Segurança, Controle e Auditoria de Dados

Propaganda
SEGURANÇA, CONTROLE E
AUDITORIA DE DADOS
2 – Conceitos
CONCEITOS

Campo:

Objeto a ser fiscalizado;
Entidade completa (pública ou privada);
 Uma parte selecionada da entidade;
 Uma função da entidade


Período de fiscalização,
Mês, ano...
 A gestão de algum administrador.


Natureza da auditoria
Operacional;
 Financeira;
 Legalidade; etc.

CONCEITOS

Âmbito:
Amplitude e exaustão dos processos de auditoria;
 Limitação racional dos trabalhos executados;
 Definirá:

Aprofundamento das tarefas de auditoria;
 Grau de abrangência.

CONCEITOS

Área de Verificação:
Formado pelo campo e âmbito da auditoria;
 Delimita de forma precisa os temas da auditoria.

Objeto
Sub 1
Sub 2
Sub 3
Área de
verificação
Campo
Campo
Período
Natureza
Âmbito
CONCEITOS

Controle:

Fiscalização exercida sobre as:
Atividades;
 Órgãos;
 Departamentos;
 Produtos.

O objetivo é que estes não se desviem das normas;
 Três tipos de controle:

Preventivo;
 Detectivo;
 Corretivo.

CONCEITOS

Controle Preventivo:


Prevenção de erros, omissões ou atos fraudulentos.
Controle Detectivo:
Detectar os erros, omissões ou atos fraudulentos;
 Relatar sua ocorrência.


Controle Corretivo:

Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS

Controle Preventivo:


Prevenção de erros, omissões ou atos fraudulentos.
Controle Detectivo:
Detectar os erros, omissões ou atos fraudulentos;
 Relatar sua ocorrência.


Controle Corretivo:

Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS

Objetivos de Controle:
Metas de controle a serem alcançadas;
 Efeitos negativos a serem evitados em:

Transações;
 Atividades;
 Funções.


Para serem alcançados, são traduzidos em diversos
procedimentos de auditoria.
CONCEITOS

Procedimentos de Auditoria:
Formam um conjunto de verificações que permitem
obter e analisar as informações necessárias à
formulação de opiniões no auditor;
 É necessário estabelecer estes procedimentos antes
da auditoria iniciar, pois aumenta a produtividade e
a qualidade do trabalho do auditor;
 Alguns órgãos têm manuais contendo os
procedimentos padrões utilizados para as auditorias.

CONCEITOS

Achados de Auditoria:
Fatos observados pelo auditor;
 Não necessariamente são falhas e/ou irregularidades,
podem também ser pontos fortes da organização;
 Somente deve constar no relatório se for, de fato, algo
relevante, e se for baseado em fatos e evidências
irrefutáveis.

CONCEITOS

Papéis de Trabalho:
Registros dos atos e fatos observados pelo auditor;
 Podem ser documentos, planilhas, tabelas, listas de
verificações, arquivos informatizados, imagens, etc;
 Dão suporte ao relatório de auditoria;
 Contém o registro de metodologia adotada,
procedimentos, verificações, fontes de informação,
testes, entre outras informações relacionadas ao
trabalho de auditoria.

CONCEITOS

Recomendações de Auditoria:
Realizada na fase final da auditoria;
 Medidas corretivas possíveis, sugeridas pela
instituição fiscalizadora, por meio do auditor;
 Podem ser (mas não necessariamente serão)
transformadas em determinações a serem cumpridas.

CONCEITOS

Natureza da Auditoria:
Não existe classificação padrão;
 As classificações mais comuns são:

Quanto ao órgão fiscalizador,
 Quanto à forma de abordagem do tema;
 Quanto ao tipo ou área envolvida.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Interna:
Realizada por um setor ou departamento interno da
organização avaliada;
 Esse setor/departamento deve ser um específico,
encarregado de avaliar e verificar os sistemas e
procedimentos internos;
 Tem como objetivo reduzir as probabilidades de:
 Erros,
 Fraudes,
 Práticas ineficientes ou ineficazes;
 Deve ser independente e prestar contas diretamente à
direção da organização.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Externa:
Realizada por uma instituição externa e independente da
organização avaliada;
 Emite pareceres sobre:
 Gestão de recursos;
 Situação financeira;
 Legalidade e regularidade das operações.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Articulada:
Utiliza ambos modos de auditoria: interna e externa;
 Beneficiada pela superposição de tarefas e
responsabilidades;
 Caracteriza-se pelo:
 Uso comum de recursos;
 Comunicação recíproca dos resultados.
 Custo mais alto;
 Falhas na comunicação afetariam o processo e, como
conseqüência, o resultado.

CONCEITOS

Quanto à Forma de Abordagem do Tema:

Auditoria Horizontal:
Um único tema;
 Avalia-se várias entidades ou serviços paralelamente.


