Auditoria e Segurança em S.I.

Transcrição

1 Auditoria e Segurança em S.I. Critérios de auditoria O Boa parte da estabilidade e dos resultados obtidos pela atividade de auditoria depende da competência do grupo de auditores. O O auditor precisa ter competência em auditoria e competência específica para o tipo de auditoria que pretende conduzir. O Pessoais: O O auditor precisa ser: O Ético; O Ter a mente aberta; O Observador; O Persistente; O Racional e O Autoconfiante. 1

2 O Conhecimentos : O O auditor precisa: O Conhecer técnicas de auditoria; O Conhecimento de negócio da organização; O Conhecer as leis e regulamentos... O Habilidades: O O auditor precisa possuir: O Habilidades de gestão de equipes e de projetos; O Conhecer profundamente o critério a ser utilizado. O Educação e experiência profissional : O Exemplo: O O auditor precisa ter treinamento em auditoria e conhecer bem o critério desta. Já o auditor líder precisa ter uma competência superior a dos demais auditores, em conhecimento e em experiência. O Deve ser flexível, aderente as diversas modalidades da auditoria em e alinhada as boas práticas de auditoria do mercado. Recomenda-se as seguintes fases: 2

3 O Planejamento e controle do projeto de auditoria de : O A partir das diretrizes da Alta Direção, estabelecer ações, recursos necessários; O Dois Grupos: O 1º grupo com o corpo gerencial, definirá procedimentos e acompanhará; O 2º grupo formado por auditores e técnicos de Informática que executam a auditoria efetivamente; O Recomenda-se utilizar padrões de mercado como o PMBOK O Levantamento do sistema de informação a ser auditado: O Definido o escopo do trabalho, levanta-se as informações necessárias sobre o sistema a ser auditado; O Levantamento macro através de entrevistas e análise da documentação ; O Ferramentas uteis podem ser DFD, MER, Dicionário de dados, use cases, diagramas de classe e sequência, diagramas de integração de sistemas (explicam o seu funcionamento) O Identificação e Inventário dos Pontos de Controle: O Podem ser identificados em documentos de entrada, relatórios de saídas, telas, arquivos, BD s, integrações, etc. O Devem ser relacionados e descritos quanto ao controle interno e funções que exercem no sistema ; O Identificação e Inventário dos Pontos de Controle: O Identificar parâmetros, pontos fracos e técnicas de auditoria adequadas a sua validação; O Este trabalho deve ser validado pelo grupo de coordenação do Projeto de Auditoria. O Priorização e seleção dos pontos de controle do SI auditado: O Selecionar e priorizar pontos definidos na etapa anterior baseados em: O Grau de risco do ponto: Prejuízos que podem gerar no sistema a curto, médio e longo prazo; O Existência de ameaças: Priorizar os sob forte ameaça; 3

4 O Priorização e seleção dos pontos de controle do SI auditado: O Disponibilidade de recursos: Pontos que podem ser auditados com os recursos disponíveis; O Reavaliar a priorização ao longo do trabalho para confirmar a ordenação estabelecida; O Avaliação dos pontos de controle: O É a auditoria em si! O Nos testes devem ser aplicadas técnicas adequadas a cada ponto de controle que evidenciem falhas ou fraquezas. O Conclusão da Auditoria: O Elaborar relatório com os resultados, qualquer que seja, refletindo o diagnóstico dos pontos de controle; O As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas recomendações para sua solução ou mitigação; O Conclusão da Auditoria: O Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e usuários responsáveis. 4

5 O Acompanhamento da Auditoria: O O (follow-up) acompanhamento da auditoria deve ser realizado até que todas as recomendações tenham sido executas e as fraquezas eliminadas ou mitigadas em um nível aceitável pela organização. O Aliados para a extração, classificação e seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e desvios. O Estas ferramentas podem ser categorizadas em: O Aliados para a extração, classificação e seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e desvios. O Estas ferramentas podem ser categorizadas em: O Ferramentas Generalistas de auditoria de Tecnologia da Informação ; O Ferramentas Especializadas de auditoria; O Programas utilitários em geral; O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Softwares que podem processar, simular, analisar amostras, gerar estatísticas, sumarizar, apontar duplicidades e outras funções necessárias ao auditor: O ACL (Audit Comand Language) Software canadense para extração e analise de dados; 5

6 O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Pentana Software de planejamento estratégico de auditoria, com planejamento e monitoramento de recursos, controle de horas, check-lists, programas de auditoria como desenho e gerenciamento de plano de ação. O O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Vantagens em utiliza-las: O Processar vários arquivos simultaneamente; O Processar arquivos em formatos diferentes; O Integração sistêmica com vários tipo de software e hardware; O Reduz a dependência do auditor em relação ao pessoal de TI. O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Desvantagens em utiliza-las: O Em geral podem ser utilizadas no ambiente online; O Por ser generalistas, podem não atender em casos mais complexos, que exijam, por exemplo, cálculos complexos. O Ferramentas especializadas de auditoria: O Ferramentas especializadas de auditoria: O Desenvolvidos especificamente para executarem tarefas em circunstâncias definidas. Desenvolvidos pelo auditor, por especialista da empresa ou por terceiro contratado para isso. O Vantagem em seu uso é atender demandas especificas como Financeiro (crédito imobiliário, leasing, cartão de crédito, etc.) ou outras áreas de mercado que assim o exijam; O Feito sob medida! 6

7 O Ferramentas especializadas de auditoria: O Programas utilitários em geral: O Como desvantagens podemos apontar o seu custo de desenvolvimento e o processo de atualização da ferramenta ao longo do tempo. O Softwares utilitários de uso geral para classificar arquivos, concatenar textos, sumarizar, gerar relatórios. O Sendo de uso geral, não possuem recursos necessários a auditoria como p.e.: verificação de totais de controle ou gravação de trilhas de auditoria; O Programas utilitários em geral: O Vantagem: Esta em ser utilizado como uma solução alternativa na falta de um recurso mais especifico; O Desvantagem: Haverá a necessidade de apoio do usuário e de TI. O Programas utilitários em geral: O Programas utilitários em geral: O Vantagem: Esta em ser utilizado como uma solução alternativa na falta de um recurso mais especifico; O Desvantagem: Haverá a necessidade de apoio do usuário e de TI. A carreira do auditor de sistemas O Certificações: O ISACA: Certified Information System Auditor (CISA) O British Computer Society: Exame da Sociedade Britânica de Informática O Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional 42 7

8 Exercícios 1ª) Quais são os atributos das competências de um auditor? Discorra sobre cada uma delas. 2ª) Fale sobre o que ocorre em cada uma das fases propostas para se realizar uma auditoria. 3ª)Discorra sobre os três tipos de ferramentas que podem ser utilizadas em uma auditoria. Cite exemplos. 4ª) Você possui interesse em realizar uma certificação para auditor? Se sim, qual(is)? 8