youblisher.com-269725-auditoria e seguran a inform tica unidade i

AUDITORIA E SEGURANÇA

INFORMÁTICA

Unidade I

CONTROLO INTERNO E AUDITORIA

INFORMÁTICA

Instituto Superior Monitor

Outubro 2011

AUDITORIA E SEGURANÇA INFORMÁTICA

Ficha Técnica:

Título: AUDITORIA E SEGURANÇA INFORMÁTICA – CONTROLO INTERNO E AUDITORIA

INFORMÁTICA

Autor: Joseph Rafael Katame

Revisor: Edias Jambaia

Execução gráfica e paginação: Instituto Superior Monitor

1ª Edição: 2011

© Instituto Superior Monitor

Todos os direitos reservados por:

Instituto Superior Monitor

Av. Samora Machel, nº 202 – 2.º Andar

Caixa Postal 4388 Maputo

MOÇAMBIQUE

Nenhuma parte desta publicação pode ser reproduzida ou transmitida

por qualquer forma ou por qualquer processo, electrónico, mecânico

ou fotográfico, incluindo fotocópia ou gravação, sem autorização

prévia e escrita do Instituto Superior Monitor. Exceptua-se a

transcrição de pequenos textos ou passagens para apresentação ou

crítica do livro. Esta excepção não deve de modo nenhum ser

interpretada como sendo extensiva à transcrição de textos em

recolhas antológicas ou similares, de onde resulte prejuízo para o

interesse pela obra. Os transgressores são passíveis de procedimento

judicial

ii

ii

Índice

INTRODUÇÃO ............................................................................................................... iv

ESTRUTURA DA UNIDADE I ....................................................................................... 6

CONTEXTUALIZAÇÃO ................................................................................................ 6

RESULTADOS DE APRENDIZAGEM DA UNIDADE I ............................................. 8

CAPÍTULO I – INTRODUÇÃO À AUDITORIA INFORMÁTICA .............................. 9

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO .................................................... 9

1.1 A AUDITORIA INFORMÁTICA .................................................................... 9

1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS ................ 9

1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA ............................................... 10

1.4 AUDITORIA NA ERA DA INFORMAÇÃO ................................................ 10

1.5 OBJECTIVOS DE UMA AUDITORIA INFORMÁTICA ............................ 11

1.6 TIPOS DE AUDITORIA ................................................................................ 12

1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR .............................................. 13

EXERCÍCIOS ....................................................................................................... 14

CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA

INFORMÁTICA ............................................................................................................. 15

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO: ................................................. 15

2.1 CONTROLO INTERNO DE INFORMÁTICA .............................................. 15

2.2 CONTROLO INTERNO E AUDITORIA INFORMÁTICA: CAMPOS

ANÁLOGOS ......................................................................................................... 17

2.3 COBIT (Control Objectives for Information and Related Technology) ......... 18

2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT ................................. 22

EXERCÍCIOS ....................................................................................................... 23

RESPOSTAS ......................................................................................................... 23

CAPÍTULO III – SISTEMA DE CONTROLO INTERNO INFORMÁTICO .............. 24

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO .................................................. 24

3.1 DEFINIÇÃO E TIPOS DE CONTROLOS INTERNOS ................................ 24

3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLO INTERNO

INFORMÁTICO ................................................................................................... 25

EXERCÍCIOS ....................................................................................................... 39

CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS TECNOLOGIAS

DE INFORMAÇÃO E COMUNICAÇÃO ..................................................................... 40

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO: ................................................ 40

4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs ....................... 41


4.2 AUDITORIA INTERNA ................................................................................ 42

4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO DAS

TICs ....................................................................................................................... 42

EXERCÍCIOS ....................................................................................................... 43

QUADRO SINÓPTICO ................................................................................................. 44

BIBLIOGRAFIA ............................................................................................................ 46

AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA INFORMÁTICA47

ANEXO I - QUESTIÓNARIO DE AVALIAÇÃO DA SATISFAÇÃO DO

ESTUDANTES 48

iv

iv

INTRODUÇÃO

Caro Estudante,

Seja Bem-vindo(a) à unidade I da disciplina de Auditoria e Segurança

Informática.

Para ter sucesso nesta unidade necessita de estudar com atenção todo o

manual, não deixando de rever as unidades anteriores.

Para complementar os seus conhecimentos recomenda-se que realize uma

leitura pelos recursos auxiliares recomendados ao longo desta unidade,

não só pela bibliografia indicada como pelos websites sugeridos. Para

aceder a outras bibliotecas faça-se acompanhar do seu cartão de estudante.

A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e

outras referências importantes para esta e outras disciplinas, que deverá

utilizar na realização de casos práticos. A biblioteca virtual pode ser

consultada em http://www.ismonitor.ac.mz/.

O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo

em:

www.saber.ac.mz

www.books.google.com

Recomenda-se que o aluno não guarde as suas dúvidas para si e que as

apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre

em contacto com a respectiva faculdade através do e-mail

[email protected] ou pelo contacto telefónico 82 36 99 885

Os exercícios práticos têm como objectivo a consolidação do

conhecimento dos temas apresentados nesta unidade. O Instituto Superior

Monitor fornece as soluções de muitos desses exercícios de forma a facilitar

o processo de aprendizagem, mas atenção caro estudante, você deve

resolver os exercícios de auto-avaliação antes de consultar as soluções

fornecidas.

No final desta unidade encontra-se o teste de avaliação. A avaliação deve

ser submetida ao Instituto Superior Monitor até 30 (trinta) dias após a

recepção da unidade. A avaliação da unidade pode ser submetida por e-mail

([email protected]), fax, carta, entrega directa na instituição ou usando

outros meios de comunicação.

Esta unidade pressupõe que a realização de 37,5 horas de aprendizagem,

distribuídas da seguinte forma:

Tempo para leituras da unidade: 22 horas;

Tempo para trabalhos de pesquisa: 5 horas;

Tempo para realização de exercícios práticos: 8,5 horas;

Tempo para realizar avaliações: 2 horas.

http://www.ismonitor.ac.mz/

http://www.saber.ac.mz/

http://www.books.google.com/

mailto:[email protected]

mailto:[email protected]


A presente unidade é válida por 12 (doze) meses. Os estudantes que não

tenham obtido aproveitamento na disciplina (por terem interrompido o curso

ou reprovado) devem contactar o Instituto Superior Monitor. Esta

recomendação deve-se ao facto de os materiais serem periodicamente revistos

e actualizados, de forma a se adaptarem às mudanças do mundo actual e às

dinâmicas da produção de conhecimento no seio da própria disciplina.

6

6 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

ESTRUTURA DA UNIDADE I

A presente unidade é composta por quatro capítulos e tem como

propósito dotar aos estudantes de conceitos indispensáveis para a

compreensão dos mecanismos de controlo dos sistemas informáticos nas

organizações e a realização de auditoria informática.

O primeiro capítulo introduz aos estudantes os conceitos relacionados

com auditoria informática, sua origem, evolução histórica e objectivos.

O segundo capítulo aborda as funções de controlo interno e COBIT, e a

convergência de SI e COBIT.

O capítulo três, sistema de controlo interno, descreve o sistema de

controlo interno, tipos de controlo interno e auditoria informática, e por

fim a implementação de um sistema de controlo interno.

Finalmente, no quarto capítulo, aborda sobre auditoria de sistemas de

gestão de tecnologias de informação e comunicação, e o processo de

certificação desses sistemas.

CONTEXTUALIZAÇÃO

Com a ploriferação de Sistemas de Informação (SI) nas organizações,

surge a necessidade de obtenção de qualidade dos mesmos. Estando na era

da informação, esta constitui o alicerce das organizações, pois facilita a

gestão das actividades dos diversos níveis e sectores da organização.

Auditoria e segurança dos sistemas de Informação constituem elementos

chaves para manter sistemas de informação a funcionar plenamente

durante muito tempo.

Cannon (2008), considera o termo auditar como sendo uma revisão da

história passada. O auditor segue os processos definidos de auditoria,

estabelece critérios de auditoria, reúne provas significativas, e torna

independente a opinião sobre controlos internos.

Segundo FFIEC (2004), segurança da informação é o processo pelo qual

uma organização protege seus sistemas, meios de comunicação e

instalações que processam e mantêm informações vitais para suas

operações.

Portanto, a auditoria deverá procurar encontrar possíveis problemas e

sugerir soluções para os mesmos, ou comprovar que o sistema se encontra

em perfeito estado e após auditado deverá manter o rumo. Enquanto, a

segurança deve ser um processo contínuo a ser observado na organização,

estabelecendo todos padrões recomendados sobre segurança de


7

informação.

