Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao

Centro de Computao
&
Segurana de Informao

Grupo C
GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao

Autores
Grupo C Componentes
Aline Rodrigues de Souza
Carlos Eduardo Guimares de Salles
Carlos Eduardo Martins de Oliveira (CaEd)
Cristiane Barbosa da Cruz
Fabio dos Santos Moreira
Jos Osvaldo Amaral Tepedino
Maurcio Domingues da Silva
Nvea Gonalves da Silva
Paula Tabajaras
Rodrigo Otvio Guimares Haydt
Simone de Miranda Milani
Sylvia Maria da Silva Seito

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao
Introduo
O crescente uso dos computadores nas empresas bem como a sua importncia
estratgica, vem fazendo com que as empresas se preocupem em aumentar o controle sobre
os departamentos de processamento de dados, j que estes controlam informaes vitais
empresa.
Este controle feito atravs de um processo de Auditoria, que visa descobrir as
irregularidades em tais departamentos (caso seja feito em microcomputadores) ou nos
centros de processamento da empresa. A Auditoria tambm identifica os pontos que iro
desagradar a alta administrao para que estes possam ser corrigidos.
Como no passado, a base da investigao era restrita ao setor da finanas, as
empresas no viam o porqu de manter um departamento somente de auditores, preferindo
contratar empresas prestadoras deste servio. Atualmente com a proliferao do comutador,
j necessrio manter um departamento de auditoria interna.
A prtica deste tipo de auditoria iniciou-se nos Estados Unidos e na Europa na
dcada de 80. Como as tcnicas de processamentos e as maneiras de burlar os controles
vem evoluindo de maneira rpida, os auditores devem estar sempre atentos a tais
mudanas.
A Auditoria de processamento de dados deve abranger todas as reas de um
departamento de processamento de dados:

Coordenao de Problemas;
Coordenao de Mudanas;
Sistemas em Processamento Batch (em srie);
Recuperao de desastre;
Capacidade dos Sistemas;
Desempenho dos Sistemas;
Desenvolvimento de Sistemas;
Sistemas em Processamento On-Line (linha por linha);
Sistemas Financeiros
Rede de Telecomunicaes
Segurana de informao
Centro de computao
Microcomputador
Distribuio dos Custos.

Perfil do Profissional Auditor em Informtica

O auditor aquela pessoa, ou departamento, que foi designado pela alta
administrao da empresa para avaliar, examinar e descobrir os pontos falhos e a devida
eficcia dos departamentos por ela vistoriados. Logicamente auditado aquela pessoas ou
setor que sofre a investigao da auditoria.

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao
O auditor deve ser um profissional de grande conhecimento da rea de
processamento de dados e todas as suas fases. Deve ter objetividade, discrio, raciocnio
lgico e principalmente um sentimento real de independncia, ou seja, em seus relatrios
sejam eles intermedirios ou finais, devem possuir personalidade e at mesmo os fatos
incorretos na administrao do auditado.

Posicionamento da Auditoria dentro da organizao

Este setor deve ser totalmente independente dos outros setores a fim de que no
tenha influncias no seu desempenho. Deve estar ligado diretamente alta administrao da
empresa.
Outro ponto importante a existncia de um planejamento prvio, a nvel de datas,
de quando e como iro ocorrer as auditorias. O sigilo deste planejamento importante para
que no hajam acertos de ltima hora que iro resultar em relatrios no condizentes com a
realidade, prejudicando o desempenho da organizao.

