Gesto do Conhecimento Conceitos Bsicos

Anlise de Relatrios/Telas e Programa FonteAna ReginaDikson Hebert Douglas MonteiroJohn Lennon

SumrioAnlise de Relatrio/TelasControle de Acesso pelo UsurioEsquema de Distribuio e Nmero de Vias EmitidoGrau de Confidencialidade de seu ContedoForma de Utilizao e Integrao entre Relatrios/Telas/DocumentosDistribuio das Informaes Segundo o Layout VigenteEtapas da AuditoriaFraquezas IdentificadasAnlise do Programa-FonteConcluso

Anlise de Relatrios/TelasImplica a anlise de documentos, relatrios e telas do sistema sob auditoria no tocante a:Controle de Acesso pelo Usurio;Esquema de Distribuio e Nmero de Vias Emitido;Grau de Confidencialidade de seu Contedo;Forma de Utilizao e Integrao entre Relatrios/Telas/Documentos;Distribuio das Informaes Segundo o Layout Vigente.Controle de Acesso Pelo UsurioO controle de acesso composto pelo processo de autenticao, autorizao e auditoria. Nesse contexto o controle de acesso pode ser entendido como a habilidade de permitir ou negar a utilizao de um relatrio/tela por determinado usurio. A autenticao identifica quem acessa o relatrio/tela;A autorizao determina o que o usurio autenticado poder fazer; eA auditoria diz o que o usurio fez.Os controles de acesso so categorizado como: discricionrios, obrigatrios e baseado em papisControle de Acesso Discricionrio (Discretionary Access Control): uma poltica de controle de acesso determinada pelo administrador do sistema. O administrador decide quem tem permisso para acessar determinada tela/relatrio e quais privilgios o usurio tem.Controle de Acesso Obrigatrio (Mandatory Access Control): A poltica de acesso determinada pelo sistema e no pelo administrador do mesmo. Este tipo de controle utilizado quando os dados a serem apresentados so altamente sensveis, como governamentais e militares. Rtulos de Sensibilidade: Todos os sujeitos devem ter rtulos de sensibilidade associados, definindo assim o seu nvel de confiabilidade. Por exemplo, senhas, crachs, etc.Controle de Acesso Pelo UsurioControle de Acesso Baseado em Papis: Estratgias de acesso a usurios autorizados. Os controles baseados em papis definem os direitos e permisses baseados no papel que determinado usurio desempenha na organizao. Esta estratgia simplifica o gerenciamento das permisses dadas ao usurio uma vez que s inserir os grupos de acesso e depois relacion-los ao seus respectivos usurios.Esquema de Distribuio e Nmero de Vias EmitidoO auditor dever identificar como estar distribuda uma determinada tela ou um determinado relatrio pelos usurios da organizao, ou seja, identificar quantos usurios da organizao tem acesso a esses mesmos recursos e quais so as consequncias potenciais que esse acesso poder trazer a organizao.Por exemplo, todos os usurios do depsito tem acesso de realizar o inventrio de algum produto. papel do auditor verificar tambm o nmero de vias que impressa de um determinado relatrio. Ele deve levar em conta:O grau de confidencialidade da informao que est sendo impressa;O solicitante dos relatrios; eOs impactos que poder trazer a empresa.

Grau de Confidencialidade de seu ContedoConfidencialidade definida como a propriedade que limita o acesso informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.O grau de confidencialidade da informao definido de acordo com os regulamentos da empresa, cultura, processos, entre outros. Mas no geral o grau de confidencialidade encaixa-se em trs nveis:Baixo: Usurio operacionais podem ter acesso irrestrito a essas informaes. Se essa informao vazar trar um impacto mnimo para a organizao. Por exemplo, relatrio de clientes, fornecedores, produtos, etc;Mdio: Apenas alguns usurios privilegiados podem ter acesso a essas informaes, o controle de acesso restringido pelo administrador do sistema ou de acordo como a demanda alta direo. Se essa informao vazar trar um impacto grande para a organizao, mas sem comprometer o seu funcionamento;Alto: Apenas alguns usurios privilegiados podem ter acesso a essas informaes, o controle de acesso restringido pelo administrador do sistema ou de acordo como a demanda alta direo. Se essa informao vazar trar um impacto grande para a organizao comprometendo o seu funcionamento, podendo levar a empresa a falncia;Grau de Confidencialidade de seu ContedoO auditor deve identificar o grau de confidencialidade do contedo que est sendo auditado (telas e/ou relatrios) e relacion-los aos respectivos usurios que as acessam. O auditor dever verificar se as polticas de controle de acesso, esquemas de distribuio e nmero de vias impressas so aceitveis para o grau de confidencialidade da informao auditada, se esto corretamente implantadas e respeitadas.Forma de Utilizao e Integrao entre relatrios/telas/documentosO auditor dever verificar se os relatrios/telas esto sendo utilizados para os seus devidos fins. O auditor dever verificar se o usurio dispe das informaes necessrias para a realizao de suas atividades;O auditor dever verificar se as informaes que o usurio dispe so relevantes para as suas atividades;O auditor dever verificar a conformidade de utilizao das informaes em relao as atividades desempenhadas pelo usurio; entre outros.O auditor dever verificar a integrao entre os relatrios/telas e documentos da organizao. Por exemplo, no seria vivel se a tela de visualizao de clientes tivesse uma opo para imprimir o saldo em estoque dos produtos.O auditor deve verificar se os relatrios impressos contm as informaes precisas, completas, econmicas, confiveis, simples e verificveis.Distribuio das Informaes Segundo o Layout VigenteO auditor deve verificar se os relatrios impressos seguem o padro de layout definido pela organizao, pelo governo, etc e se as informaes se enquadram nesse padro. Por exemplo, o software de validao da nota fiscal eletrnica (nf-e) analisa os arquivos enviados e verifica se o layout est de acordo com o definido e se as informaes do arquivo esto corretas, se no estiver a impresso da DANFE no autorizada.Etapas da AuditoriaA mecnica de aplicao da tcnica implica no cumprimento de 6 etapas.