Auditoria Orientada:
Auditoria focada em uma atividade;
 Esta atividade pode ser uma qualquer, como também pode
ser (mais provável e recomendável) uma com fortes indícios
de erros ou fraudes.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de Programas de Governo:
Acompanhamento, exame e avaliação da execução de
programas e projetos governamentais específicos;
 Preocupa-se também com a efetividade das medidas
governamentais.


Auditoria Administrativa:
Engloba o plano da organização:
 Procedimentos;
 Documentos.
 Avalia os elementos que dão suporte à tomada de decisão.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria do Planejamento Estratégico:


Verifica se:
 Os principais objetivos da organização são atingidos;
 As políticas e estratégias de aquisição, utilização e
alienação de recursos são respeitadas.
Auditoria Contábil:
Relativa à salvaguarda dos ativos e à fidedignidade das
contas da instituição;
 Fornece certa garantia de que as operações e o acesso aos
ativos se efetuem de acordo com as devidas autorizações;
 Realizada em intervalos razoáveis de tempo;
 Exige medidas corretivas adequadas, caso sejam detectadas
falhas.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria Financeira (ou de Contas):
Analisa as contas, a situação financeira, legalidade e
regularidade das operações e aspectos contábeis,
financeiros, orçamentários e patrimoniais;
 Verifica se todas as operações foram corretamente
autorizadas, liquidadas, ordenadas, pagas e registradas;
 Averigua se foram tomadas as medidas necessárias para
registrar com exatidão e proteger todos os ativos;
 Confere se todas as operações registradas (assim como o
próprio registro) estão em conformidade com a legislação em
vigor.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria Operacional:
Incide em todos os níveis de gestão;
 Atua nas fases de programação, execução e supervisão;
 Tem como ponto de vista a economia, eficiência e eficácia;
 Pode ser conhecida também como “de Eficiência”, “de
Gestão”, “de Resultados”, “de Práticas de Gestão”;
 Audita todos os sistemas e métodos utilizados pelo gestor
para tomar decisões;
 Analisa a execução das decisões tomadas e aprecia até que
ponto os resultados pretendidos foram atingidos.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de integrada:


Inclui, simultaneamente, a auditoria financeira e a
operacional.
Auditoria de Legalidade:
Também conhecida como “de Regularidade” ou “de
Conformidade”;
 Analisa a legalidade e regularidade das atividades, funções,
operações ou gestão de recursos;
 Verifica se todos esses elementos estão em conformidade
com a legislação vigente.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de Tecnologia da Informação:
Auditoria essencialmente operacional;
 Analisa os sistemas de informática, o ambiente
computacional, a segurança de informações, e o controle
interno da entidade fiscalizada;
 Identifica os pontos fortes e fracos da organização;
 Pode ser conhecida também como Auditoria “Informática”,
“Computacional” ou “de Sistemas”.

CONCEITOS

Auditoria de Tecnologia da Informação:
Analisa a gestão de recursos, com foco na eficiência,
eficácia, economia e efetividade;
 Pode abranger diversos aspectos, dependendo do
enfoque do auditor:

O ambiente de informática como todo: analisando aspectos
que influencias a segurança dos outros controles, como
segurança física e lógica, planejamento de contingencias...
 A organização do departamento como um todo, analisando:
aspectos administrativos, como políticas, padrões e
procedimentos organizacionais, gerencia de pessoal e
planejamento de capacidades .

CONCEITOS

Auditoria de Tecnologia da Informação:
Pode envolver controles sobre banco de dados, redes
de comunicação e de microcomputadores e controles
sobre os aplicativos;
 Não exige uma classificação padronizada de subáreas;
 Aqui usaremos as seguintes:

Auditoria de Segurança de Informações;
 Auditoria de Tecnologia da Informação;
 Auditoria de Aplicativos.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Segurança de Informações;
Determina a postura da organização em relação à
segurança;
 Avalia a política de segurança e os controles a ela
relacionados, principalmente de modo global;
 Envolve:
 Avaliação da política de segurança;
 Controles de acesso lógico;
 Controles de acesso físico;
 Controles ambientais;
 Plano de contingências e continuidade de serviços.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Tecnologia da Informação;
Abrange aspectos da Auditoria de Segurança de
Informações;
 Além deles, têm também outros controles, que podem
também influenciar a segurança, estes controles são:
 Organizacionais;
 De mudanças;
 De operação dos sistemas;
 Sobre banco de dados;
 Sobre microcomputadores;
 Sobre ambientes cliente-servidor.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Aplicativos:
Está voltada para a segurança de aplicações específicas,
incluindo elementos intrinsecos da área que o aplicativo
atende, como orçamento, contabilidade, estoque, venda,
pessoal etc.
 Esta auditoria compreende:
 Controle sobre o desenvolvimento de sistemas
aplicativos;
 Controles de entrada, processamento e saída de dados;
 Controles sobre o conteúdo e funcionamento do
aplicativo, em relação à área por ele atendida.