A presente disciplina pretende dotar ao estudante de princípios, teorias,

procedimentos e técnicas de Auditoria e Segurança Informática, que lhe

permitirão empregar na vida profissional, mais concretamente nas

organizações, para solucionar e prevenir problemas relacionados com os

sistemas de informação.

A disciplina foi dividida em quatro unidades para as quais se

estabeleceram os seguintes objectivos específicos:

- A presente unidade denominada Controlo interno e auditoria

informática tem como propósito dotar aos estudantes de conceitos

indispensáveis para a compreensão dos mecanismos de controlo dos

sistemas informáticos nas organizações e a realização de auditoria

informática. Nesta unidade pretende-se que os alunos aprendam os

conceitos fundamentais relacionados com a auditoria informática, as

funções de controlo interno, sistemas de controlo interno e auditoria de

sistemas de gestão de tecnologias de informação e comunicação;

- A segunda unidade será relativa à metodologias de controlo interno e

segurança informática. Nesta unidade pretende-se que os estudantes

consigam descrever as metodologias de avaliação de sistemas e as

metodologias de auditoria informática; pretende-se ainda, que o

estudante seja dotado de conhecimentos sobre como elaborar o plano e o

relatório de uma auditoria informática;

- Na unidade 3, ferramentas para auditoria de sistemas de informação,

pretende-se que os alunos conheçam algumas ferramentas para a

auditoria de sistemas de informação de acordo com as suas funções,

finalidade, localização, produtividade e por cobertura;

- Finalmente, a última unidade trata das principais áreas de auditoria

informática. Pretende-se que o aluno conheça as principais áreas de

auditoria informática tais como auditoria de “outsourcing”, auditoria

física, auditoria de base de dados, auditoria de segurança, auditoria de

redes, auditoria de aplicações e auditoria de Internet.

O sucesso do aluno depende em grande medida da forma como planifica

e organiza as tarefas de estudo. À medida que o aluno for

experimentando sucesso na aprendizagem sentirá uma maior satisfação e

interesse pelos conteúdos programáticos. Por isso, siga os conselhos que

lhe são propostos para sair bem-sucedido na disciplina!

8


RESULTADOS DE APRENDIZAGEM DA UNIDADE I

No final da primeira unidade os alunos deverão ser capazes de:

Compreender os conceitos relacionados com auditoria

informática, sua história e evolução.

Descrever as funções de controlo interno e auditoria informática.

Compreender os sistemas informáticos de controlo interno.

Compreender o processo de auditoria de sistemas de gestão de

tecnologias de informação e comunicação.

.


9

UNIDADE I – CONTROLO INTERNO E AUDITORIA

INFORMÁTICA

CAPÍTULO I – INTRODUÇÃO À AUDITORIA INFORMÁTICA

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO

No final deste capítulo, o estudante deverá ser capaz de:

Compreender o conceito auditoria, sua origem e evolução;

Compreender a forma de auditoria na era de informação;

Compreender os objectivos de uma auditoria informática;

Descrever os tipos de auditoria informática e o perfil de um auditor;

1.1 A AUDITORIA INFORMÁTICA

Segundo Gentil (2008), pode-se conceituar auditoria como sendo o acto de

examinar as operações, processos, sistemas e responsabilidades de gestão

de uma organização com o intuito de verificar o cumprimento das normas,

objectivos e metas prefixadas pela mesma. Portanto, a auditoria visa

examinar de forma crítica as actividades de uma organização ou outra

entidade com o objectivo de avaliar a sua eficiência e eficácia.

1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS

Segundo Crepaldi (2006), o termo auditor originou-se no final do século

XIII, na Inglaterra, sob o poder do rei que mencionava o termo auditor

sempre que se referia ao exame das contas, alegando que se estas não

estivessem correctas, iria punir seus responsáveis.

Posteriormente, nos Estados Unidos da América, como exemplo, as

grandes empresas de transporte ferroviário criaram unidades fiscais

chamadas “Travelling Auditors” (Auditores Viajantes), que tinham a

função de visitar as estações rodoviárias e assegurar que todo produto da

venda de passagens e de fretes de carga estavam sendo arrecadados e

contabilizados correctamente. E após a fundação do The Institute of

10


Internal Auditors (Instituto de Auditores Internos), em Nova York, a

auditoria interna passou a ser vista de forma diferente. De um corpo de

funcionários de linha, subordinados a contabilidade, aos poucos passou a

ter um enfoque de controle administrativo, com a finalidade de avaliar a

eficácia e a efectividade dos controles internos.

Logo o seu campo de acção funcional estendeu-se para todas as áreas e

para manter sua independência, passou a subordinar-se directamente à alta

administração.

1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA

Ainda de acordo com Crepaldi (2006), a causa da evolução da auditoria,

que é decorrente da evolução da contabilidade, foi a do desenvolvimento

econômico dos países, do crescimento das empresas e expansão das

actividades produtoras, gerando crescente complexidade na administração

dos negócios e de práticas financeiras.

Por meio destes factos históricos, verifica-se que o surgimento da auditoria

apoiou-se na indispensável necessidade de confirmação, por parte dos

utilizadores, sobre a realidade econômica e financeira do patrimônio das

empresas investigadas, essencialmente, no surgimento de grandes

empresas multigeograficamente distribuídas e simultaneamente ao

desenvolvimento econômico que permitiu a participação accionária na

formação do capital de muitas empresas, gerando crescente complexidade

na administração dos negócios e de práticas financeiras.

Porém, como a auditoria provém da contabilidade, ainda é indicado o

conjunto de dados históricos que permitem a comparação entre estas duas

actividades. Com o conhecimento da evolução dos factos criadores do

trabalho de auditoria, verifica-se que esta se estabeleceu pelo exame

científico e sistêmico dos registos, documentos, livros, contas, inspecções,

obtenção de informações e confirmações internas e externas, sujeitos as

normas apropriadas de procedimentos para investigar a veracidade das

demonstrações contábeis e o cumprimento não somente das exigências

fiscais como dos princípios e normas de contabilidade e sua aplicação

uniforme.

1.4 AUDITORIA NA ERA DA INFORMAÇÃO

No decorrer das últimas décadas, o ritmo das mudanças, no mundo, se

caracterizou por extraordinária rapidez. Estas mudanças afectaram

profundamente as organizações, seja em sua estrutura, cultura ou


11

comportamento. As organizações passaram por três fases durante o século

XX: a era industrial clássica, a era industrial neoclássica e a era da

informação.

Enquanto nas duas primeiras foram destacadas as tarefas, as pessoas, a

tecnologia e o ambiente, na última e actual era, devido às mudanças e

transformações, ocorre em um contexto globalizado e dinâmico, em que a

competitividade se dá em nível mundial, as relações comerciais ignoram

fronteiras e culturas nacionais e a informação imediata faz com que as

organizações necessitem ser ágeis, flexíveis e rápidas em suas respostas

aos desafios cada vez mais complexos e, ainda, provoca diversidade em

relação à composição humana dentro das organizações e incentiva a

modificação nas funções das pessoas que nelas trabalham, de forma directa

ou indirecta.

Segundo Velthuis (2007), a partir dos anos 50 a informática se converteu

em uma área muito importante na área de auditoria financeira, e permite

levar a cabo de forma rápida e precisa, operações que manualmente

consumiam demasiados recursos.

Notou-se também que as organizações tornaram-se dependentes de

sistemas de informação, assim surge a necessidade de verificar se estes

funcionam correctamente. Nos finais dos anos 60, descobriu-se vários

casos de fraude cometidos com ajuda de computador. É neste contexto que

surgiu nova área denominada Auditoria Informática, cujo objectivo é

precisamente verificar o funcionamento correcto, eficaz e eficiente das

tecnologias e sistemas de informação.

Na actualidade a informação se converte em um dos activos principais nas

empresas, representados por tecnologias e sistemas relacionados com a

informação. Podemos afirmar que as empresas investem enormes valores e

tempo na aquisição e desenvolvimento de soluções tecnológicas com

intuito de flexibilizar a gestão de suas actividades. Daí que os temas

relacionados com auditoria informática tenham maior relevância mundial.

1.5 OBJECTIVOS DE UMA AUDITORIA INFORMÁTICA

Nas organizações informatizadas é imprescindível que as tecnologias

envolvidas respondam as necessidades da organização, por exemplo os

computadores devem estar disponível a qualquer tempo para responder as

necessidades dos utilizadores, os sistemas implantados na organização

devem fornecer uma segurança, de modo que os utilizadores acedem

somente informações que lhes dizem respeito.

