SEGURANÇA, CONTROLE E AUDITORIA DE DADOS 2 – Conceitos CONCEITOS Campo: Objeto a ser fiscalizado; Entidade completa (pública ou privada); Uma parte selecionada da entidade; Uma função da entidade Período de fiscalização, Mês, ano... A gestão de algum administrador. Natureza da auditoria Operacional; Financeira; Legalidade; etc. CONCEITOS Âmbito: Amplitude e exaustão dos processos de auditoria; Limitação racional dos trabalhos executados; Definirá: Aprofundamento das tarefas de auditoria; Grau de abrangência. CONCEITOS Área de Verificação: Formado pelo campo e âmbito da auditoria; Delimita de forma precisa os temas da auditoria. Objeto Sub 1 Sub 2 Sub 3 Área de verificação Campo Campo Período Natureza Âmbito CONCEITOS Controle: Fiscalização exercida sobre as: Atividades; Órgãos; Departamentos; Produtos. O objetivo é que estes não se desviem das normas; Três tipos de controle: Preventivo; Detectivo; Corretivo. CONCEITOS Controle Preventivo: Prevenção de erros, omissões ou atos fraudulentos. Controle Detectivo: Detectar os erros, omissões ou atos fraudulentos; Relatar sua ocorrência. Controle Corretivo: Usados para reduzir impactos ou corrigir os erros detectados (planos de contingência). CONCEITOS Controle Preventivo: Prevenção de erros, omissões ou atos fraudulentos. Controle Detectivo: Detectar os erros, omissões ou atos fraudulentos; Relatar sua ocorrência. Controle Corretivo: Usados para reduzir impactos ou corrigir os erros detectados (planos de contingência). CONCEITOS Objetivos de Controle: Metas de controle a serem alcançadas; Efeitos negativos a serem evitados em: Transações; Atividades; Funções. Para serem alcançados, são traduzidos em diversos procedimentos de auditoria. CONCEITOS Procedimentos de Auditoria: Formam um conjunto de verificações que permitem obter e analisar as informações necessárias à formulação de opiniões no auditor; É necessário estabelecer estes procedimentos antes da auditoria iniciar, pois aumenta a produtividade e a qualidade do trabalho do auditor; Alguns órgãos têm manuais contendo os procedimentos padrões utilizados para as auditorias. CONCEITOS Achados de Auditoria: Fatos observados pelo auditor; Não necessariamente são falhas e/ou irregularidades, podem também ser pontos fortes da organização; Somente deve constar no relatório se for, de fato, algo relevante, e se for baseado em fatos e evidências irrefutáveis. CONCEITOS Papéis de Trabalho: Registros dos atos e fatos observados pelo auditor; Podem ser documentos, planilhas, tabelas, listas de verificações, arquivos informatizados, imagens, etc; Dão suporte ao relatório de auditoria; Contém o registro de metodologia adotada, procedimentos, verificações, fontes de informação, testes, entre outras informações relacionadas ao trabalho de auditoria. CONCEITOS Recomendações de Auditoria: Realizada na fase final da auditoria; Medidas corretivas possíveis, sugeridas pela instituição fiscalizadora, por meio do auditor; Podem ser (mas não necessariamente serão) transformadas em determinações a serem cumpridas. CONCEITOS Natureza da Auditoria: Não existe classificação padrão; As classificações mais comuns são: Quanto ao órgão fiscalizador, Quanto à forma de abordagem do tema; Quanto ao tipo ou área envolvida. CONCEITOS Quanto ao órgão fiscalizador: Auditoria Interna: Realizada por um setor ou departamento interno da organização avaliada; Esse setor/departamento deve ser um específico, encarregado de avaliar e verificar os sistemas e procedimentos internos; Tem como objetivo reduzir as probabilidades de: Erros, Fraudes, Práticas ineficientes ou ineficazes; Deve ser independente e prestar contas diretamente à direção da organização. CONCEITOS Quanto ao órgão fiscalizador: Auditoria Externa: Realizada por uma instituição externa e independente da organização avaliada; Emite pareceres sobre: Gestão de recursos; Situação financeira; Legalidade e regularidade das operações. CONCEITOS Quanto ao órgão fiscalizador: Auditoria Articulada: Utiliza ambos modos de auditoria: interna e externa; Beneficiada pela superposição de tarefas e responsabilidades; Caracteriza-se pelo: Uso comum de recursos; Comunicação recíproca dos resultados. Custo mais alto; Falhas na comunicação afetariam o processo e, como conseqüência, o resultado. CONCEITOS Quanto à Forma de Abordagem do Tema: Auditoria Horizontal: Um único tema; Avalia-se várias entidades ou serviços paralelamente. Auditoria Orientada: Auditoria focada em uma atividade; Esta atividade pode ser uma qualquer, como também pode ser (mais provável e recomendável) uma com fortes indícios de erros ou fraudes. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria de Programas de Governo: Acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos; Preocupa-se também com a efetividade das medidas governamentais. Auditoria Administrativa: Engloba o plano da organização: Procedimentos; Documentos. Avalia os elementos que dão suporte à tomada de decisão. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria do Planejamento Estratégico: Verifica se: Os principais objetivos da organização são atingidos; As políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas. Auditoria Contábil: Relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição; Fornece certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações; Realizada em intervalos razoáveis de tempo; Exige medidas corretivas adequadas, caso sejam detectadas falhas. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria Financeira (ou de Contas): Analisa as contas, a situação financeira, legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais; Verifica se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas; Averigua se foram tomadas as medidas necessárias para registrar com exatidão e proteger todos os ativos; Confere se todas as operações registradas (assim como o próprio registro) estão em conformidade com a legislação em vigor. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria Operacional: Incide em todos os níveis de gestão; Atua nas fases de programação, execução e supervisão; Tem como ponto de vista a economia, eficiência e eficácia; Pode ser conhecida também como “de Eficiência”, “de Gestão”, “de Resultados”, “de Práticas de Gestão”; Audita todos os sistemas e métodos utilizados pelo gestor para tomar decisões; Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria de integrada: Inclui, simultaneamente, a auditoria financeira e a operacional. Auditoria de Legalidade: Também conhecida como “de Regularidade” ou “de Conformidade”; Analisa a legalidade e regularidade das atividades, funções, operações ou gestão de recursos; Verifica se todos esses elementos estão em conformidade com a legislação vigente. CONCEITOS Quanto ao Tipo ou Área Envolvida: Auditoria de Tecnologia da Informação: Auditoria essencialmente operacional; Analisa os sistemas de informática, o ambiente computacional, a segurança de informações, e o controle interno da entidade fiscalizada; Identifica os pontos fortes e fracos da organização; Pode ser conhecida também como Auditoria “Informática”, “Computacional” ou “de Sistemas”. CONCEITOS Auditoria de Tecnologia da Informação: Analisa a gestão de recursos, com foco na eficiência, eficácia, economia e efetividade; Pode abranger diversos aspectos, dependendo do enfoque do auditor: O ambiente de informática como todo: analisando aspectos que influencias a segurança dos outros controles, como segurança física e lógica, planejamento de contingencias... A organização do departamento como um todo, analisando: aspectos administrativos, como políticas, padrões e procedimentos organizacionais, gerencia de pessoal e planejamento de capacidades . CONCEITOS Auditoria de Tecnologia da Informação: Pode envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos; Não exige uma classificação padronizada de subáreas; Aqui usaremos as seguintes: Auditoria de Segurança de Informações; Auditoria de Tecnologia da Informação; Auditoria de Aplicativos. CONCEITOS Auditoria de Tecnologia da Informação: Auditoria de Segurança de Informações; Determina a postura da organização em relação à segurança; Avalia a política de segurança e os controles a ela relacionados, principalmente de modo global; Envolve: Avaliação da política de segurança; Controles de acesso lógico; Controles de acesso físico; Controles ambientais; Plano de contingências e continuidade de serviços. CONCEITOS Auditoria de Tecnologia da Informação: Auditoria de Tecnologia da Informação; Abrange aspectos da Auditoria de Segurança de Informações; Além deles, têm também outros controles, que podem também influenciar a segurança, estes controles são: Organizacionais; De mudanças; De operação dos sistemas; Sobre banco de dados; Sobre microcomputadores; Sobre ambientes cliente-servidor. CONCEITOS Auditoria de Tecnologia da Informação: Auditoria de Aplicativos: Está voltada para a segurança de aplicações específicas, incluindo elementos intrinsecos da área que o aplicativo atende, como orçamento, contabilidade, estoque, venda, pessoal etc. Esta auditoria compreende: Controle sobre o desenvolvimento de sistemas aplicativos; Controles de entrada, processamento e saída de dados; Controles sobre o conteúdo e funcionamento do aplicativo, em relação à área por ele atendida. CONCEITOS Acesso Lógico Está relacionado com o acesso ao conteúdo da informação. Abrange aspectos