos da empresa, além de evitar fraudes e garantir o bom desempenho dos setores aditados.
Este processo é composto de: Pré-Auditoria, Auditoria e Pós-Auditoria.
. Pré-Auditoria:
Nesta fase é enviado ao departamento a ser auditado um anúncio, através de uma notificação formal do setor de auditoria ou pelo setor de Controle Interno da empresa.
Este anúncio deve ser feito com até duas semanas de antecedência e deverá
especificar quais serão as áreas a ser auditadas, com seus respectivos planos de trabalho. Ainda dentro desta fase, serão feitas as primeiras reuniões da alta administração com os auditores visando esclarecer os pontos e planos de trabalho.
Nesta fase o grupo Auditor deve preparar as atividades administrativas necessárias para a realização da auditoria, definir as áreas a auditar, orientar o grupo de auditores quanto a estratégia a ser adotada, preparar o documento de anúncio e anunciar o setor da Auditoria.
O setor a ser auditado deve preparar as atividades administrativas de apoio ao Grupo Auditor, educar o pessoal do setor quanto ao processo que será utilizado, deliberar (resolver após a exanimação) quais informações são necessárias ao processo e fazer uma revisão final no setor.
. Auditoria:
Terminadas as reuniões iniciais e após definir as ações que serão tomadas, inicia-se a auditoria. O Auditor-chefe fará as solicitações por escrito e com data de retorno do representante do setor auditado.
De acordo com as datas preestabelecidas (na pré-auditoria) serão feitas reuniões
onde os fatos identificados serão expostos e é entregue um relatório destes fatos ao representante do setor auditado para que este emita, por meio de outro relatório as razões de estar em desacordo.
Se tais razões não forem aceitas pelo grupo Auditor, elas farão parte do relatório denominado Sumário Executivo, que é apresentado à alta diretoria da empresa. Dentro deste mesmo relatório constará uma Avaliação Global da situação da área de informática que está sendo auditada.
Geralmente a auditoria dura cerca de seis semanas.
Nesta fase, o Grupo Auditor deve avaliar os Controles(ou seja, como a área auditada funciona); documentar os desvios encontrados (falhas); validar as soluções, preparar o relatório final e apresentá-lo para a Presidência.
O Setor Auditado deve prover as informações necessárias ao trabalho da auditoria, analisar a exposição dos desvios encontrados, entender os desvios encontrados, desenvolver planos de ação que solucionarão os desvios encontrados, corrigir as exposições e revisar o Sumário Executivo.
. Pós-Auditoria:
Terminada a auditoria, o grupo auditor emite um relatório final detalhando as suas atividades. Este relatório conterá o objetivo da Auditoria, as áreas cobertas por ela, os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado. Este relatório é enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado. Nesta fase, o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida. O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida (soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Inter-Relação entre auditoria e segurança em informática
Resumindo, podemos dizer que a segurança e a auditoria são interdependentes, ou seja, uma depende da outra para produzirem os efeitos desejáveis à alta administração. Enquanto a segurança tem a função de garantir a integridade dos dados, a auditoria vem garantir que estes dados estejam realmente íntegros propiciando um perfeito processamento, obtendo os resultados esperados.
Com isso, concluímos que para que uma empresa continue competitiva no mercado, ela deve manter um controle efetivo sobre as suas áreas e isso é feito através do processo de auditoria.
Introdução
Segurança da informação é o processo responsável pela proteção dos bens da informação (dados, imagem, texto e voz no computador), e contra uso indevidos e perdas de bens de informação. Hoje em dia, a segurança de informação é o tópico mais importante em uma empresa, pois dá garantia ao que chamamos de proteção das informações da empresa em todos os aspectos.
Para se ter um ótimo controle de acesso as informações em uma grande empresa é indispensável o uso das melhores práticas em se tratando de Segurança da Informação como exemplo a aplicação da norma da ISO 27002.
É necessário que a organização siga as recomendações visando mitigar os riscos inerentes a qualquer ambiente que utilize qualquer tipo de processamento de dados.
A atividade de auditoria em segurança de informação
A auditoria tem como verificar se os requisitos para segurança da informação estão implementados satisfatoriamente, mantendo a segurança nos dados da empresa e verificando se os seus bens estão sendo protegidos adequadamente.