Importncia da Auditoria e suas fases

Como j foi dito a auditoria dentro de um departamento, principalmente na rea de
processamento de dados, de vital importncia para empresa, j que atravs desta a alta
administrao dever ditar os rumos da empresa, alm de evitar fraudes e garantir o bom
desempenho dos setores aditados.
Este processo composto de: Pr-Auditoria, Auditoria e Ps-Auditoria.
Pr-Auditoria:
Nesta fase enviado ao departamento a ser auditado um anncio, atravs de um
notificao formal do setor de auditoria ou pelo setor de Controle Interno da empresa. Este
anncio deve ser feito com at duas semanas de antecedncia e dever especificar quais
sero as reas a ser auditadas, com seus respectivos planos de trabalho.
Ainda destro desta fase, sero feitas as primeiras reunies da alta administrao com
os auditores visando esclarecer os pontos e planos de trabalho.
Nesta fase o grupo Auditor deve preparar as atividades administrativas necessrias
para a realizao da auditoria, definir as reas a auditar, orientar o grupo de auditores
quanto a estratgia a ser adotada, preparar o documento de anncio e anunciar o setor da
Auditoria.
O setor a ser auditado deve preparar as atividades administrativas de apoio ao Grupo
Auditor, educar o pessoal do setor quanto ao processo que ser utilizado, deliberar (resolver
aps a exanimao) quais informaes so necessrias ao processo e fazer uma reviso
final no setor.

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao
Auditoria:
Terminadas as reunies iniciais e aps definir as aes que sero tomadas, inicia-se
a auditoria. O Auditor-chefe far as solicitaes por escrito e com data de retorno do
representante do setor auditado.
De acordo com as datas preestabelecidas (na pr-auditoria) sero feitas reunies
onde os fatos identificados sero expostos e entregue um relatrio destes fatos ao
representante do setor auditado para que este emita, por meio de outro relatrio as razes de
estar em desacordo.
Se tais razes no forem aceitas pelo grupo Auditor, elas faro parte do relatrio
denominado Sumrio Executivo, que apresentado alta diretoria da empresa. Dentro
deste mesmo relatrio constar uma Avaliao Global da situao da rea de informtica
que est sendo auditada.
Geralmente a auditoria dura cerca de seis semanas.
Nesta fase, o Grupo Auditor deve avaliar os Controles(ou seja, como a rea auditada
funciona); documentar os desvios encontrados (falhas); validar as solues, preparar o
relatrio final e apresent-lo para a Presidncia.
O Setor Auditado deve prover as informaes necessrias ao trabalho da auditoria,
analisar a exposio dos desvios encontrados, entender os desvios encontrados, desenvolver
planos de ao que solucionaro os desvios encontrados, corrigir as exposies e revisar o
Sumrio Executivo.
Ps-Auditoria:
Terminada a auditoria, o grupo auditor emite um relatrio final detalhando as suas
atividades. Este relatrio conter o objetivo da Auditoria, as reas cobertas por ela, os fatos
identificados, as aes corretivas recomendadas e a avaliao global do ambiente auditado.
Este relatrio enviado a todas as linhas administrativas, comeando pela
presidncia e terminando no representante do setor auditado.
Nesta fase, o Setor Auditado deve solucionar os desvios encontrados pela auditoria,
preparar resposta ao Relatrio Final e apresentar para a Presidncia, administrar concluso
dos desvios e manter o controle para que os erros no se repitam e a eficcia seja mantida.
O Grupo Auditor deve distribuir o Relatrio Final, revisar resposta
recebida(solues e justificativas apresentadas), assegurar o cumprimento do
compromissado e analisar a tendncia de correo.

Inter-Relao entre auditoria e segurana em informtica

Resumindo, podemos dizer que a segurana e a auditoria so interdependentes, ou
seja, uma depende da outra para produzirem os efeitos desejveis alta administrao.
Enquanto a segurana tem a funo de garantir a integridade dos dados, a auditoria
vem garantir que estes dados estejam realmente ntegros propiciando um perfeito
processamento, obtendo os resultados esperados.

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao
Com isso, conclumos que para que uma empresa continue competitiva no mercado,
ela deve manter um controle efetivo sobre as suas reas e isso feito atravs do processo de
auditoria

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao

Introduo
Segurana da informao o processo responsvel pela proteo dos bens da
informao (dados, imagem, texto e voz no computador), e contra uso indevidos e perdas
de bens de informao.
Hoje em dia, a segurana de informao o tpico mais importante em uma
empresa, pois d garantia ao que chamamos de proteo das informaes da empresa em
todos os aspectos.
Para se ter um timo controle de acesso as informaes em uma grande empresa
indispensvel o uso de um software especfico para manter esse controle, devido ao grande
nmero de dados manipulados. O RACF20 um exemplo deste tipo de software, que um
produto da IBM Corporation.

