ATIVIDADE SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

MINISTÉRIO DA EDUCAÇÃO 
UNIVERSIDADE FEDERAL DO PIAUÍ 
CENTRO DE EDUCAÇÃO ABERTA E A DISTÂNCIA 
CURSO DE SISTEMAS DE INFORMAÇÃO 
AUDITORIA E SEGURANÇA DE SISTEMAS (RECUPERAÇÃO) 
NOME: DOUGLAS TORRES DE SOUSA 
MATRICULA: 2014969116 POLO: OEIRAS PIAUÍ 
LISTA DE EXERCÍCIO 
 
 
1. Segundo Imoniana existem três abordagens de auditoria de sistemas mais comuns, Cite-as 
e Conceitue cada uma delas? 
 
Dependendo da sofisticação do sistema computadorizado, em que se supõe que o auditor seja 
operativo, e considerando as características do auditor de tecnologia de informações, este pode 
usar qualquer das três abordagens nomeadas a seguir: (1) a abordagem ao redor do 
computador; (2) a abordagem através do computador; e (3) a abordagem com o computador. 
ABORDAGEM AO REDOR DO COMPUTADOR: auditoria ao redor do computador no passado era 
uma abordagem muito solicitada pelos auditores, devido ao não envolvimento de muito 
tecnologia de informação. A abordagem requer que o auditor exame os níveis de anuência 
associados à aplicação dos controles organizacionais, no que concerne à tecnologia de 
informação. 
ABORDAGEM ATRAVÉS DO COMPUTADOR: o uso desta abordagem envolve mais do que mera 
confrontação de documentos-fonte com os resultados esperados, uma vez que os sistemas têm 
evoluído muito. No entanto, este método alerta quanto ao manuseio de dados, aprovação e 
registro de transações comerciais, sem deixar evidências documentais razoáveis através dos 
controles de programas construídos junto aos sistemas. Por esta razão, o auditor precisa 
acompanhar o processamento através e dentro do computador. 
ABORDAGEM COM O COMPUTADOR: a primeira opção – abordagem ao redor do computador – 
não é eficiente devido ao fato de que negligencia algumas das qualidades dos controles internos 
dos sistemas e propicia falta de disponibilidade de testes substantivos convincentes que visam 
ajudar na conclusão sobre os sistemas. A segunda opção – a abordagem através do computador 
-, preferida como superior a primeira, pode também produzir registros incompletos. Ao invés de 
efetuar uma verificação de equilíbrio com as ferramentas, ela tende a negligenciar os 
procedimentos manuais, deixando incompleta a maioria das tarefas normalmente efetuadas 
manualmente. 
 
2. Em relação ao planejamento de auditoria, marque V para verdadeiro e F para falso para as 
seguintes afirmações e justifique quando falsas: 
(V) As fases a serem realizadas no planejamento da auditoria são as de definir recursos, 
pessoas bem como o cronograma de execução. 
(V) Através do ponto de controle é possível criar indicadores que vão auxiliar as possíveis 
mudanças ou melhorias na organização 
(F) O planejamento é uma subcategoria dos sistemas de informação para que seja abordada 
de maneira adequada será necessário checar a confiabilidade do plano de política de 
segurança da gestão da tecnologia da informação. 
(V) O controle detectivo é utilizado na tentativa de eliminar erros, omissões ou fraudes antes 
da incidência. 
 
 
3. Explique resumidamente o papel da auditoria de hardware e software, bem como seus 
benefícios e de que forma estas auditorias podem ser realizadas. 
 