Inicialmente o auditor deve revisar o plano aprovado, ou seja, verificar se o método utilizado para proteção de informações é o melhor ou se precisa sofrer alguma atualização, sempre relacionado com o esquema de trabalho a seguir dentro da área que está sendo auditada.
Depois de terminado o estudo do plano, o auditor solicita os procedimentos necessários para descrever as diversas atividades que exige uma Segurança em Informática. Esses procedimentos serão confrontados com a realidade do dia-a-dia dentro do departamento, ou seja, verificando se todos os procedimentos necessários à Segurança em Informática são corretamente utilizados no departamento que está sendo auditado.
Na investigação o Auditor deverá revisar os seguintes itens, verificando se:
. O proprietário (aquele que tem permissão para acessar certo conjunto de informações), periodicamente faz uma revisão em todos os dados que ele possui acesso para verificar se houver perdas, alterações, ou outros problemas de qualquer natureza. A Gestão deve ser avisada sobre os resultados obtidos através da revisão tanto quando eles forem favoráveis (os dados estão corretos) ou quando for encontrada alguma irregularidade.
. Todos os proprietários estão identificados, ou seja, os que possuem acesso a um conjunto de informações específicas;
. Os inventários são realizados conforme requerido, padronizados e periodicamente;
. Os dados possuem a proteção necessária para garantir sua integridade, protegendo-os contra acessos e alterações indevidas;
. As documentações necessárias devem ser avaliadas pelas áreas competentes, garantindo que estas demonstrem o que realmente ocorre dentro da área a que se está referindo as documentações;
. Quando ocorrem desastres desde um erro de digitação até a perda total dos dados de um banco de dados, existe um plano de recuperação em caso de desastre que são testados conforme requerido. Por exemplo, existem os sistemas de backup e recovery,
isto é, os dados mais importantes devem possuir cópias evitando transtorno em caso de acontecimentos inesperados, verificando sempre se essas cópias estão seguras evitando problemas;
. Os programas críticos, ou seja, os programas de sobrevivência da empresa mais importantes são seguros o suficiente que qualquer tentativa de fraude não consiga alterar o sistema;
. Um terminal tem acesso somente as informações inerente àqueles que irão manipulá-lo, ou seja, um terminal no setor de Finanças só proverá informações ligadas a este setor e seus processos, não terá acesso às informações relacionadas ao setor de Recurso Humanos. Por sua vez, estes terminais podem possuir senhas próprias, podendo ser acessado somente pelos envolvidos a este setor que estejam autorizados a possuírem tais informações, estando protegido assim, contra acessos não autorizados, ou utilizado outros métodos, pois depende de que área encara como segurança da informação;
. As senhas devem possuir suas trocas automáticas garantidas, pois é muito arriscado para uma empresa, principalmente empresas de grande porte, manter uma mesma senha por um grande período;
. O processo de auto-avaliação desta área foi feito e concluído com sucesso;
. Todos os usuários estão autorizados para o uso do computador, isto é, qualquer pessoa não autorizada a manipular dados dentro do sistema possa obter informações sem influenciar o sistema. Ex.: alterações.
. Verificação do acesso físico ao ambiente de TI;
. Verificação do acesso físico ao Datacenter;
. Verificação da política de contratação de serviços na Nuvem; (aspecto físico, contrato);
. Verificação dos extintores de incêndio presentes no Datacenter (prazo de validade, extintores adequados ao ambiente);
Governança de TI
O auditor de TI deve avaliar os níveis de governança de TI aplicado na empresa, verificar se existem investimentos aplicados quanto à formação e certificação dos colaboradores da área de TI, em ferramentas como: ITIL, COBIT, ISO27002, BSC.
Comitês de Gestão da TI
O auditor deve revisar se a estrutura atual do comitê de gestão da TI está devidamente alinhada ao rumo dos negócios da empresa.
É necessário dar apoio ao comitê de gestão de TI no sentido de que o mesmo obtenha êxitos nos seus propósitos, visto que, observamos atualmente um grande desalinhamento entre tais comitês e os rumos dos negócios de acordo com a alta-administração, o que determina muitas vezes no atraso de projetos e até mesmo no fraco desempenho da empresa perante o mercado.