Segundo Cannon (2008), a auditoria consiste em rever o passado. O

12


auditor de SI deve seguir o processo de auditoria definido, estabelecer o

critério de auditoria, obter evidências significativas e providenciar uma

opinião independente em relação ao controlo interno. A auditoria envolve

o uso de várias técnicas de colecta de evidências significativas, e efectua a

comparação entre evidências da auditoria e referências de padrões.

De acordo com Anaguano (s.d.), a auditoria informática tem os seguintes

objectivos:

1. O controlo da função informática;

2. A análise da eficiência dos sistemas informáticos;

3. A revisão da gestão eficaz dos recursos informáticos;

4. A verificação do cumprimento dos padrões e normas.

1.6 TIPOS DE AUDITORIA

Segundo Cannon (2008), a auditoria interna consiste em auditar sua

própria organização para descobrir evidências sobre o que está a ocorrer na

organização. Este tipo de auditoria permite acompanhar a forma de

efectivação de actividades, com intuito de verificar possíveis erros no

funcionamento das tecnologias envolvidas na organização, por exemplo o

funcionamento das aplicações e segurança de sistemas. Este autor afirma

ainda que auditoria externa envolve clientes ou fornecedores auditando a

organização. A finalidade é garantir o nível esperado de performance

conforme os seus contratos. Este tipo de auditoria não é realizado para

detectar anomalias no funcionamento do sistema de informação na

organização. Naturalmente, no decorrer do processo de auditoria, o auditor

pode encontrar fraudes ou erros, mas o seu objectivo é emitir um parecer.

Tendo em conta as áreas de actuação, podemos encontrar os seguintes

tipos de auditoria (Anaguano, s.d.):

Financeira. Trata da veracidade dos estados financeiros. Preparação de

informes de acordo com os princípios contábeis;

Operacional. Avalia a eficiência, eficácia e economia dos métodos e

procedimentos que originam um processo numa organização;

Sistemas. Se preocupa com a função informática;

Fiscal. Se preocupa em observar o cumprimento das leis fiscais;


13

Administrativa. Analisa o desempenho das funções administrativas;

Qualidade. Trata dos métodos, medições e controlo de bens e serviços;

Social. Revê a contribuição da sociedade bem como a participação em

actividades socialmente orientadas.

A auditoria informática, por sua vez, é composta pelas seguintes áreas:

Auditoria de gestão;

Auditoria dos dados;

Auditoria de segurança física;

Auditoria de segurança lógica;

Auditoria das comunicações;

Auditoria de segurança na produção.

1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR

Uma boa auditoria carece de um auditor com qualificações mínimas para

poder auditar sistemas de Informação. Num processo de auditoria devemos

garantir que esta seja feita de uma forma adequada. Não se pode admitir

um auditor sem qualificações necessárias para prestar auditoria, neste caso,

auditoria em informática.

Segundo Fantinatti (1988) e Cannon (2008), o auditor deve ter

objectividade, imparcialidade, confidencialidade raciocínio lógico bem

como o sentimento de independência.

Consideremos que a empresa XYZ, usa sistema de informação baseado

em computador, onde esta necessita comunicar-se com outras sucursais em

outras regiões do país. Assumindo que a empresa localiza-se em Maputo,

com sucursais nas províncias de Nampula, Manica e Tete, o auditor deve

conhecer no mínimo a forma de comunicação existente, as tecnologias

usadas nas aplicações usadas, conhecimento sobre a segurança

implamentada na mesma, entre outros.

Portanto, perfil e qualificações de um auditor são requisitos indispensáveis

para a realização de um processo de auditoria informática, e contribuem

para a qualidade da auditoria influenciando desta forma na tomada de

decisão dos agentes do nível mais alto da organização.

14


EXERCÍCIOS

1.O que é Auditoria Informática?

2. Explique a evolução de Auditoria nos países desenvolvidos.

3. O que motivou a evolução da Auditoria?

4. O que motivou o surgimento da Auditoria Informática?

5.Indique tipos de auditoria que conheces?

6. Indique algumas qualidades de um auditor.

RESPOSTAS

1.O que é Auditoria Informática?

Resp: Pode-se conceituar auditoria como sendo o acto de examinar as operações,

processos, sistemas e responsabilidades gerências de uma organização com o

intuito de verificar o cumprimento das normas, objectivos e metas prefixados pela

mesma.

2.Explique a evolução de Auditoria nos países desenvolvidos.

Resp: Vide secção 1.3.

3. O que motivou a evolução da Auditoria?

Resp: A causa da evolução da auditoria, que é decorrente da evolução da

contabilidade, foi a do desenvolvimento econômico dos países, do crescimento

das empresas e expansão das actividades produtoras, gerando crescente

complexidade na administração dos negócios e de práticas financeiras.

4. O que motivou o surgimento da Auditoria Informática?

Resp: Nos finais dos anos 60, descobriu-se vários casos de fraude cometidos com

ajuda de computador. Face a essa situação surgiu outro ramo da Auditoria

denominada Auditoria Informática.

5.Indique tipos de auditoria que conheces?

Resp: Vide secção 1.6.

6.Indique algumas qualidades de um auditor.

Resp: o auditor deve ter objectividade, imparcialidade, confidencialidade,

raciocínio logico e sentimento de independência.


15

CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA

INFORMÁTICA

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:

No final deste capítulo o estudante será capaz de:

Identificar as funções básicas de controlo interno de informática;

Compreender que controlo interno e auditoria informática são campos

análogos;

Compreender o funcionamento e o objectivo da tecnologia COBIT;

Descrever a convergência entre a auditoria de SI e COBIT;

2.1 CONTROLO INTERNO DE INFORMÁTICA

A área de informática tornou-se um dos requisitos muito importante na

efectivação de tarefas rotineiras nas organizações. Tem-se investido muito

na informática devido ao seu impacto na tomada das decisões em todos

níveis que constituem uma organização.

O ideal é ter um retorno directamente proporcional com valores gastos na

aquisição das tecnologias de informação, que são matéria-prima para o

desenvolvimento de sistemas de informação tecnológicos, ou seja,

sistemas de informação baseados em computador.

O controlo interno de informática é uma parte da informática que responde

as necessidades de cumprimento dos requisitos exigidos sobre o

funcionamento das tecnologias envolvidas na organização. É através dela

que obtemos o “feedback” sobre a viabilidade de uso das tecnologias de

informação nas organizações.

O Controlo interno visa verificar o funcionamento de todas actividades

efectuadas nas organizações através do sistema de informação. Este

controlo avalia a efectivação dos procedimentos e normas estabelecidas

pela Direcção ou Departamento de Informática.

O controlo interno tem os seguintes objectivos (Valriberas, 2008):

16


Controlar e garantir que todas as actividades sejam realizadas de

acordo com os procedimentos e normas fixadas e assegurar o

cumprimento das normas;

Assessoria no conhecimento das normas;

Colaborar e apoiar o trabalho de auditoria informática, assim como

as auditorias externas;

Definir, implementar e executar mecanismos e controlo para

verificar a realização adequada de serviços de informática, no qual

devemos considerar que a implementação dos mecanismos de

medida e a responsabilidade de realização seja exclusivamente da

função de controlo interno;

Para além dos objectivos descritos acima, é necessário efectuar em

diferentes sistemas (central, departamentos, redes, computadores pessoais,

etc.) e ambientes informáticos (produção, desenvolvimento ou teste) o

controlo de diferentes actividades operativas sobre:

O cumprimento de procedimentos e normas;

Controlo sobre produção diária;

Controlo sobre a qualidade e eficiência do desenvolvimento e

manutenção de software e de serviços informáticos.

Controlo de redes de comunicação;

Controlo sobre o software de base;

Controlo de sistemas de microinformática;

A segurança informática;

Utilizadores, responsabilidades e perfis de uso de ficheiros e bases

de dados;

Normas de segurança;

Licenças e relações contratuais com terceiros


17

Assessorar e transmitir cultura sobre o risco informático.

.

Auditoria informática é processo de revogar, agrupar e avaliar evidências

para determinar se o sistema informatizado salvaguarda os activos,

mantendo a integridade dos dados, levando a cabo eficazmente os fins da

organização e utiliza eficazmente os recursos. Deste modo a auditoria

informática sustenta e confirma a execução dos objectivos tradicionais da

auditoria:

Objectivos de protecção de activos e integridade de dados;

Objectivos de gestão que abarcam apenas na protecção de activos,

mas também na eficácia e eficiência;

O auditor é responsável em rever e informar a direcção da organização

sobre o desenho e o funcionamento do sistema de controlo implantado e

sobre a finalidade da informação produzida.