A auditoria de hardware é realizada com o objetivo de assegurar a segurança e funcionamento 
dos equipamentos distribuídos na organização. Também auxiliará o monitoramento para o uso 
adequado por parte dos usuários, através do uso correto dos procedimentos. Esse 
procedimento pode ser físico ou automatizado. Para os auditores, o controle do hardware, é a 
certificação do correto manuseio dos equipamentos. Caso não haja procedimentos adequados 
para uso, o trabalho da auditoria fica prejudicado, consequentemente acarretará uma não 
conformidade. 
O objetivo da auditoria de software é auxiliar na elaboração de procedimentos para utilização 
correta dos aplicativos e serviços lógicos disponíveis nos equipamentos da empresa. 
Normalmente as empresas possuem um serviço de monitoramento que são acionados 
juntamente ao ativar o sistema operacional do equipamento. É garantir que os processos 
operacionais da gestão de TI sejam executados sobre as normas e padrões estabelecidos para o 
correto processamento das tarefas, como também objetiva, avaliar a confidencialidade, 
privacidade, acuidade, disponibilidade e manutenção dos sistemas. 
 
 
 
 
4. Quais são os processos passíveis de auditoria? 
 
A Gestão dos Processos e a Gestão por Processos surgem na forma de metodologias, que 
apoiadas nas normas ISO 9000 e suas ramificações, se mostram capazes de possibilitar ganhos 
significativos às organizações. A primeira buscando institucionalizar a dinâmica de melhoria 
contínua como forma de atingir a excelência operacional. A segunda buscando promover a 
gestão dos processos de negócio alinhados com a estratégia da organização de forma a 
maximizar os resultados, otimizar recursos e reduzir custos. Em ambas as visões, no entanto, é 
de vital importância o monitoramento, em suas inúmeras formas de realização, sobre os 
processos que são passíveis de controle. 
 
5. Qual o objetivo principal do ponto de controle? 
 
Objetivo principal é assegurar que pessoas não autorizadas não tenham acesso aos meios físicos 
e principalmente às informações contidas nesses meios e garantir que os processos operacionais 
da gestão de TI sejam executados sobre as normas e padrões estabelecidos para o correto 
processamento das tarefas, como também objetiva, avaliar a confidencialidade, privacidade, 
acuidade, disponibilidade e manutenção dos sistemas. Para isso, serão definidos controles das 
operações que devem ser executadas pelos softwares, principalmente quando envolver 
processamento de transações econômicas ou financeiras. 
 
 
 
6. Qual o papel do supervisor de gestão da tecnologia da informação dentro do contexto do 
controle interno? 
 
O papel do supervisor de gestão do ponto de controle interno está relacionada ao cumprimento 
dos objetivos da entidade. Portanto, a existência de objetivos e metas é condição “sine qua non” 
para a existência dos controles internos. Se a entidade não tem objetivos e metas claros, não há 
necessidade de controles internos. 
Uma vez estabelecidos e clarificados os objetivos, deve-se: 
. identificar os riscos que ameacem o seu cumprimento; e 
. tomar as ações necessárias para o gerenciamento dos riscos identificados. 
Avaliação de riscos é a identificação e análise dos riscos associados ao não cumprimento das 
metas e objetivos operacionais, de informação e de conformidade. Este conjunto forma a base 
para definir como estes riscos serão gerenciados. 
 
7. Quais são diferenças destacadas entre o software generalista e especialista? 
 
O ERP Generalista é capaz de sustentar todos os dados de informações da empresa de uma 
forma mais abrangente, permitindo uma visão mais clara e objetiva dos números. Isso acontece 
porque suas plataformas são produzidas de modo que possam atender a todos os tipos de 
negócios. 
O software está programado para desenvolver atividades operacionais, como por exemplo, 
realizar processos de diversos segmentos. Dessa forma o ERP reúne em um único local as 
informações de diferentes setores, permitindo aos gestores um controle maior das atividades 
cotidiana de seu negócio. 
O ERP Especialista foi desenvolvido para operar com mais profundidade diretamente nas 
operações que envolvem todo o processo operacional de uma corporação, permitindo um 
estudo mais amplo da empresa. Com o ERP Especialista não há necessidade de customização. 
Portanto, cabe a cada gestor a escolha do ERP que atenda às necessidades de sua organização. 
É muito importante saber qual o sistema integrado de gestão empresarialimplantar para que 
não haja investimentos extras de última hora. 
 