Artigo Autoria: Professor Pedro Carvalho – Analista de Sistemas, SP
Revisão e atualização de textos Carlos Renato Maia – Gerente de Auditoria Externa da Nardon Nasi Auditores Independentes - RS.
Observamos ao longo dos anos, um amplo crescimento das bases de TI devido a sua importância estratégica, fato propulsor de maiores investimentos em relação ao aumento dos controles sobre os departamentos de processamento de dados, já que estes controlam informações vitais à empresa.
Este controle é feito através de um processo de Auditoria, que visa mitigar os riscos e descobrir possíveis irregularidades. A Auditoria de TI também identifica se a TI está alinhada ao rumo dos negócios, ponto considerado como fundamental para o sucesso de qualquer projeto de TI dentro de uma determinada organização, seja ela pública ou privada.
Como no passado, a base da investigação era restrita ao setor de finanças, as empresas não viam o porquê de manter um departamento somente de auditores, preferindo contratar empresas prestadoras deste serviço.
A prática deste tipo de auditoria iniciou-se nos Estados Unidos e na Europa na década de 80. Como as técnicas de processamentos e as maneiras de burlar os controles veem evoluindo de maneira rápida, os auditores devem estar sempre atentos a tais mudanças.
A Auditoria do Ambiente de TI “atualmente” deve abranger:
. Coordenação de Problemas;
. Coordenação de Mudanças;
. Gestão da TI;
. Recuperação de desastre;
. Capacidade dos Sistemas;
. Desempenho dos Sistemas;
. Desenvolvimento de Sistemas;
. Sistemas terceirizados;
. Integração dos sistemas (ERP, sistemas legados, sistemas específicos);
. Análise dos sistemas, infraestrutura e recursos de TI em Nuvem;
. Políticas de Segurança da informação;
. Análise do datacenter (local, segurança e acessos);
. Análise de contratos junto aos fornecedores da TI;
. Distribuição dos Custos;
. Políticas sobre o uso das redes sociais;
. Políticas sobre o uso dos recursos de TI;
. Políticas sobre o uso da rede lógica;
. Alinhamento TI x Negócio;
. Comitê de gestão da tecnologia da informação – TI;
Perfil do Profissional Auditor em Informática
O auditor de informática é aquele profissional ou empresa, que foi designado pela alta administração da empresa para avaliar, examinar e descobrir os pontos falhos e a devida eficácia dos departamentos por ela vistoriados.
O auditor deve ser um profissional de grande conhecimento da área de processamento de dados e todas as suas especificidades. Deve ter objetividade, discrição, raciocínio lógico e principalmente um sentimento real de independência, ou seja, os seus pareceres intermediários ou finais, devem “possuir uma personalidade própria”.
Posicionamento da Auditoria dentro da organização
Este setor deve ser totalmente independente dos outros setores a fim de que não tenha influências no seu desempenho. Deve estar ligado diretamente à alta administração da empresa. Outro ponto importante é a existência de um planejamento prévio, em nível de datas, de quando e como irão ocorrer as auditorias. O sigilo deste planejamento é importante para que não haja acertos de última hora que irão resultar em relatórios não condizentes com a realidade, prejudicando o desempenho da organização.
Importância da Auditoria e suas fases
Como já foi dito, a auditoria dentro de um departamento, principalmente na área de processamento de dados, é de vital importância para empresa, já que através desta a alta administração deverá ditar os rumos da empresa, além de evitar fraudes e garantir o bom desempenho dos setores aditados.
Este processo é composto de: Pré-Auditoria, Auditoria e Pós-Auditoria.
. Pré-Auditoria:
Nesta fase é enviado ao departamento a ser auditado um anúncio, através de uma notificação formal do setor de auditoria ou pelo setor de Controle Interno da empresa.
Este anúncio deve ser feito com até duas semanas de antecedência e deverá
especificar quais serão as áreas a ser auditadas, com seus respectivos planos de trabalho. Ainda dentro desta fase, serão feitas as primeiras reuniões da alta administração com os auditores visando esclarecer os pontos e planos de trabalho.
Nesta fase o grupo Auditor deve preparar as atividades administrativas necessárias para a realização da auditoria, definir as áreas a auditar, orientar o grupo de auditores quanto a estratégia a ser adotada, preparar o documento de anúncio e anunciar o setor da Auditoria.
