AUDITORIA EM SISTEMAS DE INFORMAÇÃO

Slides:



Advertisements
Apresentações semelhantes
SISTEMAS DE SUPORTE À DECISÃO
Advertisements

Análise e Projeto de Sistemas I
Introdução aos Sistemas de Informação Gerencial
Introdução a Algoritmos
ENGENHARIA DE SOFTWARE Garantia de Qualidade de Software
Engenharia de Software Qualidade de Software Uma abordagem conceitual André Luis Zanon São Carlos SP – UFSCAR 2010 Engenharia de Software – UFSCAR.
Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
Tipos de sistemas de Lehman
Auditoria de Sistemas ● Introdução
Disciplina:Tópicos Avançados de Sistemas de Informação
SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS
O processo de coletar os requisitos (escopo do cliente)
Engenharia de Requisitos Requisito – sistema Caso de uso - usuário
TSDD Teste de segurança durante o desenvolvimento.
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Planejamento e Execução da Auditoria
Estratégia de Planejamento do Projeto
Fundamentos da Auditoria de Sistemas de Informação
Tecnologias de Linguagens para Banco de Dados
Prof.Alfredo Parteli Gomes
Auditoria da Qualidade
Projeto: Capacitação em GP
Gerenciamento do Escopo: principais conceitos
Análise e Projeto de Sistemas
Segurança e auditoria de sistemas
Segurança e auditoria de sistemas
Engenharia de Requisitos
Auditoria e Segurança da Informação
11 - Gerenciamento de Riscos
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Fase de Concepção (Início, Planejamento)
Introdução à Gestão da Qualidade (Aula 8 – ISO 9004 & Auditoria da Qualidade) Professor Gustavo F Ribeiro PEÃO São Roque junho.
O Processo de desenvolvimento de software
Analises de sistemas ESTRUTURADA Analise de sistema estruturada.
AUDITORIA, avaliação de Desempenho e Qualidade
Gerenciamento da Qualidade
O Processo Unificado (UP)
O que é? É o processo de investigação técnica com intuito de identificar a qualidade, a segurança e a exatidão do software desenvolvido. A validação do.
Gestão de defeitos.
Objetivos do Capítulo Explicar a importância da implementação de processos e tecnologias de gerenciamento de dados numa organização. Explicar as vantagens.
EPR16 – Planejamento e Gestão da Qualidade Professora Michelle Luz
GERENCIAMENTO DE PROJETOS DE T.I
METODOLOGIA, MÉTODOS E FERRAMENTAS
Modelagem de Processos de Negócio
Sistema de Gestão de Segurança da Informação
Instrutor: Objetivos do Workshop:.
Gerenciamento de Custos
Integração.
OSM Organização, Sistemas e Métodos
Sistemas de Informações Gerenciais - SIG
1.
ORGANIZAÇÃO, SISTEMAS E MÉTODOS
AUDITORIA DE SISTEMAS EM PRODUÇÃO.
CÓDIGO DE ÉTICA PARA O PROFISSIONAL DE INFORMÁTICA
Certificação e Auditoria
Gestão da Produção e Logística
Sistema Integrado de Gestão de Recursos Humanos
AUDITORIA Profa. Andréia Mota.
TÉCNICAS DE ESTIMATIVAS
Gerenciamento de Escopo
Gerenciamento da Qualidade
CENTRO UNVERSÁTARIO PADRE ANCHIETA AULA 6 CURSO ENGENHARIA DE PRODUÇÃO DISCIPLINA: SISTEMAS DE INFORMAÇÕES GERENCIAIS (SIG) PROF: CÉSAR ANTONIO SOLDERA.
CENTRO UNVERSÁTARIO PADRE ANCHIETA AULA 3 CURSO ENGENHARIA DE PRODUÇÃO DISCIPLINA: SISTEMAS DE INFORMAÇÕES GERENCIAIS (SIG) PROF: CÉSAR ANTONIO SOLDERA.
1 Estimativa, Teste e Inspeção de Software Gerência de Projetos: Estimativa de Software Marcos Camada
4.4 Implementação e Operação
Levantamento de Requisitos – Simulação do Supermercado
Sistemas de Informação Capítulo 6 O uso consciente da tecnologia para o gerenciamento.
Transcrição da apresentação:

AUDITORIA EM SISTEMAS DE INFORMAÇÃO Marco Curi Pedro Grandi Rodrigo Rabello

APRESENTAÇÃO Introdução Fundamentos. Metodologia. Ferramentas. Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores Práticas. Referências.

AUDITORIA - INTRODUÇÃO Avaliar, revisar processos realizados atualmente e comparar com o previamente estabelecido. Pode gerar recomendações. Objetivos da organização está sendo seguido? É a maneira mais eficaz, eficiente? Dois tipos de auditoria: Auditoria Interna: Realizada por uma área pertencente a própria organização. Auditoria Externa: Realizada por grupos devidamente certificados, que avalia se a organização está seguindo uma norma específica. Auditoria pode ser realizada em todas as camadas da organização Operacional. Tático Estratégico.