8. Pesquise dois exemplos de softwares utilitários que podem ser utilizados pelo auditor? 
 
Instrumentos informatizados utilizados para realizar uma atividade de auditoria. 
. Auxiliam na extração, sorteio, seleção de dados e transações, atentando para discrepâncias e 
desvios 
. Auxiliam nas atividades de planejamento, documentação e geração de relatórios da auditoria. 
Tipos de ferramentas de auditoria 
. Software generalista de auditoria de tecnologia da informação. 
. Softwares especialistas de auditoria. 
. Programas utilitários. 
Software generalista envolve o uso de software aplicativo em ambiente batch, que pode 
processar, além de simulação paralela, uma variedade de funções de auditoria de forma 
automatizada e nos formatos que o auditor desejar. 
Exemplos de software: 
Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, 
documentação e emissão de relatórios para auditoria interna; 
Pentana: software de planejamento estratégico da auditoria, sistema de planejamento e 
monitoramento de recursos, controle de horas, registro de checkilists e programas de auditoria, 
inclusive de desenho e gerenciamento de plano de ação. 
 
9. Conceitue cada um dos elementos abaixo: 
 
a) Alvo: Ativo de informação que pode ser objeto de um ataque/ incidente. 
Exemplo: base de dados, hardware, sistema de informação, etc. Definições segundo a ISO guide 
73. 
 
b) Agente: Fonte produtora de um evento que pode ser efeitos adversos sobre ativo da 
informação. 
Exemplo: funcionários, meio ambiente, hackers, etc. 
 
 
c) Ameaças: expectativa de acontecimentos acidental ou proposital, causado por um agente, 
que pode afetar o ambiente, sistema ou ativo da informação. 
 
d) Vulnerabilidades: Fragilidade que poderia ser explorada por uma ameaça para concretizar 
um ataque. 
 
 
10. Quais são os mecanismos aplicados para garantir a segurança dos meios físicos e lógicos? 
 
A segurança física é feita nas imediações da empresa e leva em consideração a prevenção de 
danos causados por desastres locais ou ambientais, como terremotos, inundações e incêndios. 
Por isso, investigar a ocorrência de eventos climáticos passados é importante ao se planejar os 
métodos de segurança física para proteção de funcionários, equipamentos, dados e do local. 
Para ter uma boa segurança física é importante controlar a entrada e saída de equipamentos, 
materiais e pessoas da empresa por meio de registros de data, horário e responsável. Quando 
há a entrada de visitantes na empresa, eles não devem andar sozinhos, o ideal é que sejam 
acompanhados por algum funcionário até o local de destino e registrados no sistema. Outro tipo 
de reforço para a segurança local é usar mecanismos, como fechaduras eletrônicas, câmeras e 
alarmes, para controlarem o acesso aos ambientes que guardam backups e computadores com 
dados confidenciais. 
 
Segurança lógica esse tipo de proteção controla o acesso a aplicativos, dados, sistemas 
operacionais, senhas e arquivos de log por meio de firewalls de hardwares e softwares, 
criptografia, antivírus e outras aplicações contra hackers e possíveis invasões às fontes internas 
da empresa. 
A segurança lógica permite que o acesso seja baseado nas necessidades específicas de cada 
usuário para realizar suas tarefas, fazendo a identificação por meio de senha e login. Assim, 
nenhum funcionário poderá executar funções que não sejam de seu cargo. Para aprimorar esses 
mecanismos, é importante sempre manter sistemas e protocolos operacionais atualizados. A 
proteção da informação vem sendo um grande desafio para as empresas, devido às diversas 
ameaças existentes que podem trazer grandes prejuízos. Por isso, para se ter uma proteção 
eficaz dos dados, é importante ter uma equipe de TI bem treinada e atualizada com as novas 
tecnologias de segurança da informação que surgem a cada dia e encontram novas soluções de 
segurança.