O setor a ser auditado deve preparar as atividades administrativas de apoio ao Grupo Auditor, educar o pessoal do setor quanto ao processo que será utilizado, deliberar (resolver após a exanimação) quais informações são necessárias ao processo e fazer uma revisão final no setor.
. Auditoria:
Terminadas as reuniões iniciais e após definir as ações que serão tomadas, inicia-se a auditoria. O Auditor-chefe fará as solicitações por escrito e com data de retorno do representante do setor auditado.
De acordo com as datas preestabelecidas (na pré-auditoria) serão feitas reuniões
onde os fatos identificados serão expostos e é entregue um relatório destes fatos ao representante do setor auditado para que este emita, por meio de outro relatório as razões de estar em desacordo.
Se tais razões não forem aceitas pelo grupo Auditor, elas farão parte do relatório denominado Sumário Executivo, que é apresentado à alta diretoria da empresa. Dentro deste mesmo relatório constará uma Avaliação Global da situação da área de informática que está sendo auditada.
Geralmente a auditoria dura cerca de seis semanas.
Nesta fase, o Grupo Auditor deve avaliar os Controles(ou seja, como a área auditada funciona); documentar os desvios encontrados (falhas); validar as soluções, preparar o relatório final e apresentá-lo para a Presidência.
O Setor Auditado deve prover as informações necessárias ao trabalho da auditoria, analisar a exposição dos desvios encontrados, entender os desvios encontrados, desenvolver planos de ação que solucionarão os desvios encontrados, corrigir as exposições e revisar o Sumário Executivo.
. Pós-Auditoria:
Terminada a auditoria, o grupo auditor emite um relatório final detalhando as suas atividades. Este relatório conterá o objetivo da Auditoria, as áreas cobertas por ela, os fatos identificados, as ações corretivas recomendadas e a avaliação global do ambiente auditado. Este relatório é enviado a todas as linhas administrativas, começando pela presidência e terminando no representante do setor auditado. Nesta fase, o Setor Auditado deve solucionar os desvios encontrados pela auditoria, preparar resposta ao Relatório Final e apresentar para a Presidência, administrar conclusão dos desvios e manter o controle para que os erros não se repitam e a eficácia seja mantida. O Grupo Auditor deve distribuir o Relatório Final, revisar resposta recebida (soluções e justificativas apresentadas), assegurar o cumprimento do compromissado e analisar a tendência de correção.
Inter-Relação entre auditoria e segurança em informática
Resumindo, podemos dizer que a segurança e a auditoria são interdependentes, ou seja, uma depende da outra para produzirem os efeitos desejáveis à alta administração. Enquanto a segurança tem a função de garantir a integridade dos dados, a auditoria vem garantir que estes dados estejam realmente íntegros propiciando um perfeito processamento, obtendo os resultados esperados.
Com isso, concluímos que para que uma empresa continue competitiva no mercado, ela deve manter um controle efetivo sobre as suas áreas e isso é feito através do processo de auditoria.
Introdução
Segurança da informação é o processo responsável pela proteção dos bens da informação (dados, imagem, texto e voz no computador), e contra uso indevidos e perdas de bens de informação. Hoje em dia, a segurança de informação é o tópico mais importante em uma empresa, pois dá garantia ao que chamamos de proteção das informações da empresa em todos os aspectos.
Para se ter um ótimo controle de acesso as informações em uma grande empresa é indispensável o uso das melhores práticas em se tratando de Segurança da Informação como exemplo a aplicação da norma da ISO 27002.
É necessário que a organização siga as recomendações visando mitigar os riscos inerentes a qualquer ambiente que utilize qualquer tipo de processamento de dados.
A atividade de auditoria em segurança de informação
A auditoria tem como verificar se os requisitos para segurança da informação estão implementados satisfatoriamente, mantendo a segurança nos dados da empresa e verificando se os seus bens estão sendo protegidos adequadamente.
Inicialmente o auditor deve revisar o plano aprovado, ou seja, verificar se o método utilizado para proteção de informações é o melhor ou se precisa sofrer alguma atualização, sempre relacionado com o esquema de trabalho a seguir dentro da área que está sendo auditada.