Podem se estabelecer três grupos de funções a realizar por um auditor

informático (Valriberas, 2008):

Participar em revisões durante e depois do desenho, realização,

implementação e exploração de aplicações informáticas, assim

como as fases análogas de realização de mudanças importantes;

Rever e julgar os controlos implantados em sistemas informáticos

para verificar sua adequação as ordens e instruções da direcção,

requisitos legais, protecção de confidencialidade e cobertura entre

erros e fraudes;

-

Rever e julgar o nível de eficácia, utilidade, fiabilidade e segurança

de equipas de informática.

2.2 CONTROLO INTERNO E AUDITORIA INFORMÁTICA:

CAMPOS ANÁLOGOS

Controlo interno e auditoria informática são campos análogos, visto que há

semelhanças, conforme ilustrado na tabela 1. Como pode-se ver, temos a

semelhança no pessoal interno, este deve ter experiência em tecnologias de

informação, verificação da conformidade com controlos internos entre

outros. Tabela 1: Comparação entre Controlo Interno e Auditoria Informática. Fonte: Valriberas

18


(2008)

CONTROLO INTERNO

INFORMÁTICO

AUDITOR

INFORMÁTICO

SEMELHANÇAS Pessoal Interno

Experiência em tecnologia da informação,

verificação da conformidade com controlos

internos, normas e procedimentos estabelecidos

pelo departamento de Informática e direcção geral

da Organização.

DIFERENÇAS Análise de controlos no dia-a-

dia.

Informar ao departamento

sobre o pessoal interno

somente de suas funções sobre

o departamento de TI

Análise de um

tempo

determinado

Informar a

direcção geral da

organização sobre

como o pessoal

Interno e / ou

externo tem

coberto em todos

os componentes

de organização de

sistemas de

informação

2.3 COBIT (Control Objectives for Information and Related

Technology)

Metodologia é o conjunto de métodos e técnicas aplicadas para um

determinado fim. Dependendo da sua utilização pode gerar resultados

positivos para organização. O controlo de informática deve basear-se numa

metodologia.

A filosofia de uma metodologia baseada em Informática, consiste em gerir

recursos de tecnologias de informação, a fim de fornecer informações

pertinentes que a organização precisa.

COBIT é um modelo/conjunto estruturado de boas práticas e metodologias

para sua aplicação, cujo objectivo é facilitar a Governança de Tecnologias

de Informação (TI). É um modelo de controlo, que visa atender as

necessidades de TI, e garantir a integridade de informação e sistemas de

informação, ajudando a diminuir os riscos do negócio.


19

Segundo Troitino e Sanches (2008), COBIT aponta e sustenta a

Governança de TI, proporcionando uma marca de referência que assegura

que:

A tecnologia de informação está aliada com o negócio,

contribuindo ao mesmo tempo para a maximização dos

benefícios;

Os recursos de TI (humanos e técnicos) são usados de forma

responsável;

Os riscos de TI são geridos e dirigidos adequadamente.

Outra característica interessante de COBIT é a sua estruturação ou

esquema de apresentação. Está estruturado com critérios práticos em uma

ordem lógica e racional do mais alto nível ao menor nível na gestão e

direcção de TI.

Figura 1. Os quatros domínios de COBIT. Fonte: Fagundes (2011)

O COBIT (versão 4.0) está estruturado em 34 objectivos de controlo de

alto nível para os processos de TI, que estão agrupados em 4 domínios de

actividades típicas do governo de TI (o que qualquer governo de TI deverá

incluir para ser realista e eficiente).

20


Os quatros domínios de actividades são seguintes:

Domínio Característica

Planeamento e Organização (PO) Cobre aspectos estratégicos e

tácticos organizacionais;

Identifica a melhor forma através da

qual a TI possa contribuir para o

alcance dos objectivos do negócio;

A realização da visão estratégica

precisa ser planeada, comunicada e

gerido por diferentes perspectivas;

Este domínio preocupa-se com

questões de gestão como:

• A TI e o negócio estão

estrategicamente alinhados? A

empresa está maximizando o uso de

seus recursos?

• As pessoas compreendem os

objectivos da TI?

• Os riscos são compreendidos e

geridos de forma apropriada?

• A qualidade dos sistemas está de

acordo com a necessidade dos

negócios?

Aquisição e Implementação (AI)

• Para realizar a estratégia da TI,

soluções de TI precisam ser

identificadas, desenvolvidas ou

adquiridas, como também

implementadas e integradas ao

processo do negócio;

• Modificações e manutenção de

sistemas existentes são cobertas

neste domínio, para que continuem

alinhados aos objectivos do negócio.

• Este domínio preocupa-se com


• Os novos projectos estão aptos à

prover as soluções que o negócio

requer no prazo e sem falhas? Os

novos sistemas implementados estão

operando apropriadamente quando

implementados?

Prestação e Suporte (DS)

Focado na prestação dos serviços


21

requeridos, incluindo:

Prestação de serviços, gestão de

segurança e continuidade do

negócio, suporte aos utilizadores, e

gestão de dados e estruturas

operacionais.

• Este domínio preocupa-se com


Os serviços de TI estão sendo

entregues de acordo com as

prioridades do negócio? Os custos

da TI estão optimizados? A mão-de-

obra está apta a utilizar os sistemas

produtivamente e com segurança? A

integridade, confidencialidade e

disponibilidade dos dados está de

acordo?

Monitoramento e Avaliação (ME)

Os processos de TI precisam ser

regularmente testados para garantir

sua qualidade e conformidade com

os requisitos de controlo. Este

domínio trata da gestão de

desempenho, monitoramento de

controlos internos, conformidade

com as normas e provimento de

governança em TI.

Este domínio preocupa-se com

questões da gestão como:

A TI está preparada para identificar

os problemas em tempo útil? A

gestão assegura que os controlos

internos decorram normalmente?

COBIT inclui outros elementos a considerar que estão relacionados com os

requisitos de negócio com os respectivos serviços e recursos de TI:

Requisitos de negócio com respeito a TI: efectividade, eficácia,

eficiência, integridade, disponibilidade e confiabiliade;

Recursos de TI afectados: Aplicações, informação, infra-estrutura e

pessoas;

Áreas centrais para o Governo de TI: alinhamento estratégico;

gestão de recursos; gestão de risco e medição de rendimento;

22


Objectivos de controlo de detalhe: enumeração de objectivos de

detalhe com suas explicações sobre seu propósito e alcance, por

objectivo de alto nível;

Directrizes de gestão: guia sobre as inter-relações com outros

domínios e objectivos de controlo de alto nível apontando tanto a

relação de recepção (input) de outros objectivos de controlo

exclusivos externos ao esquema COBIT, como na saída (output)

para outros;

Responsabilidade por distintos níveis de direcção e gerência:

incluem tanto alta gerência, como a unidade de negócio para a

auditoria de TI;

Quadro de objectivos e métricas aplicadas: objectivos e métricas

aplicadas para o objectivo do controlo de que se trata, e os

indicadores para a respectiva medição;

Modelo de maturidade: critérios para considerar em cada nível.

2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT

Pretende-se nesta secção descrever a convergência entre auditoria de

sistemas de informação e a metodologia COBIT. O auditor de SI deve

actuar de forma a implementar COBIT, como em qualquer outra auditoria.

Para Troitino e Sanches (2008), auditor de SI não se limitará em contestar

a um questionário, mas:

Analisar os riscos dentro do alcance e objectivo da auditoria em

questão;

Identificar o modelo e controlos que supostamente mitigam os

riscos identificados;

Realizar testes sobre os controlos e impacto de diferenças de

controlo;

Obter suas conclusões e emitir seu relatório e opinião

independente, indicando fundamentalmente os riscos para o

negócio.


23

Podemos destacar convergência entre auditoria informática e COBIT, por

exemplo, as normas de auditoria de TI seguintes são totalmente aplicáveis

dentro do contexto COBIT:

S1- estatuto de auditoria;

S2- Independência;

S3- ética profissional e normas aplicadas;

S4- competência profissional;

S5- planificação;

S6- realização de trabalho de auditoria (supervisão, evidência e

documentação)

S7- Relatórios;

S8- Actividades de seguimento;

S9- irregularidades e actos legais.

S10- Governo de TI;

S11- Uso de avaliação de riscos com a planificação de

auditoria;

S12- materialidade

S12- uso de trabalhos de “experts”

S13- evidência de auditoria.