AUDITORIA EM SISTEMAS DE INFORMAÇÃO Segue a mesma linha dos outros tipos de auditoria – Avaliar e Revisar os Sistemas de Informação da organização. Avalia a adequação das tecnologias e sistemas de informação na organização. Pontos que podem ser avaliados: Segurança. Corretude na utilização dos recursos. Como as informações são inseridas no sistema. Devido ao alto custo para criar ou adquirir um SI, a extração ao máximo dos recursos é essencial.

AUDITORIA EM SI - FUNDAMENTOS A auditoria em Sistemas de Informação deve se basear nos seguintes tópicos: Integridade: Informações e transações confiáveis. Confidencialidade: Controle de acesso, restrições, permissões. Limitar quem pode ter acesso a quais informações. Acuidade: Transações precisam ser validadas, evitando que informações erradas sejam inseridas no sistema gerando dados inconsistentes. Disponibilidade: Sistema não pode ficar indisponível. Sistema indisponível, gera perda de receita. Necessidade de um SLA. Auditabilidade: Sistemas devem gerar logs de operação, indicando, por exemplo, usuário, data e hora da execução. Os logs permitem que sejam feitas trilhas de auditorias. Versatibilidade: Sistema deve se adaptar facilmente aos processos da empresa, permitindo de forma clara e simples a importação e exportação de dados. Manutenibilidade: Procedimentos operacionais devem ter controle de testes, implantação e documentação e novos sistemas ou modificações. Evitando que mudanças afetem o sistema em produção.

AUDITORIA EM SI - FUNDAMENTOS A auditoria pode ser realizada em diferentes momentos: Auditoria durante o desenvolvimento do sistema: Focado nos conceitos básicos da Engenharia de Software, desde a análise de requisitos até a metodologia de desenvolvimento (Método Ágil, Cascata, Processo Unificado). Auditoria de sistemas em produção: Contempla o momento em que o sistema foi colocado em produção, analisando sua segurança, tolerância à falhas. Auditoria no ambiente tecnológico: Analisa o sistema voltado a estrutura organizacional, levando em consideração custos, utilização dos equipamentos e contratos. Auditoria em eventos específicos: Faz uma revisão de pontos importantes de auditorias anteriores que tiveram algum problema ou que não foram analisados.

AUDITORIA EM SI - METODOLOGIA Para realizar uma auditoria, é seguido alguns passos: Planejamento e Controle do Projeto de Auditoria de Sistemas de Informação: Definir as ações a serem executadas e os recursos necessários. Seguindo as diretrizes da alta administração, formar dois grupos: Primeiro grupo: Formado pelo gerente da auditoria, gerente da área usuária responsável pelo sistema, pelo gerente do sistema e pelo gerente da área de informática. Cabe a este grupo as atividades gerenciais, como os procedimentos a serem utilizados e o acompanhamento e controle dos resultados obtidos. Segundo grupo: Realizará a auditoria propriamente dita, utilizando ferramentas e métodos. Composto por auditories e técnicos da área de informática e usuária.

AUDITORIA EM SI - METODOLOGIA Levantamento do Sistema de Informação a ser Auditado: Levantamento das informações relevantes sobre o sistema, para entender as macro características. Este levantamento é feito através de entrevistas, análise de documentos (DFD, MER), dicionários de dados, casos de uso, diagramas. Esta fase tem como principal objetivo descobrir o escopo do sistema, para facilitar a abrangência da auditoria, e diminuir a possibilidade de execução de trabalhos em áreas não pertencentes ao escopo.

AUDITORIA EM SI - METODOLOGIA Identificação e Inventário dos Pontos de Controle: Identificar os pontos de controle que devem ser validados no sistema. Estes pontos podem ser encontrados nos documentos de entrada, relatórios de saída, banco de dados, pontos de integração. Cada ponto de controle deverá ter seus objetivos e funções descritas e termos de controle interno. Em cada ponto de controle, também deve ser identificados seus parâmetros, pontos fracos. Ao fim desta fase, deve-se encaminhar os pontos de controle para o grupo de coordenação fazer a validação da pertinência e eventual triagem.

AUDITORIA EM SI - METODOLOGIA Priorização dos Pontos de Controle do Sistema Auditado: A seleção dos pontos de controle podem ser feita com base em: Grau de risco. Existência de ameaças. Disponibilidade de recursos. Esta seleção também precisa ser validada ao longo do trabalho junto com o grupo de coordenação.

AUDITORIA EM SI - METODOLOGIA Avaliação dos Pontos de Controle: Fase em que a auditoria é realmente realizada. Realização dos testes de validação dos pontos de controle, seguindo os parâmetros e especificações determinadas nas fases anteriores. Para cada objetivo e característica do ponto de controle, é utilizada uma técnica e ferramenta específica. Utilizar ferramentas e técnicas certas é essencial para o sucesso da auditoria.

AUDITORIA EM SI - METODOLOGIA Conclusão da Auditoria: Criação de um relatório contendo: Diagnóstico da situação atual dos pontos de controle. As fraquezas do controle interno. Quando um ponto de controle apresenta fraquezas, ele é transformado em um Ponto de Auditoria. Sobre este Ponto de Auditoria, são apontadas recomendações para solução ou é feita a mitigação deste ponto no relatório da auditoria. Cada Ponto de Auditoria tem um prazo para tomada de decisão, após este período, é feita uma revisão e avaliação pelos analistas e usuários.