como: acesso de pessoas a terminais e outros equipamentos de computação, manuseio de listagens (uma questão também de acesso físico), funções autorizadas dentro do ambiente informatizado (transações e programas que pode executar), arquivos aos quais tenham acesso, etc. Mesmo que as informações não estejam armazenadas em computadores, valem os mesmos conceitos de segurança de acesso lógico. CONCEITOS Propriedade da Informação O conceito deriva do direito de posse direta ou delegada sobre os ativos de informações, exercido em nome da organização. Em princípio, a propriedade de um ativo pertence a quem dele faz uso em função de uma necessidade funcional. Normalmente, quem faz uso de um determinado ativo é o seu criador, a pessoa que recebeu autorização do mesmo. Também recebe o nome de gestão, sendo o responsável pela administração das informações conhecido também como gestor. CONCEITOS Custódia da Informação Refere-se à pessoa ou organização responsável pela guarda de um ativo de propriedade de terceiros, sendo o conceito estendido ao domínio das informações. A área de informática, ao contrário da visão clássica ainda bastante aceita, é custodiante dos ativos de informações das áreas usuárias, os legítimos proprietários dos mesmos. Geralmente, uma vez recebida do proprietário, a custódia não pode ser delegada. Implica a responsabilidade do receptor quanto à integridade dos ativos custodiados. CONCEITOS Controle de Acesso Está relacionado diretamente ao acesso concedido. Sua função é garantir que o acesso seja feito somente dentro dos limites estabelecidos. Esse controle é exercido por meio de mecanismos como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso, etc. Senhas Constituem o mecanismo de controle de acesso mais antigo usado pelo ser humano para impedir acessos não autorizados. Foram e ainda são muito usadas como forma de se controlar o acesso a recursos de informação. Modernamente, tendem a ser usadas apenas como mecanismo de autenticação de identidade de usuários, através da atribuição de uma senha exclusiva para cada chave de acesso ou identificação de usuários individuais. Á medida que evolui a tecnologia, as senhas tendem a ser substituídas por alguma característica físico-biométrica do usuário, como a imagem da íris, a impressão digital, a voz, etc. CONCEITOS Controle de Acesso Chaves de acesso ou identificações Códigos de acesso atribuídos a usuários; cada um recebe uma chave de acesso única e individual. A cada chave de acesso é associada uma senha destinada a autenticar a identidade do usuário que possui essa chave. Listas de acesso Constitui uma espécie de tabela onde constam o tipo e o nome do recurso, ao qual são associadas as identificações de usuários com os tipos de operações permitidas aos mesmos. CONCEITOS Controle de Acesso Operações Determinam o que cada usuário pode fazer em relação a determinado recurso. Normalmente, consistem no seguinte: Leitura - o usuário pode somente consultar informações; Gravação - o usuário pode incluir informações; Alteração - o usuário pode alterar informações existentes; Exclusão - o usuário pode excluir informações existentes; Eliminação - o usuário pode eliminar o meio físico de suporte das informações; Execução - em ambientes informatizados, permite que o usuário possa executar comandos ou programas contidos em arquivos. CONCEITOS Acesso Físico Acesso ou posse de um ativo do ponto de vista físico é o uso que se faz de determinado recurso. No caso de informações, está representado pelo acesso ao meio de registro ou suporte que abriga as informações; Normalmente, os riscos relacionados com o acesso físico afetam os meios de registro e suporte das informações, ao passo que os riscos relacionados com o acesso lógico afetam o conteúdo. CONCEITOS Plano de contingência Um plano global destinado a manter o ambiente de informações da organização totalmente seguro contra quaisquer ameaças a sua integridade e disponibilidade. Consiste em procedimentos de recuperação préestabelecidos, com a finalidade de minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre que os procedimentos de segurança não conseguiram evitar. Estatísticas européias demonstram que mais de três quartos das empresas que sofreram um desastre envolvendo a perda de seu ambiente de informações fecham imediatamente ou no máximo em dois anos. CONCEITOS Preservação e recuperação de informações O conceito de preservação está ligado à necessidade de sobrevivência dos acervos de informações, evitando eventos que causem sua destruição. O conceito de recuperação aplica-se a recursos que tenham sido destruídos ou danificados, permitindo que os mesmos sejam novamente disponibilizados para uso