EXERCÍCIOS

1. Qual é o objectivo da auditoria interna?

2. O que é risco em sistemas de informação?

3. O que é segurança lógica?

4. Quais são os princípios da auditoria, tanto externa como interna?

5. O que entendes por COBIT?

RESPOSTAS

1. Assessorar a administração da empresa no efectivo desempenho de sua

função

2. Probabilidade de que agentes que são ameaças, explorem

vulnerabilidades, expondo os activos a perdas de confidencialidade,

integridade e disponibilidade, e causando impactos nos negócios

3. Acção que está ligada à parte de acessos de utilizadores, determinação

de hierarquia, controlo de acesso electrónico, integridade de base de dados,

ligações do sistema e sua gestão, tecnologias de invasões e defesa

4. Independência, imparcialidade, confiabilidade e Idoneidade.

5. É um modelo de controlo, que visa atender as necessidades de TI, e

garantir a integridade de informação e sistemas de informação, ajudando a

diminuir os riscos do negócio.

24


CAPÍTULO III – SISTEMA DE CONTROLO INTERNO

INFORMÁTICO

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO

No final deste capítulo o estudante deverá ser capaz de:

Compreender conceitos e tipos de sistemas de controlo interno;

Compreender os mecanismos de implementação de um sistema de

controlo interno informático;

Descrever o processo de aquisição, exploração, qualidade e controlo

de sistemas informáticos;

3.1 DEFINIÇÃO E TIPOS DE CONTROLOS INTERNOS

Podemos definir o controlo interno como sendo qualquer actividade

realizada manualmente ou automaticamente para prevenir, corrigir erros

irregulares que podem afectar o funcionamento de um sistema para atingir

seus objectivos.

Controlos internos que utilizam campo de informática continuam

evoluindo, na medida que os sistemas de informação evoluem. A evolução

de tecnologias de suporte físico e de software está modificando a maneira

significativa nos procedimentos que se aplicam no controlo de processos

de aplicações e gestão de sistemas de informação.

Para garantir qualidade de sistemas requer mecanismos completos de

controlo, a maioria dos quais são automáticos, muitos dependem da

combinação de elementos de software e procedimentos.

Historicamente, os objectivos de controlo informático são classificados em

seguintes categorias (Troitino e Sanches, 2008):

Os controlos de prevenção

Estes controlos, também conhecidos por controlos dissuasores, têm como

finalidade o estabelecimento de condições que permitam a diminuição da

ocorrência de causas de erros estabelecendo, dessa forma, as condições

necessárias para a não ocorrência de erros.


25

Os controlos de correcção Estes controlos ajudam a investigar quais as causas de erros e, dessa

forma, permitem que sejam aplicadas medidas correctivas a essas causas.

Os controlos de detecção Estes controlos têm como principal objectivo a detecção rápida das causas

de risco e de erros. São frequentemente considerados os de maior

importância para o auditor. Nestes controlos de detecção podemos

evidenciar os controlos de supervisão.

3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLO

INTERNO INFORMÁTICO

Torna-se importante conhecer toda organização de recursos de tecnologia

de informação, sistemas de informações baseados em computador,

estrutura da rede e respectiva segurança. Este conhecimento é fundamental

para implementar o sistema de controlo interno.

Segundo Troitino e Sanches (2008), para conhecer a configuração do

sistema é necessário documentar os detalhes de rede, assim como os

distintos níveis de controlo e elementos relacionados:

Entorno da rede: esquema da rede, descrição da configuração de

hardware de comunicações, descrição de software que se utiliza como

acesso das telecomunicações, controlo de rede, situação geral dos

computadores que suportam aplicações críticas e considerações

relativas da segurança de rede;

Configuração de computador base: configuração do suporte físico,

entorno de sistema operativo, software com partições, bibliotecas de

programas e conjunto de dados;

Entorno de aplicações: processos transaccionais, sistemas de gestão

de base de dados e entorno de processos distribuídos;

Produtos e ferramentas: software para desenvolvimento de

programas, software de gestão de bibliotecas e para operações

automáticas;

Segurança de computadores: identificar e verificar utilizadores,

controlo de acesso, registo de informação, integridade de sistema,

controlo de supervisões.

26


Para a implementação de um sistema de controlo interno informático deve-

se definir (Piattini e del Peso, 2001):

Gestão de sistemas de informação: Um sistema de informação é

composto por todos os componentes que recolhem, manipulam e

disseminam dados ou informação. Neste caso, podemos encontrar

hardware, software, pessoas, redes de computadores, e os dados

propriamente ditos.

Num sistema de informação são realizadas tarefas como introdução de

dados, processamento dos dados em informação, armazenamento de

ambos, e a produção de resultados, como relatórios de gestão. Diante dessa

situação, é preciso conhecer políticas, directrizes e normas técnicas que

servem de base para desenho e implementação dos sistemas de informação

e de outros correspondentes.

Administração de sistemas: Administração de sistema é uma área

específica de administração de um sistema de informação tecnológico.

Neste caso podemos encontrar as seguintes actividades de administração;

administração de utilizadores, administração de sistema de ficheiro,

administração de software, administração de serviços, entre outros.

Segurança: A segurança de sistemas é composta de medidas de prevenção

contra ataques internos e externos, passando pela engenharia social e

chegando inclusive a acções práticas por intermédio de softwares e

hardwares. A segurança inclui as três classes de controlo fundamental

implementado em software de sistema: integridade do sistema,

confiabilidade (controlo de acesso) e disponibilidade.

Gestão de mudança: separação de testes e a produção a nível de software,

controlo e procedimentos de migração de programas de software aprovado

e testado.


27

Figura 2. Implementação de política e cultura de segurança. Fonte: Piattini e del Peso

(2001).

A implementação de uma política e cultura sobre segurança requer que se

realize por fases, como podemos ver na figura 2. Cada fase desempenha

um papel importante:

Direcção de negócio ou direcção de sistemas de Informação:

deve-se definir a política e/ou directrizes para os sistemas de

informação com base nas exigências do negócio, que poderá ser

interno ou externo.

Direcção de informação: deve-se definir as normas de

funcionamento em torno informático e cada uma das funções

de informática mediante a criação e publicação de

procedimentos e padrões, metodologias e normas, aplicáveis a

todas áreas de informática.

Controlo interno informático: deve-se definir os diferentes

controlos periódicos a realizar em cada uma da funções

informáticas, de acordo ao nível de risco de uma delas,

desenhar conforme aos objectivos de negócio e dentro do

marco legal aplicável. Na figura 3 está ilustrado

detalhadamente o funcionamento do controlo interno

informático.

28


Figura 3. Funcionamento de controlo interno Informático. Fonte: Piattini e del Peso

(2001)

Auditor informático interno/externo: deve-se rever os diferentes

controlos internos definidos em cada uma das funções informáticas e o

cumprimento de normas internas e externas, de acordo com o nível de

risco, conforme os objectivos definidos pela direcção de negócio e

direcção de informática.

Importa descrever controlos internos importantes para sistemas

informáticos, agrupados por secções funcionais, e que o controlo interno

informático e auditoria informática deveriam verificar para determinar o

seu cumprimento e validez (Piattini e del Peso, 2001):

1. Controlos gerais organizativos

Políticas: devem servir de base para a planificação, controlo e

avaliação pela direcção de informática.

Planificação:

Plano estratégico de informática, realizado pelos

órgãos de alta direcção da empresa donde se define os

processos corporativos e se considera o uso das diversas

tecnologias de informação assim como as ameaças e

oportunidades de seu uso.

Plano geral de segurança (física e lógica), garante a

confiabilidade, integridade e disponibilidade da

informação.


29

Plano de emergência anti-desastre, garante a

disponibilidade dos sistemas.

Padrões: que regula a aquisição de recursos, a decisão,

desenvolvimento, modificação e exploração de sistemas;

Procedimentos: que descreve a forma e as responsabilidades

de execução para regular as relações entre o departamento de

informática e os departamentos de utilizadores;

Organizar o departamento de informática em nível

suficientemente superior de estrutura organizativa para

assegurar sua independência dos departamentos de utilizadores.

Descrição das funções e responsabilidades dentro dos

departamentos como uma clara separação entre as mesmas.

Políticas do pessoal: selecção, plano de formação, plano de

vocações, avaliação e protecção;

Assegurar que a direcção reveja todos os relatórios de controlo

e resumir as excepções que ocorrem;

Assegurar que exista uma política de classificação da

informação para saber dentro da organização que pessoas estão

autorizadas a aceder a determinadas informações;

Designar oficialmente a figura de controlo informático e de

auditoria.

2. Controlo de desenvolvimento, aquisição e manutenção de

sistemas de informação

Para permitir alcançar a eficiência do sistema, economia, integridade

dos dados, protecção dos recursos e cumprimento das leis e padrões.