AUDITORIA EM SI - METODOLOGIA Acompanhamento da Auditoria: Esta fase é efetuada enquanto: Todos os pontos de controle forem analisados. Todas as recomendações tenham sido executadas. Todas as fraquezas tenham sido eliminadas.

AUDITORIA EM SI - FERRAMENTAS As ferramentas de auditorias são muito importantes para: Extração de dados. Seleção de dados. Validar transações. Evidenciar discrepâncias e desvios. No mercado, estão disponíveis algumas dessas ferramentas: Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Ferramentas Especializadas em Auditorias. Programas Utilitários em Geral.

AUDITORIA EM SI - FERRAMENTAS Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Softwares de uso em ambiente batch, e desempenham funções necessárias para o auditor, como: Processamento, simulação, análise de amostras. Geram dados estatísticos, sumarizam dados. Apontam duplicidades. Vantagens: Processamento de vários arquivos ao mesmo tempo. Processamento de arquivos em diferentes formatos. Integração sistêmica com vários tipos de software e hardware. Reduz a dependência do auditor com o técnico em informática. Desvantagens: Impossibilidade de executar cálculos complexos. Não pode ser utilizado em ambiente online.

AUDITORIA EM SI - FERRAMENTAS Ferramentas Especializadas em Auditorias. Softwares desenvolvidos para executar tarefas espefícias. Vantagens: Atendem à demandas espefícicas como: Crédito imobiliários. Leasing. Cartão de crédito. Desvantagens: Custo elevado. Problemas para atualização do software.

AUDITORIA EM SI - FERRAMENTAS Programas Utilitários em Geral. Desempenham funções comuns, como: Ordenar arquivos. Concatenar textos. Sumarizar. Gerar relatórios. Porém, estes softwares não são desenvolvidos direcionados à auditoria. Não possuem verificação de totais de controle. Não fazem a gravação de trilhas de auditorias.

AUDITORIA EM SI - TÉCNICAS A seguir, algumas técnicas utilizadas na auditoria de sistemas de informação: Dados de Teste: Envolve o uso de um conjunto de dados com o objetivo de testar as funcionalidade de entrada de dados do sistema. Após o processamento do arquivo, é verificado o resultado obtido com o planejado.

AUDITORIA EM SI - TÉCNICAS Facilidade de Teste Integrado: Melhor aplicado em ambientes real-time. Como funciona: Os dados são introduzidos no sistema. Utilizando entidades fictícias, como funcionários fantasmas na folha de pagamento e clientes inexistentes nas contas a receber. Por fim, os dados no processamento de transações são confrontados com os dados fictícios e os resultados, comparados com os pré-determinados. Vantagens: Pode ser realizado no sistema em produção, não sendo necessário um ambiente de processamento exclusivo. Desvantagens: Os efeitos das transações precisam ser estornados, gerando um esforço extra.

AUDITORIA EM SI - TÉCNICAS Simulação Paralela: Simula a execução do programa em produção. Faz o processamento das transações. E faz a comparação dos resultados obtidos. Vantagens: Visto que o programa é executado em ambiente real, não há custo para gerar dados fictícios. Desvantagens: Atualmente, esta técnica é feita com apenas uma porção das transaçòes da aplicação, não gerando um resultado muito expressivo.

AUDITORIA EM SI - TÉCNICAS Lógica de Auditoria Embutida nos Sistemas: Incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. Relatórios de auditoria. Logs de operação. Vantagens: As atividades podem ser monitoradas pelo auditor permanentementes. Desvantagens: A implantação da lógica de auditoria gera um custo adicional no desenvolvimento dos sistemas. Pode gerar uma perda no desempenho do sistema.

AUDITORIA EM SI - TÉCNICAS Rastreamento e Mapeamento: Consiste em criar e implementar uma trilha de auditoria para acompanhar os principais pontos da lógica de processamento das transações críticas, registrar seu comportamento e resultados obtidos. As trilhas de auditorias são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas. Vantagens: Ajuda na avaliação de controles internos que devem ser seguidos. Desvantagens: Exige que o auditor tenha habilidade avançada de tecnologia de informação para que possa interpretar as lógicas de programação.

AUDITORIA EM SI – MELHORES TÉCNICAS A auditoria de sistemas é uma parte da auditoria realizada na organização como um todo. Como não há um padrão aceito para auditoria de sistemas de informação, algumas associações trazem algumas regras para efetuar a auditoria. Comitê de Padrões da Associação de Controle e Auditoria de Tecnologia da Informação: Responsabilidade, Autoridade e Prestação de contas. Independência profissional. Ética profissional e Padrões. Competência. Planejamento. Emissão de Relatórios. Atividades de Follow-Up.

AUDITORIA EM SI – REFERÊNCIAS Livro Segurança e Auditoria em Sistemas de Informação, Mauricio Rocha Lyra, Editora Ciência Moderna, 2008.

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.