A atividade de auditoria em segurana de informao

A auditoria tem como verificar se os requisitos para segurana da informao esto
implementados satisfatoriamente, mantendo a segurana nos dados da empresa e
verificando se os seus bens esto sendo protegidos adequadamente.
Inicialmente o auditor deve revisar o plano aprovado, ou seja, verificar se o mtodo
utilizado para proteo de informaes o melhor ou se precisa sofrer alguma atualizao,
sempre relacionado com o esquema de trabalho a seguir dentro da rea que est sendo
auditada.
Depois de terminado o estudo do plano, o auditor solicita os procedimentos
necessrios para descrever as diversas atividades que exige uma Segurana em Informtica.
Esses procedimentos sero confrontados com a realidade do dia-a-dia dentro do
departamento, ou seja, verificando se todos os procedimentos necessrios Segurana em
Informtica so corretamente utilizados no departamento que est sendo auditado.
Na investigao o Auditor dever revisar os seguintes itens, verificando se:

O proprietrio (aquele que tem permisso para acessar um certo conjunto de

informaes), periodicamente faz uma reviso em todos os dados que ele possui acesso
para verificar se houver perdas, alteraes, ou outras problemas de qualquer natureza. O
Centro de Computao deve ser avisado sobre os resultados obtidos atravs da reviso
tanto quando eles forem favorveis (os dados esto corretos) ou quando for encontrado
alguma irregularidade.

Todos os proprietrios esto identificados, ou seja, os que possuem acesso a um

conjunto de informaes especficas;

GEEK BRASIL - http:/www.geekbrasil.com.br

Escola Tcnica Pandi Calgeras

Centro de Computao & Segurana de Informao
Os inventrios so realizados conforme requerido, padronizados e periodicamente;
Os dados possuem a proteo necessria para garantir sua integridade, protegendo-os
contra acessos e alteraes indevidas;
As documentaes necessrias devem ser avaliadas pelas reas competentes, garantindo
que estas demonstrem o que realmente ocorre dentro da rea a que se est referindo as
documentaes;
Quando ocorrem desastres desde um erro de digitao at a perda total dos dados de um
banco de dados, existe um plano de recuperao em caso de desastre que so testados
conforme requerido. Por exemplo, existem os sistemas de backup e recovery, isto , os
dados mais importantes devem possuir cpias evitando transtorno em caso de
acontecimentos inesperados, verificando sempre se essas cpias esto seguras evitando
problemas;
Os programas crticos, ou seja, os programas de sobrevivncia da empresa mais
importantes, so seguros o suficiente que qualquer tentativa de fraude no consiga
alterar o sistema;
Um terminal tem acesso somente as informaes inerente queles que iro manipul-lo,
ou seja, um terminal no setor de Finanas s prover informaes ligadas a este setor e
seus processos, no ter acesso s informaes relacionadas ao setor de Recurso
Humanos. Por sua vez, estes terminais podem possuir senhas prprias, podendo ser
acessado somente pelos envolvidos a este setor que estejam autorizados a possurem tais
informaes, estando protegido assim, contra acessos no autorizados, ou utilizado
outros mtodos, pois depende de que rea encara como segurana da informao;
As senhas devem possuir suas trocas automticas garantidas, pois muito arriscado para
uma empresa, principalmente empresas de grande porte, manter uma mesma senha por
um grande perodo;
O processo de auto-avaliao desta rea foi feito e concludo com sucesso;
Todos os usurios esto autorizados para o uso do computador, isto , qualquer pessoa
no autorizada a manipular dados dentro do sistema possa obter informaes sem
influenciar o sistema. Ex.: alteraes.

GEEK BRASIL - http:/www.geekbrasil.com.br