Metodologia de ciclo de vida de desenvolvimento de sistemas: sua

implementação poderá garantir a alta direcção a alcançar os objectivos

definidos para o sistema. Estes são alguns controlos que devem existir

em metodologia:

30


A alta direcção deve publicar uma norma sobre o uso de

metodologia de ciclo de vida de desenvolvimento de sistemas e

rever esta metodologia periodicamente;

A metodologia deve estabelecer os papeis e responsabilidades

das distintas áreas do departamento de informática e dos

utilizadores, assim como a composição e responsabilidade da

equipe do projecto;

As especificações do novo sistema devem ser definidas pelos

utilizadores e documentadas e aprovadas antes de começar o

processo de desenvolvimento;

Deve estabelecer um estudo de viabilidade de tecnologia em

que se formulam formas alternativas de alcançar os objectivos

do projecto acompanhado de uma análise de custo-benefício de

cada alternativa;

Quando se selecciona uma alternativa deve realizar-se o plano

director do projecto. Neste plano deverá existir uma

metodologia de controlo de custo;

Procedimentos para a definição e documentação de

especificações de: desenho, de entrada, de saída de ficheiros, de

processos, de programas, de controlo de segurança, de pastas de

auditoria.

Plano de validação, verificação e testes.

Padrões de testes de programas e teste de sistemas;

Plano de conversão; testes de aceitação final;

Os procedimentos de aquisição de software deverão seguir as

políticas de aquisição da organização e esses produtos deverão

ser aprovados e revistos antes de uso;

A contratação de serviços de programação deve ser justificada

mediante uma petição escrita de um director de projecto;

Deverão preparar-se manuais de operações e manutenção como

parte de todo projecto de desenvolvimento, modificação de

sistemas de informação, assim como manuais de utilizadores.


31

Exploração e manutenção: o estabelecimento de controlos

assegurará que os dados sejam tratados de forma congruente e

exacta e que apenas será modificado o conteúdo de sistema,

mediante a autorização adequada. A seguir apresentamos

alguns controlos que devem ser implementados:

o Procedimento de controlo de exploração;

o Sistema de contabilidade para assinatura de utilizadores dos

custos associados com a exploração de sistema de

informação;

o Procedimentos para realizar um seguimento e controlo de

mudanças de sistema de informação.

3. Exploração de sistema de informação

Planificação e gestão de recursos: definir o orçamento

operativo do departamento, plano de aquisição de

equipamentos e gestão da capacidade da equipe;

Controlo para usar, de maneira efectiva, os recursos de

computadores:

o Calendário de carga de trabalho;

o Programação do pessoal;

o Manutenção preventiva do material;

o Gestão de problemas e mudanças;

o Procedimentos de facturação de utilizadores;

o Sistemas de gestão de bibliotecas e suporte.

Procedimentos de selecção de software de sistema, de

instalação, de manutenção, de segurança e controlo de

mudanças.

Segurança Física e Lógica:

o Definir um grupo de segurança de informação, sendo uma

das funções de administração e gestão de software de

segurança, rever periodicamente os relatórios de violências

e actividades de segurança para identificar e resolver

incidentes;

o Controlo físico para assegurar o acesso das instalações do

departamento de informática.

32


o As pessoas externas à organização deverão ser

acompanhadas por um membro da organização quando

tiver a intenção de visitar as instalações.

o Instalação de medidas de protecção contra incêndios.

o Formação em procedimentos de segurança e evacuação de

edifícios.

o Controlo de acesso restringindo os computadores mediante

a designação de um identificador de utilizador com

palavra-chave intransmissível.

o Normas que regulam o acesso dos recursos informáticos.

o Existência de um plano de contingência para “backup” de

recursos de computadores e para recuperação dos serviços

depois de uma interrupção dos mesmos.

4. Controlo de aplicações

Cada aplicação deve levar controlo incorporado para garantir a

entrada, actualização, validação e manutenção completa de

dados exactos.

As questões mais importantes em controlo de dados são:

o Controlo de entrada de dados: procedimentos de

conversão de entrada, validação e correcção de dados.

o Controlo de tratamento de dados para assegurar que não

se faça muita modificação ou exclusão não autorizada

dos mesmos mediante processos não autorizados.

o Controlo de saída de dados: sobre o quadro e

reconciliação de saídas, procedimentos de distribuição

das saídas e de gestão de erros nas saídas.

5. Controlo específico de certas tecnologias

Controlo de sistemas de gestão de base de dados:


33

o O software de gestão de base de dados para prever o

acesso a estrutura de controlo sobre dados partilhados

deve instalar-se e manter-se de modo tal que assegure a

integridade de software, as base de dados e as instruções

de controlo;

o Devem ser definidas as responsabilidades sobre a

planificação, organização, adopção de controlo de

activos de dados e decidir um administrador de base

dados.

o Garantir que existam procedimentos para a descrição e

mudanças de dados assim como para a manutenção do

dicionário de dados.

o Controlo sobre o acesso a dados e concorrência.

o Controlo para minimizar falhas, recuperar em ambiente

de base de dados ao ponto de saída e minimizar o tempo

necessário para a recuperação.

Controlo informático distribuído e rede:

o Planos adequados de implementação, conversão e teste

de aceitação para a rede.

o Existência de um grupo de controlo de rede.

o Controlo para assegurar a compatibilidade de conjunto

de dados entre aplicações quando a rede é distribuída.

o Procedimentos que definem as medidas e controlo de

segurança a serem usados em rede.

o Que se identifique todos os conjuntos de dados

sensíveis da rede e que se tenha determinado as

especificações para sua segurança.

o Existência de inventário de todos activos de rede.

o Procedimentos de “backup” de hardware e de software

de rede.

o Existência de manutenção preventiva de todos activos.

34


o Que exista controlo que verifique que todas as

mensagens de saída se validam de forma rotineira para

assegurar que contêm direcções de destino válidos.

o Controlo de segurança lógica: controlo de acesso da

rede, estabelecimento de perfís de utilizador.

o Procedimentos de criptografia de informática sensíveis

que se transmitem através da rede.

o Procedimentos automáticos para resolver fechamentos

do sistema.

o Monitorização para medir a eficiência da rede.

o Desenhar “layout” físico e as medidas de segurança das

linhas de comunicação local dentro da organização.

o Detectar a correcta ou má recepção de mensagens.

o Identificar as mensagens por uma chave individual de

utilizador, por terminal e pelo número de sucessão de

mensagens.

o Rever os contratos de manutenção e o tempo médio do

serviço acordado com o provedor com objecto de obter

uma cifra de controlo constante.

o Assegurar que haja procedimentos de recuperação e

reinício.

o Assegurar que existam pistas de auditoria que podem se

usar na reconstrução de ficheiros de dados e de

transacções dos diversos terminais. Deve existir a

capacidade de rastrear os dados entre o terminal e

utilizador.

o Considerar circuitos de comutação que usam rotas

alternativas para diferentes destinos da mesma

mensagem; isso oferece uma forma de segurança em

caso de alguém interceptar a mensagem.


35

o Controlo sobre computadores pessoais e rede local:

Políticas de aquisição e utilização.

Normas e procedimentos de

desenvolvimento e aquisição de software de

aplicações.

Procedimentos de controlo de software de

contrato de baixa licença.

Controlo de acesso a redes, mediante

palavra-chave.

Revisão periódica de uso de computadores

pessoais.

o Políticas que contemplam a selecção, aquisição e

instalação de rede local.

o Procedimentos de segurança física e lógica.

o Departamento que realce a gestão e suporte técnico da

rede. Controlo para evitar modificar a configuração de

uma rede. Recolher informação detalhada sobre meios

existentes: arquitectura (CPU, Discos, Memória,

Streamers, Terminais, etc.), conectividade (LAN),

software (sistema operativo, utilitários, linguagens,

aplicações, etc), serviços suportados.

o Inventário actualizado de todas aplicações;

o Política referente a organização de equipamento e

utilização de disco duro de, assim como para a

nomenclatura dos ficheiros que contém, criação de

subdirectórios por utilizador, assim como criação de

subdirectórios públicos que conte todas aplicações em

uso para os distintos utilizadores;

o Implementar ferramentas de gestão da rede com o fim

de valorizar seu rendimento, planificação e controlo;

o Procedimento de controlo de transferência de

ficheiros e controlo de acesso para equipamentos com

possibilidade de comunicação. Políticas que obrigam

36


a desconexão dos equipamentos quando não se faz o

uso deles.

o Adoptar os procedimentos de controlo e gestão

adequados para integridade, privacidade,

confiabilidade e segurança de informação contida na

rede local.

o Quando existe conexão PC-HOST, verificar se opera

sub controle, para evitar a carga/extracção de dados de

forma não autorizadas;

Contratos de manutenção (tanto preventivo como correctivo ou

detenção)

Quando a acção de manutenção requer a acção de terceiros a

saída dos equipamentos dos limites da oficina deverá ser

mediante procedimentos para evitar a divulgação de

informação confidencial.