CONCEITOS

Acesso Lógico
Está relacionado com o acesso ao conteúdo da
informação.
 Abrange aspectos como:

acesso de pessoas a terminais e outros equipamentos de
computação,
 manuseio de listagens (uma questão também de acesso
físico),
 funções autorizadas dentro do ambiente informatizado
(transações e programas que pode executar),
 arquivos aos quais tenham acesso, etc.


Mesmo que as informações não estejam armazenadas
em computadores, valem os mesmos conceitos de
segurança de acesso lógico.
CONCEITOS

Propriedade da Informação
O conceito deriva do direito de posse direta ou
delegada sobre os ativos de informações, exercido em
nome da organização.
 Em princípio, a propriedade de um ativo pertence a
quem dele faz uso em função de uma necessidade
funcional.
 Normalmente, quem faz uso de um determinado ativo
é o seu criador, a pessoa que recebeu autorização do
mesmo.
 Também recebe o nome de gestão, sendo o
responsável pela administração das informações
conhecido também como gestor.

CONCEITOS

Custódia da Informação
Refere-se à pessoa ou organização responsável pela
guarda de um ativo de propriedade de terceiros,
sendo o conceito estendido ao domínio das
informações.
 A área de informática, ao contrário da visão clássica
ainda bastante aceita, é custodiante dos ativos de
informações das áreas usuárias, os legítimos
proprietários dos mesmos.
 Geralmente, uma vez recebida do proprietário, a
custódia não pode ser delegada.
 Implica a responsabilidade do receptor quanto à
integridade dos ativos custodiados.

CONCEITOS

Controle de Acesso
Está relacionado diretamente ao acesso concedido. Sua
função é garantir que o acesso seja feito somente dentro dos
limites estabelecidos. Esse controle é exercido por meio de
mecanismos como senhas, listas de acesso, categorias,
níveis de acesso, privilégios de acesso, etc.
 Senhas




Constituem o mecanismo de controle de acesso mais antigo
usado pelo ser humano para impedir acessos não autorizados.
Foram e ainda são muito usadas como forma de se controlar o
acesso a recursos de informação.
Modernamente, tendem a ser usadas apenas como mecanismo
de autenticação de identidade de usuários, através da
atribuição de uma senha exclusiva para cada chave de acesso
ou identificação de usuários individuais.
Á medida que evolui a tecnologia, as senhas tendem a ser
substituídas por alguma característica físico-biométrica do
usuário, como a imagem da íris, a impressão digital, a voz, etc.
CONCEITOS

Controle de Acesso

Chaves de acesso ou identificações


Códigos de acesso atribuídos a usuários; cada um recebe
uma chave de acesso única e individual. A cada chave de
acesso é associada uma senha destinada a autenticar a
identidade do usuário que possui essa chave.
Listas de acesso

Constitui uma espécie de tabela onde constam o tipo e o
nome do recurso, ao qual são associadas as identificações de
usuários com os tipos de operações permitidas aos mesmos.
CONCEITOS

Controle de Acesso
Operações
 Determinam o que cada usuário pode fazer em
relação a determinado recurso. Normalmente,
consistem no seguinte:

Leitura - o usuário pode somente consultar informações;
 Gravação - o usuário pode incluir informações;
 Alteração - o usuário pode alterar informações existentes;
 Exclusão - o usuário pode excluir informações existentes;
 Eliminação - o usuário pode eliminar o meio físico de
suporte das informações;
 Execução - em ambientes informatizados, permite que o
usuário possa executar comandos ou programas contidos em
arquivos.

CONCEITOS

Acesso Físico
Acesso ou posse de um ativo do ponto de vista físico é
o uso que se faz de determinado recurso. No caso de
informações, está representado pelo acesso ao meio de
registro ou suporte que abriga as informações;
 Normalmente, os riscos relacionados com o acesso
físico afetam os meios de registro e suporte das
informações, ao passo que os riscos relacionados com
o acesso lógico afetam o conteúdo.

CONCEITOS

Plano de contingência
Um plano global destinado a manter o ambiente de
informações da organização totalmente seguro contra
quaisquer ameaças a sua integridade e
disponibilidade.
 Consiste em procedimentos de recuperação préestabelecidos, com a finalidade de minimizar o
impacto sobre as atividades da organização no caso
de ocorrência de um dano ou desastre que os
procedimentos de segurança não conseguiram evitar.
 Estatísticas européias demonstram que mais de três
quartos das empresas que sofreram um desastre
envolvendo a perda de seu ambiente de informações
fecham imediatamente ou no máximo em dois anos.

CONCEITOS

Preservação e recuperação de informações
O conceito de preservação está ligado à necessidade
de sobrevivência dos acervos de informações, evitando
eventos que causem sua destruição.
 O conceito de recuperação aplica-se a recursos que
tenham sido destruídos ou danificados, permitindo
que os mesmos sejam novamente disponibilizados
para uso

Download