Depois de terminado o estudo do plano, o auditor solicita os procedimentos necessários para descrever as diversas atividades que exige uma Segurança em Informática. Esses procedimentos serão confrontados com a realidade do dia-a-dia dentro do departamento, ou seja, verificando se todos os procedimentos necessários à Segurança em Informática são corretamente utilizados no departamento que está sendo auditado.
Na investigação o Auditor deverá revisar os seguintes itens, verificando se:
. O proprietário (aquele que tem permissão para acessar certo conjunto de informações), periodicamente faz uma revisão em todos os dados que ele possui acesso para verificar se houver perdas, alterações, ou outros problemas de qualquer natureza. A Gestão deve ser avisada sobre os resultados obtidos através da revisão tanto quando eles forem favoráveis (os dados estão corretos) ou quando for encontrada alguma irregularidade.
. Todos os proprietários estão identificados, ou seja, os que possuem acesso a um conjunto de informações específicas;
. Os inventários são realizados conforme requerido, padronizados e periodicamente;
. Os dados possuem a proteção necessária para garantir sua integridade, protegendo-os contra acessos e alterações indevidas;
. As documentações necessárias devem ser avaliadas pelas áreas competentes, garantindo que estas demonstrem o que realmente ocorre dentro da área a que se está referindo as documentações;
. Quando ocorrem desastres desde um erro de digitação até a perda total dos dados de um banco de dados, existe um plano de recuperação em caso de desastre que são testados conforme requerido. Por exemplo, existem os sistemas de backup e recovery,
isto é, os dados mais importantes devem possuir cópias evitando transtorno em caso de acontecimentos inesperados, verificando sempre se essas cópias estão seguras evitando problemas;
. Os programas críticos, ou seja, os programas de sobrevivência da empresa mais importantes são seguros o suficiente que qualquer tentativa de fraude não consiga alterar o sistema;
. Um terminal tem acesso somente as informações inerente àqueles que irão manipulá-lo, ou seja, um terminal no setor de Finanças só proverá informações ligadas a este setor e seus processos, não terá acesso às informações relacionadas ao setor de Recurso Humanos. Por sua vez, estes terminais podem possuir senhas próprias, podendo ser acessado somente pelos envolvidos a este setor que estejam autorizados a possuírem tais informações, estando protegido assim, contra acessos não autorizados, ou utilizado outros métodos, pois depende de que área encara como segurança da informação;
. As senhas devem possuir suas trocas automáticas garantidas, pois é muito arriscado para uma empresa, principalmente empresas de grande porte, manter uma mesma senha por um grande período;
. O processo de auto-avaliação desta área foi feito e concluído com sucesso;
. Todos os usuários estão autorizados para o uso do computador, isto é, qualquer pessoa não autorizada a manipular dados dentro do sistema possa obter informações sem influenciar o sistema. Ex.: alterações.
. Verificação do acesso físico ao ambiente de TI;
. Verificação do acesso físico ao Datacenter;
. Verificação da política de contratação de serviços na Nuvem; (aspecto físico, contrato);
. Verificação dos extintores de incêndio presentes no Datacenter (prazo de validade, extintores adequados ao ambiente);
Governança de TI
O auditor de TI deve avaliar os níveis de governança de TI aplicado na empresa, verificar se existem investimentos aplicados quanto à formação e certificação dos colaboradores da área de TI, em ferramentas como: ITIL, COBIT, ISO27002, BSC.
Comitês de Gestão da TI
O auditor deve revisar se a estrutura atual do comitê de gestão da TI está devidamente alinhada ao rumo dos negócios da empresa.
É necessário dar apoio ao comitê de gestão de TI no sentido de que o mesmo obtenha êxitos nos seus propósitos, visto que, observamos atualmente um grande desalinhamento entre tais comitês e os rumos dos negócios de acordo com a alta-administração, o que determina muitas vezes no atraso de projetos e até mesmo no fraco desempenho da empresa perante o mercado.
Artigo Autoria: Professor Pedro Carvalho – Analista de Sistemas, SP
Revisão e atualização de textos Carlos Renato Maia – Gerente de Auditoria Externa da Nardon Nasi Auditores Independentes - RS.