Manter um registo documental das acções de manutenção

realizadas, incluindo a descrição do problema e a solução do

mesmo.

Os computadores deverão estar conectados a equipamentos

estabilizadores (UPS-Uninterruptible Power Supply).

Protecção contra incêndios, inundações ou electricidade.

Controlo de acesso físico dos recursos de microinformática:

chaves de PC. Áreas restringidas, localização de impressoras

(locais e de rede). Prevenção de roubos de dispositivos.

Autorização para deslocamento de equipamentos. Acesso físico

fora do horário normal;

Controlo de acesso físico a dados e aplicações: armazenamento

de discos com cópias de backup de informação. Procedimentos

de destruição de dados e relatórios confidenciais, identificação

de discos, inventário completo de discos armazenados,

armazenamento de documentação;


37

Em computadores em que se processam aplicações de dados

sensíveis deve-se instalar protectores de oscilação de linha

eléctrica e sistemas de alimentação ininterrupta.

Implementar na rede local produtos de segurança assim como

ferramentas e utilitários de segurança.

Identificação adequada de utilizadores quanto a seguintes

operações: modificações, troca de password, exploração de logs

de sistema.

Controlar as conexões remotas (in/out): Modems e Gateways;

Procedimentos para a instalação ou modificação de software e

assegurar que a direcção esteja ciente do risco de vírus

informáticos e outros softwares maliciosos, assim como fraude

por modificações não autorizadas de software e danos;

Controlo para evitar a introdução de um sistema operativo

através de disquete que poderá levar vulnerabilidade do sistema

de segurança estabelecida.

6. Controlo de qualidade

Existência de um plano geral de qualidade baseado em plano de

entidade a longo prazo e o plano a longo prazo de tecnologia.

Este plano geral de qualidade deve promover a filosofia de

melhorar continuamente e deve dar respostas a perguntas

básicas como “o que”, “quem” e “como”;

Esquema de garantia de qualidade da direcção de Informática

deve estabelecer uma norma que estabeleça um esquema de

garantia de qualidade que se refira tanto as actividades de

desenvolvimento de projectos, como as demais actividades para

garantir qualidade (como revisões, auditorias, inspecções, etc.)

que deverá ser realizada para procedimentos habituais em

distintas funções de informática;

Metodologia de desenvolvimento de sistemas: a direcção de

informática da entidade deve definir e implementar normas

para o desenvolvimento de sistemas e adoptar uma metodologia

de desenvolvimento de sistemas para administrar e gerir esse

processo com base ao tipo de sistemas de cada entidade;

38


Actualização da metodologia de desenvolvimento de sistemas

respeitando a troca de tecnologia;

Coordenação e comunicação: a direcção de Informática deve

estabelecer um procedimento para assegurar esta coordenação e

comunicação com utilizadores da organização e informática.

Este processo deve fazer-se mediante métodos estruturados,

utilizando a metodologia de desenvolvimento de sistemas para

assegurar a obtenção de soluções de informática de qualidade

que cumprem as necessidades da organização;

Relações com provedores de desenvolvimento de sistemas:

existência de um processo que assegure boas relações laborais

com provedores que desenvolvem sistemas para entidade. Este

processo deve fazer com que o utilizador e o provedor do

sistema acordem critérios de aceitação e administração de

mudanças e problemas durante o desenvolvimento, funções de

utilizador, ferramentas, software, normas e procedimentos;

Normas de documentação de programas: existência de normas

de documentação de programas as quais devem ser

comunicadas e impostas ao pessoal pertinente. A metodologia

deve assegurar que a documentação criada durante o

desenvolvimento do sistema ou projecto respeite normas;

Normas de teste de programas: a metodologia de

desenvolvimento de sistemas da organização deve incorporar

normas que se referem aos requisitos de testes de programas,

documentação e retenção de material, para provar cada uma das

unidades de software a ser colocada em produção;

Normas respeitando o teste de sistema: a metodologia de

desenvolvimento de sistemas da entidade deve incorporar

normas que se referem aos requisitos de teste de sistemas,

documentação e retenção de material, para provar a maneira

global do funcionamento de cada sistema colocado na

produção;

Testes pilotos em paralelo: a metodologia de desenvolvimento

de sistemas da entidade deve definir as circunstâncias nas quais

se efectuarão testes pilotos ou em paralelo de programas de

sistema;

Documentação de teste de sistema: a metodologia de

desenvolvimento de sistemas da entidade deve estabelecer,


39

como parte de cada desenvolvimento, implementação ou

modificação, que se documentam os resultados de testes de

sistema;

Avaliação do cumprimento de garantia de qualidade das

normas de desenvolvimento.

EXERCÍCIOS

1. Quais são as categorias de controlo informático?

2. Quais são os componentes para a implementação de uma política de

segurança?

3. Liste os controlos internos importantes para os sistemas informáticos

4. Defina o entorno de rede

RESPOSTAS

1. Controlos de prevenção, controlos de correcção e controlos de detecção

2. Direcção de negócio ou direcção de sistemas de Informação, Direcção

de informação, Controlo interno informático e Auditor informático

interno/externo

3. Controlos gerais organizativos, Controlo de desenvolvimento, aquisição

e manutenção de sistemas de informação, Exploração de sistema de

informação, Controlo de aplicações, Controlo específico de certas

tecnologias e Controlo de qualidade

4. Esquema da rede, descrição da configuração de hardware de

comunicações, descrição de software que se utiliza como acesso das

telecomunicações, controlo de rede, situação geral dos computadores que

suportam aplicações críticas e considerações relativas da segurança de

rede;

40


CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS

TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:

No final deste capítulo o estudante será capaz de:

Compreender o processo de implementação de sistemas de gestão

de TICs (SGSI)

Compreender o processo de certificação de SGSI

O planeamento dos sistemas de gestão pretende concentrar-se em análise

dos mesmos, começando pela perspectiva de gestão de conhecimento.

O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento,

que tem por princípio tornar mais claros e ágeis os processos envolvidos

na execução da gestão, donde cabe distinguir os seguintes passos:

Plan (Planificação): planificação de objectivos e processos

necessários para alcançar os resultados de acordo com políticas da

empresa.

DO (Execução): implementação dos processos.

Check (Verificação): monitorar e avaliar periodicamente os

resultados, avaliar processos e resultados, confrontando-os com o

planeado, objectivos, especificações e estado desejado,

consolidando as informações, eventualmente confeccionando

relatórios.

Act (Acção): Agir de acordo com o avaliado e de acordo com os

relatórios, eventualmente determinar e confeccionar novos planos

de acção, de forma a melhorar a qualidade, eficiência e eficácia,

aprimorando a execução e corrigindo eventuais falhas.

O PDCA pode considerar-se como um autêntico motor e o conhecimento

das TICs : vai desde a segurança de sistemas de informação, passando pela

auditoria de software, para a qualidade dos serviços de TIC.


41

4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs

O processo de implementação do SGSI possui as fases de um PDCA, como

podemos observar figura 4.1, seguindo os pontos da norma ISO 27001:2007. É de

especial ênfase na análise e gestão de riscos e alocação de controlo que

minimizam riscos utilizando uma das metodologias de análise de risco que

existem no mercado, e aplicando os controlos que são adequados da ISO 27002.

Figura 4. Implementação de Sistema de Gestão de TICS (ISO 27001).

42


4.2 AUDITORIA INTERNA

Auditoria interna de SGSI se define como sendo uma revisão independente

de SGSI. Esta independência supõe obviamente a exigência de que a

pessoa que leva a cabo a auditoria interna não pode estar vinculada em

forma alguma na implementação de Gestão de SGSI.

4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO

DAS TICs

Se pode considerar o processo de certificação como sendo o

reconhecimento formal por parte de um órgão independente de um

determinado sistema de gestão, como podemos ver na Figura 5.

Na certificação de um sistema de gestão das TICs podemos notar que, as

empresas que adoptam a certificação, mantêm seus sistemas de gestão com

uma maior dedicação no ciclo de melhoria contínua e sua busca por

alcançar a excelência.

Figura 5. Modelo de certificação de SIGSI. Fonte: Troitino e Sanches (2008).