1 Etapa: Relacionar por usurio todos os relatrios/telas/documentos que pertenam ao ponto de controle a ser analisado.Poder ser feita uma classificao desses relatrios para efeito de estabelecimento de prioridades na anlise;

Etapas da Auditoria2 Etapa: Obteno de modelo ou cpia de cada relatrio/documento/tela para compor a pasta de papis de trabalho;

Etapas da Auditoria3 Etapa: Elaborar um check-list/questionrio para a realizao dos levantamentos acerca dos relatrios/telas/documentos;

Etapas da Auditoria4 Etapa: Marcar antecipadamente a data e hora com as pessoas que fornecero opinio acerca dos relatrios;

Etapas da Auditoria5 Etapa: Realizar as entrevistas e anotar as observaes e comentrios dos usurios;

Etapas da Auditoria6 Etapa: Analisar as respostas, formar e emitir opinio acerca da auditoria para a alta direo, apontando as conformidades de no-conformidades;

Etapas da AuditoriaEstas etapas so de suma importncia para avaliao do parmetro de eficcia do sistema.As concluses do trabalho, frequentemente, possibilitam reduo de custos com a desativao total ou parcial de relatrios/telas/documentos.No tocante a telas, a aplicao da tcnica poder ser dificultada, no ambiente de microinformtica, pela facilidade que os usurios tm na criao e descarte de telas.

Fraquezas IdentificadasAs principais fraquezas identificadas so:Relatrios/telas/documentos no mais utilizados;Layout Inadequado;Distribuio indevida de vias;Confidencialidade no estabelecida e no respeitada.

Anlise do Programa-FonteImplica em uma anlise visual do cdigo-fonte do programa de computador componente do sistema sob auditoria.

Anlise do Programa-FonteO objetivo da anlise do programa-fonte assegurar-se que:Est testando a verso correta do programa que rodou ou ir rodar.Para tal, ele compara o label do programa-fonte gravado na biblioteca-fonte com o label do programa objeto gravado na biblioteca-objeto (onde os programas esto em linguagem de mquina, ou seja, mdulo de carga executvel).

Anlise do Programa-FonteO auditor pode ainda: Para maior certeza de que verifica as instrues que efetivamente compem o programa em linguagem de mquinas, executar os seguintes procedimentos:A) Preencher uma ordem de servio determinando produo que compile o mdulo-fonte que se encontra na biblioteca;B) Executar um programa (software especifico) que compare o cdigo-objeto gerado em A, com o cdigo-objeto do programa que se encontra gravado na biblioteca-objeto da produo;C) Efetuar verificaes em eventuais divergncias que ocorram em B.

Anlise do Programa-Fonte importante ressaltar que esta tcnica exige profundo conhecimentos de processamento eletrnico de dados por parte do auditor de sistemas. Entretanto, a anlise visual do cdigo-fonte do programa auditado permite ao auditor:Verificar se o programador cumpriu normas de padronizao de cdigo (labels) de rotinas, arquivos, programas;Analisar a qualidade da estruturao dos programas;Detectar vcios de programao e o nvel de atendimento s caratersticas da linguagem de programao utilizada.

ConclusoDiante do que foi mostrado anteriormente, com o avano tecnolgico que vem crescendo cada vez mais, novas ferramentas surgem e precisam ser auditadas com o objetivo de assegurar a sua conformidade com a empresa que as utiliza. As ferramentas atualmente disponveis requerem um alto grau de conhecimento do auditor. Ento h uma necessidade de verificar/auditar tambm esses novos mecanismos para obter o correto funcionamento e se os procedimentos esto de acordo com os padres/normas estabelecidos.

Refernciaswww.ebah.com.br/content/ABAAAAgZcAD/seguranca-informacao-conceitos. Acesso em 27 de Outurbo de 2013 s 16:26nti.facape.br/socrates/Trabalhos/Auditoria_de_Sistemas.htm. Acesso em 26 de Outubro de 2013 s 23:34siunibanosasco.files.wordpress.com/2013/10/audit-01-apostila-auditoria-em-si.pdf. Acesso em 24 de Outubro de 2013 s 22:01www.youblisher.com/p/269736-Auditoria-e-Seguranca-Informatica-Unidade-III/. Acesso em 27 de Outubro de 2013 s 18:23tecspace.com.br/paginas/aula/asi/aula06.pdf. Acesso em 27 de Outubro de 2013 s 13:34www.cra-ma.org.br/ead/images/auditoria.pdf. Acesso em 25 de Outubro de 2013 s 23:12www.avm.edu.br/docpdf/monografias_publicadas/K220517.pdf. Acesso em 27 de Outubro de 2013 s 16:15Gil, Antnio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5a. Edio Imoniana, Joshua Onome. Auditoria de Sistemas de Informao, 2005, Atlas, 1a. Edio