O resultado dessa auditoria será reflectido em um relatório de auditoria

inicial. Em caso de não existir conformidade de importância, a certificação

poderia ser suspensa ou pendente para rectificação.

Em caso de se detectar inconformidades menores, se emitirá uma

certificação com reservas, com as rectificações pendentes, cujas

rectificações deverão ser constatadas pelo auditor no seguimento da

auditoria. Uma vez feita a certificação, o organismo certificador levará a


43

cabo anualmente auditorias de seguimento para determinar se o seu

sistema de gestão das TICs segue as normas.

EXERCÍCIOS

1. Explique o conceito de Deming, e descreva as suas fases.

2. O que entendes por processo de certificação e como é que as empresas que

possuem certificação devem se comportar?

RESPOSTAS

1. O ciclo de Deming (PDCA) é um ciclo de melhoramento, que tem por

princípio tornar mais claros e ágeis os processos envolvidos na execução

da gestão, donde cabe distinguir os seguintes passos:

Plan (Planificação): planificação de objectivos e processos

necessários para alcançar os resultados de acordo com políticas da

empresa.


Check (Verificação): monitorar e avaliar periodicamente os

resultados, avaliar processos e resultados, confrontando-os com o

planeado, objectivos, especificações e estado desejado,

consolidando as informações, eventualmente confeccionando

relatórios.

Act (Acção): Agir de acordo com o avaliado e de acordo com os

relatórios, eventualmente determinar e confeccionar novos planos

de acção, de forma a melhorar a qualidade, eficiência e eficácia,

aprimorando a execução e corrigindo eventuais falhas.

2. É o reconhecimento formal por parte de um órgão independente de um

determinado sistema de gestão. Na certificação de um sistema de gestão

das TICs, as empresas mantêm seus sistemas de gestão com uma maior

dedicação no ciclo de melhoria contínua e sua busca por alcançar a

excelência

44


QUADRO SINÓPTICO

Auditoria

O acto de examinar as operações, processos, sistemas e

responsabilidades de gestão de uma organização com o

intuito de verificar o cumprimento das normas, objectivos

e metas prefixadas pela mesma

Auditoria

informática

É uma área da auditoria que visa examinar o andamento

das actividades ligadas com tecnologias de informação e

comunicação envolvidas na organização. Torna-se

necessário valorizar a auditoria de informática, uma vez

que muitas organizações investem valores avultados em

tecnologias de informação e comunicação

Objectivos

da auditoria

informática

4. O controlo da função informática;

5. A análise da eficiência dos sistemas informáticos;

6. A revisão da gestão eficaz dos recursos

informáticos;

7. A verificação do cumprimento dos padrões e normas

Tipos de

auditoria

Financeira.

Operacional.

Sistemas.

Fiscal

Administrativa.

Qualidade.

Social.

Tipos de

auditoria

informática

Auditoria de gestão;

Auditoria dos dados;

Auditoria de segurança física;

Auditoria de segurança lógica;

Auditoria das comunicações;

Auditoria de segurança na produção.

Perfil e

qualificações

do auditor

Objectividade, imparcialidade, confidencialidade

raciocínio logico bem como o sentimento de

independência

Controlo

interno de

informática

É uma parte da informática que responde as necessidades

de cumprimento dos requisitos exigidos sobre o

funcionamento das tecnologias envolvidas na organização

COBIT

É um modelo/conjunto estruturado de boas práticas e

metodologias para sua aplicação, cujo objectivo é facilitar

a Governança de Tecnologias de Informação (TI). É um

modelo de controlo, que visa atender as necessidades de


45

TI, e garantir a integridade de informação e sistemas de

informação, ajudando a diminuir os riscos do negócio

Controlo

interno

Qualquer actividade realizada manualmente ou

automaticamente para prevenir, corrigir erros irregulares

que podem afectar o funcionamento de um sistema para

atingir seus objectivos.

Ciclo de

Deming

É um ciclo de melhoramento, que tem por princípio tornar

mais claros e ágeis os processos envolvidos na execução

da gestão, donde cabe distinguir os seguintes passos:

Plan (Planificação): planificação de objectivos e

processos necessários para alcançar os resultados

de acordo com políticas da empresa.


Check (Verificação): monitorar e avaliar

periodicamente os resultados, avaliar processos e

resultados, confrontando-os com o planeado,

objectivos, especificações e estado desejado,

consolidando as informações, eventualmente

confeccionando relatórios.

Act (Acção): Agir de acordo com o avaliado e de

acordo com os relatórios, eventualmente

determinar e confeccionar novos planos de acção,

de forma a melhorar a qualidade, eficiência e

eficácia, aprimorando a execução e corrigindo

eventuais falhas.

46


BIBLIOGRAFIA Anaguano (s.d.) Auditoria Informática.

Cannon, D. L. (2008) CISA – Certified Information Systems

Auditor Study Guide, 2nd

edition. Wiley Publishing, Inc.

FFIEC (2004). Information Security.

Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade

Tiradentes.

Piattini, M. G, e Peso, E. (2001) Auditoria Informática Un enfoque

Prático. Madrid: Alfaomega.

Troitiño, M. T., Sánchez C. M. F. (2008) “Auditoría de SI vs.

Normas de buenas prácticas” in Velthuis, M. P., Navaro, E.P.,

Peso, M (coord.) Auditoría de Tecnologías y Sistemas de

Información. México: Alfaomega Grupo Editor.

Valriberas, G. S. (2008) “Control Interno y Auditoría de Sistemas

de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)

Auditoría de Tecnologías y Sistemas de Información. México:

Alfaomega Grupo Editor.

Velthuis, M. P., Navaro, E.P., Peso, M (2008) Auditoria de

Tecnologias y Sistemas de Informacion. México: Alfaomega

Grupo Editor.

Referências on-line:

Crepaldi, S. A. (2006) “Contabilidade - Auditoria: Origem,

evolução e desenvolvimento da auditoria” in Revista Contábil e

Contabilidade, disponível em

http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDesta

ques.jsp&cod=8157, acedido a 20.10.2011.

Fagundes, E. M. (2011) COBIT (Control Objectives for

Information and related Technology), disponível em

http://www.efagundes.com/artigos/cobit.htm, acedido a

14.10.2011.

Fantinatti, J. M. (1988) Auditoria em Informática – Metodologia

e Prática, disponível em

http://joaomarcosfantinatti.wordpress.com/category/auditoria-

em-informatica, acedido a 12.10.2011.

Outros sítios na Internet:

http://www.filecrop.com

http://www.dbebooks.com

http://www.4shared.com

http://books.google.com

http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDestaques.jsp&cod=8157

http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDestaques.jsp&cod=8157

http://www.efagundes.com/artigos/cobit.htm

http://joaomarcosfantinatti.wordpress.com/category/auditoria-em-informatica

http://joaomarcosfantinatti.wordpress.com/category/auditoria-em-informatica

http://www.filecrop.com/

http://www.dbebooks.com/

http://www.4shared.com/

http://books.google.com/


47

AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA

INFORMÁTICA

Avaliação

ATENÇÃO – TESTE DE AVALIAÇÃO

Teste da 1ª Unidade – Duração 2 horas

Leia atentamente as questões apresentadas neste teste. Resolva-o na

folha de teste em anexo e envie ao ISM para correcção. A cotação

para cada questão está entre parênteses.

1. Quais são os tipos de auditoria que conheces? (1.5v)

2. Quais são os objectivos da auditoria externa? E da auditoria interna?

(1.5v)

3. Como é que podemos medir o funcionamento de informática numa

organização? (3.0v)

4. Quais são os objectivos do controlo interno? (2.0v)

5. Diferencie os conceitos Auditoria e Auditoria Informática? (2.0v)

6. Fale da importância de COBIT na auditoria Informática. (2.0v)

7. Explique em que medida pode se tornar mais claros e ágeis os

processos envolvidos na execução da gestão de sistemas de

informação. (4.0v)

8. Descreva em suas palavras a convergência entre Cobit e auditoria

informática. (2.0v)

9. Como é que classificam os objectivos de controlo informático. (2.0v)

Bom Trabalho!

NOME: __________________________________________________________

Nº DE MATRÍCULA ________________ NOTA _________________

N.B: Envie-nos este teste já resolvido, para correcção.

48


ANEXO I - QUESTIONÁRIO DE AVALIAÇÃO DA

SATISFAÇÃO DO ESTUDANTES

youblisher.com-269725-auditoria e seguran a inform tica unidade i

Documents

introduo auditoria informtica

auditoria informtica

origem da auditoria

auditoria na era

tipos de auditoria

segurana informtica

objectivos especficos

estrutura da unidade